Bewertung der Datenschutzkonferenz zu Microsoft 365
Die Bewertung der Datenschutzkonferenz (DSK) - die ausschließlich den Cloud-Dienst Microsoft 365 betrifft - richtet sich an Verantwortliche, die Microsoft 365 bereits verwenden oder in Zukunft verwenden möchten. Sie weist darauf hin, dass eine datenschutzkonforme Nutzung momentan nicht möglich ist. Da Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten für eigene Zwecke verwendet und hierüber keine weiteren Angaben macht, können die Verantwortlichen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht vollständig nachkommen.
So kann z. B. eine Schule, die Microsoft 365 einsetzen möchte, ihre Informationspflichten nach Art. 13 DS-GVO nicht erfüllen, wenn nicht bekannt ist, welche personenbezogenen Daten der Schüler oder Lehrer für welche Zwecke durch Microsoft verarbeitet werden. Dadurch ist auch keine informierte Einwilligung der Eltern bzw. Lehrer hinsichtlich der Nutzung von Microsoft 365 möglich (Art. 4 Nr. 11 DS-GVO). Dennoch erteilte Einwilligungen wären unwirksam, wodurch auch die Rechtsgrundlage zur Verarbeitung dieser Daten nach Art. 6 Abs. 1 lit. a DS-GVO entfallen würde. Außerdem liegt ein Verstoß gegen Art. 28 DS-GVO vor, wenn der Auftragsverarbeiter (Microsoft) die Daten nicht nur auf Weisung des Verantwortlichen (Schule) verarbeitet, sondern sich vorbehält, diese auch für eigene Zwecke zu verarbeiten. Es würde sich dann um eine Datenübermittlung an Microsoft handeln, die aufgrund der fehlenden Rechtsgrundlage unzulässig wäre. Hinzu kommen die Fragen zur Datenübermittlung in die USA.
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt informiert die Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich hiermit über den Sachstand. Er wird die Vorgaben der DS-GVO unter Berücksichtigung der Interessen der Verantwortlichen in Sachsen-Anhalt und dem Gebot der Verhältnismäßigkeit umsetzen.
- Schreiben an öffentliche Stellen
- Schreiben an nicht-öffentliche Stellen
- Festlegung der DSK vom 24.11.2022
- Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung durch die Arbeitsgruppe DSK „Microsoft-Onlinedienste“