Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Im November 2022 wurde von der Konferenz der unabhängigen Datenschutzbeauftragten festgestellt, dass die Standard-Auftragsverarbeitungsvereinbarung von Microsoft, (Products and Services Data Protection Addendum, kurz „DPA“), welche für den Einsatz von Microsoft 365 vorgesehen ist, nicht den Anforderungen des Artikel 28 Absatz 3 der Datenschutzgrundverordnung entspricht. Deswegen hat der Landesdatenschutzbeauftragte Niedersachsens, Denis Lehmkemper, gemeinsam mit sechs weiteren Datenschutzbeauftragten eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von Microsoft 365 erarbeitet. Diese wurde bereits Ende September 2023 veröffentlicht. Um Microsoft 365 zukünftig datenschutzkonform nutzen zu können, enthält die Handreichung praktische Tipps sowie Empfehlungen, welche auf vertragliche Änderungen hinwirken sollen. Die Handreichung richtet sich dabei an die Verantwortlichen. Dies sind hier öffentliche Stellen (wie zum Beispiel Behörden) und nicht-öffentliche Stellen (wie zum Beispiel Unternehmen). Die Handreichung soll die Verantwortlichen unterstützen und auf Problemfelder hinweisen. Es sollen vertragliche Änderungen erwirkt werden.
Die wichtigsten Änderungen sind zum einen die Löschfristen, die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern sowie der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken.
Bisher wurden im DPA keine speziellen Löschfristen und -prozesse benannt. Diese ergeben sich aber aus dem Artikel 17 DSGVO, also wenn Daten auf Verlangen oder aufgrund der Auflösung eines einzelnen Nutzerkontos gelöscht werden müssen. Daher müssen die Löschfristen vertraglich angepasst werden. Das bedeutet, dass die Löschfristen in der Regel gekürzt werden müssen. Zudem muss der Verantwortliche gegebenenfalls vertragliche Anpassungen vornehmen, um Microsoft als Auftragsverarbeiter in eigene Löschprozesse zu integrieren. Außerdem sollten die Ausnahmen von der Löschungsverpflichtung eingeschränkt sowie konkretisiert werden.
Die Information über die Unterauftragsverwalter muss einige Angaben über diese enthalten. Darunter Namen sowie die Anschrift des Unterauftragsverarbeiters, Namen, Funktion und Kontaktdaten der Kontaktperson des Unterauftragsverarbeiters sowie eine Beschreibung der betreffenden Verarbeitung und eine eindeutige Benennung des betroffenen Produkts/ der Funktion. Diese Änderungen gelten auch für die Einbindung von neuen Unterauftragsverarbeitern sowie Änderungen im bestehenden Verhältnis. Zudem muss sich Microsoft verpflichten, da Microsoft Auftragsverwalter ist, den Verantwortlichen etwa über eine Push-Benachrichtigung proaktiv über neue Unterauftragsverwalter zu informieren.
Es wurde festgestellt, dass Microsoft personenbezogene Daten zu eigenen Geschäftszwecken verarbeitet. Das könnte zum Beispiel zur Berechnung von Mitarbeiterprovisionen oder für die interne Berichterstattung geschehen sein. Der Verantwortliche muss hinsichtlich der Zwecke der Verarbeitung selbst überprüfen, ob und inwieweit eine Rechtsgrundlage besteht, um personenbezogene Daten zu den im DPA genannten Zwecken des Verantwortlichen zu verarbeiten.
Die datenschutzrechtliche Bewertung von sämtlichen technischen Funktionen von Microsoft ist zudem nicht von der Handreichung umfasst. Diese stellt Microsoft dem Verantwortlichen zur Verfügung. Der Verantwortliche muss selbst eine Bewertung diesbezüglich vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.
Sie haben Fragen zu den Änderungen oder wissen nicht genau, wie Sie sie umsetzen sollen? Dann helfen wir Ihnen gerne. Wir beraten Sie fachbasiert und zielorientiert in allen Belangen des Datenschutzrechts und vertreten sie gerichtlich sowie außergerichtlich und setzen Ihre Interessen durch.
Dann kontaktieren Sie und jederzeit gerne. Wir stehen Ihnen telefonisch sowie per E-Mail zur Verfügung.