#012 Microsoft 365 – Neue Praxis-Tipps zur Vertragsgestaltung
Microsoft Vertragsgestaltung
Im November 2022 hat die Datenschutzkonferenz in ihrem Abschlussbericht [https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf] festgestellt, dass die Datenschutzvereinbarung von Microsoft (Data Protection Addendum – DPA) für die Nutzung von “Microsoft 365” nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht. Das betrifft nicht nur Microsoft selbst, sondern auch diejenigen, die “Microsoft 365” verwenden. Wenn du also “Microsoft 365” nutzt, musst du sicherstellen, dass du eine datenschutzkonforme Vereinbarung mit Microsoft triffst.
Um dir dabei zu helfen, haben der Datenschutzbeauftragte von Niedersachsen (LfD Niedersachsen), die Datenschutzbeauftragte von Nordrhein-Westfalen (LDI NRW) und vier weitere Datenschutzbehörden eine Handreichung erstellt. In dieser Handreichung findest du kompakte Informationen über die notwendigen Vertragsänderungen und Maßnahmen, die du ergreifen kannst, um eine datenschutzkonforme Vereinbarung mit Microsoft gemäß Artikel 28 Absatz 3 der DSGVO abzuschließen. Du kannst die Handreichung direkt hier abrufen: [https://www.ldi.nrw.de/system/files/media/document/file/handreichung_ms_365_clean_formatiert_stand-24.08.2023.pdf].
Bitte beachte, dass in der Handreichung nicht auf einzelne Anwendungen oder spezielle technische Funktionen von “Microsoft 365” eingegangen wird. Die datenschutzrechtliche Bewertung solcher Anwendungen und Funktionen musst du als Verantwortlicher im Einzelfall vornehmen.
Ebenso werden in der Handreichung nicht die Datenübermittlung in Drittländer oder die Anwendung von US-Gesetzen im Zusammenhang mit “Microsoft 365” behandelt. Wenn Daten in die USA übertragen werden, gilt mittlerweile der neue Angemessenheitsbeschluss der EU-Kommission. Die Microsoft Corporation ist gemäß dem EU-US Data Privacy Framework zertifiziert. Wenn jedoch Verträge eine Übermittlung in andere Drittländer vorsehen, musst du die Zulässigkeit dieser Übermittlungen gesondert prüfen.
Wenn dein Unternehmen “Microsoft 365” verwendet, ist es wichtig, die mit Microsoft getroffene Datenschutzvereinbarung zu überprüfen und festzustellen, ob Anpassungen erforderlich sind. Anschließend solltest du Microsoft um entsprechende Vertragsänderungen bitten. Es ist jedoch unklar, ob Microsoft bereit ist, solche individuellen Anpassungen vorzunehmen oder ob sie in naher Zukunft Änderungen an der Standard-DPA für “Microsoft 365” vornehmen werden. Daher bleibt abzuwarten, ob die Empfehlungen der Behörden in der Praxis wirklich nützlich sind.