Datenschutzbehörden haben eine Handreichung für Microsoft 365 erarbeitet. Aufhänger ist eine Vertragsvereinbarung, die der Expertenbewertung zufolge nicht der Datenschutz-Grundverordnung (DSGVO) entspricht. Verantwortliche in Behörden sollen eine Vertragsänderung herbeiführen.
Die Probleme mit der Standard-Auftragsverarbeitungsvereinbarung (DPA) von Microsoft wurden bereits vor einem Jahr herausgestellt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November verkündet, dass die DPA den Anforderungen des Art. 28 Abs. 3 der DSGVO nicht entspricht. Dabei geht es insbesondere um die Dokumentation der Verarbeitung personenbezogener Daten und ihrer Übermittlung an Dritte.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat nun zusammen mit sechs weiteren Aufsichtsbehörden ein Dokument mit Handlungsempfehlungen veröffentlicht. So sollen die Behörden dabei unterstützt werden, bei Microsoft auf „vertragliche Änderungen hinzuwirken“, informiert Niedersachsens LfD in einer Pressemitteilung. Wer die Software einsetze, sei schließlich für den Datenschutz verantwortlich.
Beispielsweise sollen die im Vertrag aufgeführten Löschfristen gekürzt werden. Gefordert wird auch mehr Transparenz bezüglich des Einsatzes von Dritten als sog. „Unterauftragsverarbeiter“. Ein weiterer wichtiger Aspekt sei die Datenverarbeitung durch Microsoft zu eigenen Geschäftszwecken, z. B. für deren interne Berichterstattung. Laut Handreichung müsse diese bei einem Einsatz durch öffentliche Stellen ausgeschlossen werden bzw. als Ausnahme klar beschrieben werden.
Keine Bewertung des internationalen Datentransfers
Zur Erhöhung des Datenschutzes empfiehlt das Dokument weiterhin die Verwendung pseudonymer Mailadressen. Private Microsoft-Accounts sowie private Geräte sollen hingegen nicht dienstlich genutzt werden. Noch bewertet werden müssen der internationaler Datentransfer und die extraterritoriale Anwendung von US-Gesetzen. Erst im Sommer hat die EU ein neues Datenschutzabkommen mit den USA geschlossen. Dieses erlaubt wieder, Daten aus Europa in die USA zu übertragen.
Die Handreichung kann hier als PDF-Dokument heruntergeladen werden.
