DIE PROBLEMATIK
Nach Prüfung der von Microsoft bereitgestellten Vereinbarung zur Auftragsverarbeitung hatte die DSK festgestellt, dass diese nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht. Der zentrale rechtliche Aspekt, der die Problematik im Zusammenhang mit der Verwendung von Microsoft 365 betrifft, ist die Anforderung zur Rechenschaftspflicht gemäß Artikel 5, Absatz 2 der DSGVO. Gemäß dieser Anforderung muss der Verantwortliche die Fähigkeit besitzen, die Einhaltung der sogenannten Verarbeitungsgrundsätze gemäß Artikel 5, Absatz 1 DSGVO nachzuweisen. Dabei sei unklar, welche Verarbeitungen im Auftrag des Kunden und welche für Microsofts eigene Zwecke durchgeführt werden. Zudem werden die durchgeführten Verarbeitungsschritte nicht im Detail enthüllt.
EMPFEHLUNGEN DER DATENSCHUTZKONFERENZ
Die Veröffentlichung der Anleitung zu Microsoft 365 zielt darauf ab, Kunden auf Mängel in Microsofts Auftragsverarbeitungsvereinbarung hinzuweisen und praktische Ratschläge für die datenschutzkonforme Nutzung von Microsoft 365 zu bieten. Somit empfehlen die Behörden den Kunden, sich vor rechtlichen Unsicherheiten zu schützen, indem diese eine Zusatzvereinbarung abschließen, welche Vorrang vor der vorgefertigten Vereinbarung zur Auftragsverarbeitung hat. Diese sollte die Kritikpunkte der DSK an der Auftragsverarbeitungsvereinbarung beseitigen. Diese Zusatzregelung sollte Microsoft verpflichten, Details über die durchgeführten Verarbeitungen offenzulegen. Dabei sollten Arten und Zwecke der Verarbeitung beschrieben werden und die Kategorien der verarbeiteten Daten ausdrücklich benannt werden. Es ist wichtig zu betonen, dass Microsoft in der Datenverarbeitung den Anweisungen folgt und Informationen nur im Einklang mit gesetzlichen Vorschriften offenlegen darf.
Abschließend sollte klargestellt werden, welche Schritte unternommen werden, um die Sicherheit der Datenverarbeitung sicherzustellen und wie diese mit den verschiedenen Arten von personenbezogenen Daten verknüpft sind.
FAZIT
Microsoft 365 stellt für viele Unternehmen ein wichtiges Werkzeug im Arbeitsalltag dar, weshalb die Einhaltung der Datenschutzvorschriften umso wichtiger ist. Jedoch wird dies durch die von Microsoft bereitgestellten Vereinbarungen zur Auftragsverarbeitung nicht gewährleistet. Die Aufsichtsbehörden erkennen an, dass es schwierig sein wird, mit Microsoft die gewünschten zusätzlichen Vereinbarungen zu treffen, da Microsoft wohl kein einfacher Verhandlungspartner ist. Die Behörden fordern die Verantwortlichen dennoch auf, alle möglichen Wege zu nutzen, um sicherzustellen, dass Datenschutzrichtlinien eingehalten werden, selbst wenn die Verhandlungen herausfordernd sind.
DEUDAT GmbH – Datenschutz und Informationssicherheit
Als inhabergeführtes Unternehmen können wir in der Geschäftsführung auf über 25 Jahre Erfahrung im Bereich Datenschutz und Informationssicherheit zurückblicken. Unser Team aus Experten und Rechtsanwälten ist darauf spezialisiert, Ihnen bei der Einführung, Umsetzung und Aufrechterhaltung eines angemessenen Datenschutzniveaus zu helfen und Sie bei sämtlichen Fragen in Sachen Datenschutz und Informationssicherheit vollumfänglich und unabhängig von der Branche, Größe oder Ausrichtung Ihres Unternehmens zu beraten.
Wir zeigen Ihnen, wie Sie die damit verbundenen Herausforderungen mit dem entsprechenden Know-how und einer geeigneten Organisationsstruktur sicher und einfach meistern – und vor allem: welche Chancen Ihnen ein professioneller Datenschutz bietet. Was bei unserer Zusammenarbeit entsteht, ist mehr als nur eine Problemlösung oder Risikominimierung. Wir entwickeln gemeinsam mit Ihnen Werkzeuge, die zu Ihrem Unternehmenserfolg beitragen und stehen Ihnen als starker Partner zur Seite.
Dabei ist unser Leitmotiv für uns maßgebend: Einfach, sicher, gut beraten.
DEUDAT GmbH
Zehntenhofstraße 5b
65201 Wiesbaden
Telefon: +49 (611) 950008-40
Telefax: +49 (611) 950008-59
http://www.deudat.de
E-Mail: philip.reichardt@deudat.de
