Microsoft 365 und der Datenschutz sind ein leidiges Thema. Umso schöner ist es, wenn sich Behörden konstruktiv mit dem Thema auseinandersetzen.

Die Datenschutzkonferenz hatte 2022 beschlossen, dass Standardvereinbarungen mit Microsoft nicht ausreichen, um Art. 28 Abs. 3 DSGVO zu erfüllen. Ergänzend hierzu hat die Datenschutzkonferenz nun eine 21-seitige Handreichung zur Vertragsgestaltung mit Microsoft veröffentlicht. Besonders interessant ist dabei, dass die Drittlandproblematik – normalerweise an sich schon das K.-o.-Kriterium der Aufsichtsbehörden – nicht explizit behandelt wird. Die Handreichung fokussiert sich vielmehr auf andere kritische Punkte aus dem Microsoft DPA. Neben der allgemeinen Definitionspflicht zu Art und Zweck, wird unter anderem auf die Eigenverantwortung von Microsoft bei von Microsoft festgelegten Zwecken, Weisungsrechte und technische und organisatorische Maßnahmen eingegangen. Da die Handreichung durch Handlungshinweise Standards zur Einhaltung vorgibt, ist sie auf Anbieter interessant, die kein Microsoft 365 anbieten. Damit verbessern sich die Verhandlungsmöglichkeiten für Datenschützer unter Verweis auf die konkreten Vorschläge der Behörde.

Insgesamt ist zu hoffen, dass weitere Dokumente dieser Art veröffentlicht werden.