Am Puls von Microsoft

Microsoft 365: Deutsche Datenschützer setzen auf Vermittlung statt Verbote

Microsoft 365: Deutsche Datenschützer setzen auf Vermittlung statt Verbote

Ganz neue Töne hört man von Deutschlands Datenschützern, wenn es um Microsoft 365 geht. Nachdem jahrelang von der Nutzung abgeraten wurde und man teilweise versucht hat, Verbote auszusprechen, die man aber dann sofort wieder nicht als solche verstanden wissen wollte, gibt man nun Tipps, wie Microsoft 365 möglicherweise datenschutzkonform eingesetzt werden kann. Die praktische Umsetzung dieser Empfehlungen dürfte aber schwierig werden.

Immer wieder wurde seitens der Datenschützer in der Vergangenheit vor Microsoft 365 gewarnt, in der Hauptsache ging es um fehlende Transparenz, welche personenbezogenen Daten letztlich verarbeitet werden und wo das passiert. Microsoft hatte seinerseits immer wieder behauptet, Microsoft 365 stehe vollumfänglich im Einklang mit der DSGVO, gleichzeitig aber mehrfach Nachbesserungen vorgenommen.

Wer bislang von dem Thema nichts mitbekommen hat und sich ein wenig einlesen möchte, findet hier ein Beispiel von Vielen:

Microsoft 365 an Baden-Württembergs Schulen: Datenschutzbeauftragter warnt vor Schadenersatzforderungen

Kollege Stefan von Malter365 ist jetzt auf eine höchst interessante Veröffentlichung des Landesbeauftragten für den Datenschutz in Niedersachsen gestoßen. Die Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung
gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“ wurde in Kooperation mit sechs weiteren Landesdatenschutzbehörden erarbeitet.

In dem 21-seitigen PDF-Dokument werden konkrete Maßnahmen beschrieben, mit denen der Einsatz von Microsoft 365 abgesichert werden kann. Dabei geht es beispielsweise um die Anpassung von Löschfristen bzw. um die Definition von Ausnahmen oder um die genauere Spezifizierung, welche Daten wann gelöscht werden müssen.

Den größten Raum in der Handreichung nimmt die Verarbeitung personenbezogener Daten ein. Hier schlagen die Autoren des Papiers vor, genau zu definieren, welcher Dienst innerhalb von Microsoft 365 welche Daten zu welchem Zweck verarbeitet.

Umgesetzt werden sollen diese Maßnahmen durch entsprechende Zusatzverträge mit Microsoft, und genau das dürfte in der Praxis schwer bis unmöglich werden. Ich halte es für einigermaßen unwahrscheinlich, dass Microsoft individuelle Vereinbarungen abschließt.

Artikel im Forum diskutieren (17)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 16 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige