Neubewertung von Microsoft 365

25. Juli 2023

Aktuelles | Datenschutz und IT-Recht

Neubewertung von Microsoft 365 durch die DSK

Die Datenschutzkonferenz (DSK) hat auf Initiative der Hamburgischen Datenschutzbehörde eine Neubewertung von Microsoft 365 in Auftrag gegeben. Dieser Schritt folgt auf eine frühere Bewertung der Arbeitsgruppe (AG) DSK „Microsoft-Onlinedienste“ vom 2. November 2022, in der festgestellt wurde, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.

Microsoft reagierte schnell auf diese Bewertung und nahm am 25. November 2022 Stellung zu den Bedenken der DSK. Das Unternehmen argumentierte, dass ein datenschutzkonformer Einsatz von MS Office 365 möglich ist und kündigte an, ab dem 1. Januar 2023 in drei Phasen den Kunden die Möglichkeit zu bieten, Cloud-Produkte wie Microsoft 365, Dynamics 365 und Azure innerhalb einer EU-Datengrenze zu nutzen. Dies würde eine Begrenzung der Datenübermittlungen in Drittländer, insbesondere die USA, ermöglichen.

Diese Ankündigung, zusammen mit weiteren Maßnahmen wie einem überarbeiteten Datenschutz-Nachtrag (DPA 01/23), veranlasste die Hamburgische Datenschutzbehörde, das Thema Microsoft für eine Neubewertung auf die Tagesordnung der Zwischenkonferenz zu setzen. Nach einer Diskussion beauftragte die DSK die AG DSK „Microsoft-Onlinedienste“ bis „möglichst zur 105. DSK über die Änderungen zu berichten, die sich aus der EU Data Boundary bzw. zumindest dem damit verbundenen DPA 01/23 ergeben [haben].“

Bislang hat die AG DSK „Microsoft-Onlinedienste“ noch keinen Bericht zu den Änderungen vorgelegt, die sich aus der EU Data Boundary bzw. dem damit verbundenen DPA 01/23 ergeben. Dies wurde in einer Antwort des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) auf einen Antrag nach dem Informationszugangsgesetz am 7. Juni 2023 bestätigt.

Es bleibt abzuwarten, zu welchem Ergebnis die Prüfungen der DSK-Arbeitsgruppe kommen werden. In der Zwischenzeit sollten Unternehmen, insbesondere Unternehmensjuristen, Datenschutzbeauftragte und die Geschäftsleitung, die Entwicklungen genau verfolgen und sich auf mögliche Änderungen in der Nutzung von Microsoft 365 vorbereiten.

Wir bei advokIT stehen Ihnen zur Seite, um Sie bei der Umsetzung und Anpassung an diese Änderungen zu unterstützen. Kontaktieren Sie uns für weitere Informationen und Unterstützung.