Praxistipps zum Auftragsverarbeitungsvertrag beim Einsatz von Microsoft 365 – neue Bewertung der Behörden

Kritik an Microsoft beim Einsatz von Microsoft Office

Viele Unternehmen in Europa setzen Microsoft Office ein und stehen dabei mit Microsoft in einem Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO. Microsoft Office 365, ehemals bekannt als Office 365, ist eine umfassende Suite von Produktivitätsanwendungen und cloudbasierten Diensten, darunter klassische Büroanwendungen wie Word, Excel und PowerPoint, aber auch Tools für die Zusammenarbeit und Kommunikation wie Teams und Outlook.

Im November 2022 hatte zuletzt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihre Einschätzung veröffentlicht, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA“) nicht den datenschutzrechtlichen Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen. Hierbei hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert.

Handreichung zum Umgang mit dem Microsoft-AVV

Hierauf reagiert nun der Landesbeauftragte für den Datenschutz Niedersachsen (LfD), der gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365“ veröffentlicht hat. Aufbauend auf der Kritik der DSK soll die Handreichung Unternehmen unterstützen Änderungen des Vertrages durch Microsoft zu erwirken. Der Handreichung umfasst eine inhaltliche Kritik des Auftragsverarbeitungsvertrages von Microsoft und entsprechende Verbesserungsvorschläge.

Die Kritik der Behörden adressiert unter anderem folgende Themen:

  • Die Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten
  • Die Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind
  • Die Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen
  • Die Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
  • Das Löschen personenbezogener Daten
  • Information über Unterauftragsverarbeiter

Konsequenzen der Handreichung

Die angeführten Themen dürften Datenschützerinnen, die regelmäßig mit der Prüfung von Auftragsverarbeitungsverträgen zu tun haben, durchaus bekannt sein. Nicht nur Microsoft, sondern viele Anbieter im Tech-Bereich stellen Auftraggeber häufig vor vollendete Tatsachen und Verträge nicht zur Disposition. Daher ist begrüßenswert, dass Unternehmen die Handreichung als Grundlage verwenden können, um Kritik am Vertrag anbringen zu können. Die datenschutzrechtliche Bewertung des Vertrages obliegt, auch mit Handreichung, weiterhin dem Verantwortlichen selbst.

Im Ergebnis lässt sich festhalten, dass es den Unternehmen schwer gelingen wird, die gewünschten Zusatzvereinbarungen gegenüber Microsoft durchzusetzen. Auch ist davon auszugehen, dass Microsoft schwer mit sich verhandeln lassen wird. Das Problem scheint auch den Aufsichtsbehörden bewusst zu sein, da diese darauf hinweisen, dass Auftraggeber „alle ihnen zur Verfügung stehenden Möglichkeiten zu nutzen, um auf datenschutzkonforme Vereinbarungen mit Microsoft hinzuwirken und eine datenschutzkonforme Nutzung zu ermöglichen“. Zudem kann die Handreichung analog auf andere Dienstleister angewendet werden, die ähnliche Vertragspraktiken pflegen.

Share