Praxis-Tipps: Wie sich Microsoft 365 datenschutzkonform nutzen lässt
Die Datenschutzkonferenz (DSK) hat Mängel im Bereich des Datenschutzes bei Microsoft 365 festgestellt und daraufhin ihre Bedenken geäußert. Als Reaktion darauf hat Microsoft die Auftragsverarbeitungsvereinbarung (ADV) überarbeitet.
Die Datenschutzkonferenz hat die von Microsoft vorgelegte Auftragsverarbeitungsvereinbarung eingehend geprüft und gravierende Mängel festgestellt. Demnach entspricht sie nicht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO). Ein zentraler Punkt betrifft die Rechenschaftspflicht gemäß Artikel 5, Absatz 2 der DS-GVO. Es ist unklar, welche Verarbeitungen im Auftrag des Kunden und welche für Microsofts eigene Zwecke durchgeführt werden. Zudem fehlen detaillierte Informationen zu den Verarbeitungsschritten.
Die DSK veröffentlichte Empfehlungen, um Kunden auf die Schwächen der Microsoft-Auftragsverarbeitungsvereinbarung hinzuweisen und Ratschläge für eine datenschutzkonforme Nutzung von Microsoft 365 zu geben. Kunden wird geraten, eine zusätzliche Vereinbarung abzuschließen, die vor der vorgefertigten Auftragsverarbeitungsvereinbarung Vorrang hat und die Kritikpunkte der DSK adressiert. Diese Zusatzvereinbarung sollte Microsoft dazu verpflichten, Details über durchgeführte Verarbeitungen offenzulegen, einschließlich Verarbeitungsarten und -zwecke sowie Kategorien verarbeiteter Daten. Zudem sollte klar festgelegt werden, wie die Datensicherheit gewährleistet wird.
Verantwortliche stehen vor der Herausforderung, Datenschutzrichtlinien in Bezug auf Microsoft 365 einzuhalten. Es wird erwartet, dass Verhandlungen mit Microsoft bezüglich zusätzlicher Vereinbarungen schwierig sind. Dennoch ermutigen die Behörden, alle möglichen Wege zu nutzen, um den Datenschutz zu gewährleisten, auch wenn die Verhandlungen komplex sein sollten.
Praxis-Tipps für die datenschutzkonforme Verwendung von Microsoft 365.
