Datenschutzaufsicht Niedersachsen: Neue Handreichung zum Datenschutz bei Microsoft 365
Der Landesbeauftragte für den Datenschutz Niedersachsen hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden am 22. September 2023 praktische Tipps zur datenschutzkonformen Nutzung von Microsoft 365 sowie Empfehlungen für Anpassungen des Standardvertrags zur Auftragsdatenverarbeitung (DPA) von Microsoft veröffentlicht. Diese Handreichung soll Unternehmen und öffentlichen Stellen dabei helfen, Microsoft 365 datenschutzkonform einzusetzen und auf erforderliche Vertragsanpassungen hinzuwirken.
Die Hintergründe
Die Handreichung basiert in erster Linie auf den Festlegungen der Datenschutzkonferenz (DSK) aus dem November 2022 und ist ein positives Zeichen für diejenigen, die Microsoft 365 nutzen. Obwohl sie keine grundlegenden inhaltlichen Neubewertungen von Microsoft 365 durch die Datenschutzaufsichtsbehörden beinhaltet, liefert sie dennoch wichtige Empfehlungen für die Praxis.
Die DSK hatte zuvor einige Regelungen des DPA von Microsoft kritisiert, darunter:
- Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten: Die Datenschutzaufsichtsbehörden klären auf, wie diese Punkte im Vertrag angepasst werden können, um den Datenschutzanforderungen besser gerecht zu werden.
- Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Microsofts Geschäftszwecke: Hier wird erläutert, wie die Verantwortlichkeiten klarer definiert werden können, insbesondere im Hinblick auf Geschäftstätigkeiten, die durch die Bereitstellung von Produkten und Services an Kunden veranlasst sind.
- Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen: Die Handreichung gibt Hinweise, wie die Weisungsbindung und die Offenlegung von Daten angepasst werden können, um den Datenschutzanforderungen zu entsprechen.
- Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO: Hier werden Empfehlungen zur Anpassung des Vertrags im Hinblick auf technische und organisatorische Maßnahmen gegeben.
- Löschen personenbezogener Daten: Die Handreichung beleuchtet, wie die Löschung personenbezogener Daten gemäß den Datenschutzbestimmungen effektiv umgesetzt werden kann.
- Information über Unterauftragsverarbeiter: Es wird erläutert, wie Unternehmen sicherstellen können, dass sie ausreichende Informationen über Unterauftragsverarbeiter erhalten.
Nicht behandelt: Internationale Datentransfers und extraterritoriale Geltung von US-Gesetzen
Wichtig zu beachten ist, dass die Handreichung sich nicht mit Fragen des internationalen Datentransfers oder des extraterritorialen Geltungsbereichs von US-Gesetzen befasst. Diese Themen bleiben somit außerhalb des Geltungsbereichs dieser Empfehlungen.
Fazit: Unterstützung für datenschutzkonforme Nutzung von Microsoft 365
Die gemeinsame Handreichung von insgesamt sieben Datenschutzaufsichtsbehörden betont die Bedeutung von Microsoft 365 im Geschäftsalltag und bietet Unternehmen und öffentlichen Stellen praktische Unterstützung. Angesichts der Kritik der DSK an Microsoft 365 und der Verunsicherung von Unternehmen ist dies ein positiver Schritt. Die Datenschutzaufsichtsbehörden erfüllen somit ihre Beratungsfunktion und unterstützen die Verantwortlichen bei der datenschutzkonformen Implementierung von Microsoft 365. Dies ist ein wichtiger Schritt in Richtung Datenschutz und Datenschutzkonformität in der digitalen Arbeitswelt.