Überraschung zum Wochenende: Gleich sieben Datenschutzaufsichtsbehörden haben sich zusammengetan. In einer gemeinsamen Handreichung geben sie jetzt „Praxis-Tipps für Verträge mit Microsoft“. Die Empfehlungen beziehen sich konkret auf Microsoft 365. Die Software-Sammlung mit zahlreichen Online-Diensten verarbeitet Daten grundsätzlich in der Cloud.
Das ist eine bemerkenswerte Kehrtwende: Bislang hatten die Datenschützer von Microsoft 365 konsequent abgeraten, teilweise auf ein Verbot der Software hingewirkt. Jetzt hält man einen datenschutzkonformen Einsatz der Apps und Online-Dienste offenbar doch für möglich – unter bestimmten Voraussetzungen – und berät erstmals öffentlich in die entgegengesetzte Richtung.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat die Handreichung zuerst veröffentlicht. Welche weiteren Behörden an diesen „Praxis-Tipps“ beteiligt waren, ist offenbar nicht bekannt.
Standard-Verträge mit Microsoft anpassen
Die Tipps in der Handreichung drehen sich vorrangig um die „Standard- Auftragsverarbeitungsvereinbarung“ mit Microsoft. Dieser Vertragstext zur Nutzung von Microsoft 365 entspreche in seiner Grundform nicht den Anforderungen der DSGVO. Genau das hatte die Datenschutzkonferenz (DSK) bereits vor einigen Monaten kritisiert.
Die neue Handreichung der Datenschutzaufsichtsbehörden soll Unternehmen nun dabei unterstützen, ihre Verträge mit Microsoft anzupassen bzw. eine Zusatzvereinbarung zu schließen. So könne man die Verantwortlichkeiten rund um die Datenverarbeitung mit Microsoft 365 genauer und im Sinne der DSGVO klären.
Auch Rechtsanwalt Stefan Hessel – spezialisiert auf Datenschutzfragen im Kontext von Microsoft 365 – wertet die aktuelle Handreichung als „positivies Signal“. Er schreibt bei LinkedIn über die Kehrtwende der Datenschützer:
„Die gemeinsame Handreichung von insgesamt sieben Datenschutzaufsichtsbehörden unterstreicht, dass Microsoft 365 aus dem Geschäftsalltag nicht mehr wegzudenken ist und zahlreiche Unternehmen und öffentliche Stellen aufgrund der Kritik der DSK verunsichert sind und Unterstützung bei einer datenschutzkonformen Nutzung von Microsoft 365 benötigen. Insofern ist es zu begrüßen, dass die Datenschutzaufsichtsbehörden nach der zuletzt umfassenden Kritik an Microsoft 365 ihrer gesetzlich vorgesehenen Beratungsfunktion nachkommen und die Verantwortlichen bei der datenschutzkonformen Implementierung von Microsoft 365 unterstützen.„
Bewegung beim Datenschutz: Vermittlung statt Verbote
Generell scheinen sich die Wogen bei dem Thema zu glätten. In diesem Jahr hat Microsoft zahlreiche Verbesserungen beim Datenschutz versprochen und u. a. eine „EU-Datengrenze“ umgesetzt. Seit Juli gibt es ein neues Datenschutzabkommen zwischen der EU und den USA. Die Datenschutzbeauftragten wiederum scheinen endlich auf Vermittlung zu setzen und ihre starre Haltung aufzugeben, die viele als „weltfremd“ kritisierten.
Ich mag mich allerdings nicht zu früh freuen: Schließlich steht noch eine Neubewertung von Microsoft 365 aus inhaltlicher und technischer Sicht aus. Die letzte Bewertung der DSK stammt von November 2022, also VOR den von Microsoft versprochenen Verbesserungen und VOR dem Datenschutzabkommen zwischen USA und EU.
Außerdem mahlen die Mühlen im öffentlichen Sektor bekanntlich langsam. Wann endlich auch alle Schulen und Einrichtungen sorgenfrei mit Microsoft 365 arbeiten können – sofern sie es möchten -, bleibt abzuwarten.
Natürlich dürfen Lehrer Programme wie OneNote, PowerPoint, Excel & Co. weiterhin risikolos nutzen, sofern sie darin keine personenbezogenen Daten von Schülern speichern.
