Datenschutz-Empfehlungen zu Microsoft 365
Bereits vor einem Jahr wurde auf die Problematik mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft (DPA) hingewiesen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November 2022 verkündet, dass die DPA den Anforderungen des Art. 28 Abs. 3 der DSGVO nicht entspricht.
Aktuell hat der Landesbeauftragte für den Datenschutz Niedersachsen – Denis Lehmkemper – zusammen mit sechs weiteren Aufsichtsbehörden ein Dokument mit Handlungsempfehlungen veröffentlicht. So sollen die Behörden dabei unterstützt werden, bei Microsoft auf vertragliche Änderungen hinzuwirken. Es wird beispielsweise gefordert, die Löschfristen anzupassen sowie mehr Transparenz bezüglich des Einsatzes von Dritten als sog. „Unterauftragsverarbeiter“ zu schaffen. Ein weiterer wichtiger Aspekt sei die Datenverarbeitung durch Microsoft zu eigenen Geschäftszwecken.
Ausgenommen von der Handreichung sind die Themen:
- internationaler Datentransfer
- extraterritorialer Anwendungsbereich von US-Gesetzen.
Handreichung Microsoft 365 (PDF)
https://www.behoerden-spiegel.de/2023/09/28/neue-datenschutz-empfehlungen-zu-microsoft-365/