Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365“ erarbeitet.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA“) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Hierbei hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert.
In Anknüpfung an diese Problemfelder haben mehrere Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erarbeitet, um diese dabei zu unterstützen, auf entsprechende vertragliche Änderungen hinzuwirken.
So sind laut der Handreichung etwa die im DPA aufgeführten Löschfristen vertraglich anzupassen, ferner werden in der Handreichung die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern aufgeführt. Ein weiterer wichtiger Aspekt der Handreichung ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken.
Ausgenommen von der Handreichung sind auf Grund der zum Erstellungszeitpunkt noch nicht abgeschlossenen Bewertung die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich von US-Gesetzen. Zudem ersetzt die Umsetzung der in der Handreichung enthaltenen Empfehlungen insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von „Microsoft 365“, die dem Verantwortlichen potenziell zur Verfügung gestellt werden. Eine solche Bewertung muss der Verantwortliche in Abhängigkeit davon vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.
Handreichung: https://lfd.niedersachsen.de/download/199434
oder
[infolaw-th]