Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zuletzt im November 2022 festgestellt, dass die Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Data Protection Addendum – DPA), die für den Einsatz von „Microsoft 365“ vorgesehen ist, nicht den Anforderungen des Art. 28 Abs. 3 Datenschutz-Grundverordnung entspricht. Hierbei wurden bestimmte Problemfelder des DPA betrachtet und erläutert. Gemeinsam mit einigen anderen Datenschutzaufsichtsbehörden hat die LDI NRW nun eine Handreichung für die Verantwortlichen erarbeitet, um sie dabei zu unterstützen, gegenüber Microsoft auf entsprechende datenschutzgerechte vertragliche Änderungen hinzuwirken. Die wesentlichen Empfehlungen sind im Teil 1 und im Anhang der Handreichung jeweils als hervorgehobene To Dos kompakt dargestellt.

Die Handreichung kann hier abgerufen werden.

Besonderheiten einzelner Anwendungen werden in der Handreichung nicht betrachtet. Es obliegt den jeweils Verantwortlichen, die technische Umsetzung der zu vereinbarenden Regelungen und die Besonderheiten einzelner Anwendungen zu kontrollieren.

Die Datenübermittlung in Drittstaaten ist nicht Gegenstand der Handreichung. Soweit Daten in die USA übermittelt werden sollen, hat die Europäische Kommission am 10. Juli 2023 eine neue Angemessenheitsentscheidung getroffen, unter der sich Microsoft zertifiziert hat. Soweit Übermittlungen in andere Drittstaaten vertraglich vorgesehen sind, bleibt zu prüfen, ob sie zulässig sind. Hier finden Sie unsere Hinweise für eine solche Prüfung.

Insbesondere für öffentliche Stellen ist von Bedeutung, dass sie vertraglich ausschließen sollten, dass Microsoft personenbezogene Daten für eigene Zwecke nutzt. Das ist im Rahmen einer Auftragsdatenverarbeitung nicht zulässig. Eine Übermittlung personenbezogener Daten für unternehmenseigene Zwecke ist der öffentlichen Verwaltung in aller Regel gesetzlich nicht erlaubt. Ob nicht-öffentliche Stellen personenbezogene Daten für Zwecke von Microsoft übermitteln dürfen, wäre im Einzelfall durch den Verantwortlichen zu prüfen. Diese Prüfung ist nur möglich, wenn Microsoft Transparenz über die konkreten Verarbeitungen schafft. Die bisher bewerteten Vertragsunterlagen von Microsoft schaffen die für eine solche Prüfung erforderliche Transparenz nicht. Insofern sollten auch nicht-öffentliche Stellen vertraglich ausschließen, dass Microsoft personenbezogene Daten für eigene Zwecke nutzt, um datenschutzrechtlich auf der sicheren Seite zu sein.