Handreichung der Aufsichtsbehörden zu M365
Worum geht es?
Mehrere Aufsichtsbehörden, darunter das LDI NRW, haben eine Handreichung zum datenschutzkonformen Einsatz von Microsoft 365 veröffentlicht.
Im Rahmen dieser Handreichung wird darauf hingewiesen, dass die teilnehmenden Aufsichtsbehörden den von Microsoft zur Verfügung gestellten Vertrag zur Auftragsverarbeitung (DPA) für nicht datenschutzkonform erachten.
Vor allem wird darauf hingewiesen, dass sich Microsoft eigene Zwecke an den erhobenen Daten einräume, was im Rahmen der Weisungsbindung der Auftragsverarbeitung nicht zulässig ist.
Dazu das LDI auf der eigenen Webseite: „Insofern sollten auch nicht-öffentliche Stellen vertraglich ausschließen, dass Microsoft personenbezogene Daten für eigene Zwecke nutzt, um datenschutzrechtlich auf der sicheren Seite zu sein.“
Bewertung
Was nach einer guten Idee klingt, scheitert nach unserem Dafürhalten allerdings daran, dass es kaum einem Kleinst- oder Kleinunternehmen und auch den meisten mittleren Unternehmen nicht möglich sein wird, eigene individuelle Verträge mit Microsoft auszuhandeln.
Handlungsempfehlung
Insofern können wir als Handlungsempfehlung nur auf unsere Orientierungshilfe zu Office 365 in unserer Dateiablage verweisen, worin wir einige mögliche Basismaßnahmen benannt haben, die zumindest in den lokal installierten Anwendungen für eine gewisse Datensparsamkeit sorgen und auch einige datenschutzfreundliche Einstellungen für die Cloudprodukte enthalten.
Fazit
Ein rechtssicherer Betrieb wird aus Sicht der Aufsichtsbehörden auch mit unseren Maßnahmen nicht möglich sein, denn diese bewirken keine Anpassungen am Vertrag. Aber zumindest haben Sie damit argumentativ „etwas in der Hand“, dass Sie bemüht waren einen datenschutzfreundlichen Betrieb der Lösungen zu realisieren.
Abschließend möchten wir zu Vollständigkeit darauf hinweisen, dass die Handreichung die Meinung der Aufsichtsbehörden widerspiegelt. Urteile in Bezug auf die Konformität des AV-Vertrages von Microsoft sind nach unserem Wissenstand bis heute nicht vorhanden.
Andersherum könnte es allerdings funktionieren: Möglicherweise greift Microsoft diese Kritikpunkte auf und verändert den eigenen AV-Vertrag entsprechend der von den Aufsichtsbehörden geforderten Konkretisierungen.
Quellen
Der Beitrag Handreichung der Aufsichtsbehörden zu M365 erschien zuerst auf CompliPro GmbH.