Microsoft 365 und die Einschätzung des HBDI: Einordnung aus datenschutzrechtlicher Perspektive

von Marco

Die aktuelle Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zur Nutzung von Microsoft 365 markiert einen wichtigen Punkt in der Diskussion um die datenschutzrechtliche Zulässigkeit cloudbasierter Kollaborationsplattformen.

Die Bewertung bezieht sich dabei ausdrücklich auf die vertragliche Ausgestaltung des Data Protection Addendum (DPA) und damit auf die Anforderungen des Art. 28 Abs. 3 DSGVO, nicht jedoch auf eine umfassende Prüfung der tatsächlichen Verarbeitungspraxis von Microsoft.

Nachdem die Datenschutzkonferenz (DSK) im Jahr 2022 noch sieben Defizite bei der vertraglichen Ausgestaltung der Auftragsverarbeitung identifiziert hatte, kommt der HBDI nun zu dem Ergebnis, dass Microsoft 365 auf dieser Grundlage unter bestimmten Voraussetzungen datenschutzkonform eingesetzt werden kann. Für Verantwortliche und Datenschutzbeauftragte ergibt sich daraus die Aufgabe, diese Neubewertung sorgfältig einzuordnen.

Ausgangslage und Bedeutung der DSK-Kritik

Die DSK hatte insbesondere Transparenzdefizite beanstandet, etwa bei der Beschreibung von Datenkategorien, Verarbeitungszwecken, Unterauftragnehmern sowie der Nutzung personenbezogener Daten für eigene Zwecke. Diese Kritikpunkte bilden weiterhin den Maßstab, an dem die nun vorgenommenen Anpassungen zu messen sind. Die Einschätzung des HBDI ersetzt die DSK-Position nicht, sondern ordnet die zwischenzeitlichen vertraglichen Nachbesserungen ein.

Verbesserungen auf vertraglicher und organisatorischer Ebene

Der HBDI hebt hervor, dass Microsoft sein DPA sowie begleitende Dokumentationen deutlich erweitert hat. Die beschriebenen Datenverarbeitungsvorgänge sind dadurch nachvollziehbarer geworden und ermöglichen es Verantwortlichen erstmals in größerem Umfang, diese im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO abzubilden und datenschutzrechtlich zu bewerten.

Zugleich hat Microsoft vertraglich klargestellt, dass Inhaltsdaten nicht für eigene Geschäftszwecke verarbeitet werden. Die zulässige Verarbeitung beschränkt sich auf anonymisierte oder aggregierte Log- und Diagnosedaten. Damit wird dem Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b DSGVO Rechnung getragen, auch wenn Datenschutzbeauftragte weiterhin prüfen müssen, ob diese Zweckbindung in der Praxis eingehalten wird.

Darüber hinaus hat Microsoft seine Verpflichtung zur Umsetzung technischer und organisatorischer Maßnahmen konkretisiert. Mit der ausdrücklichen Bindung an die Anforderungen des Art. 32 DSGVO wird ein weiterer zentraler Kritikpunkt der DSK adressiert und Verantwortlichen eine belastbarere Grundlage für ihre Risikoanalyse gegeben.

Fortschritte sieht der HBDI auch bei der Ausgestaltung der Auftragsverarbeitung. Microsoft verpflichtet sich nun eindeutig, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, womit die zuvor kritisierte fehlende Weisungsgebundenheit nach Art. 28 Abs. 3 lit. a DSGVO behoben wird. Ergänzt wird dies durch ein klareres Lösch- und Rückgabekonzept nach Vertragsende gemäß Art. 28 Abs. 3 lit. g DSGVO.

Positiv bewertet der HBDI schließlich die Einführung der EU-Datengrenze. Zentrale Datenverarbeitungen finden nun innerhalb des Europäischen Wirtschaftsraums statt, wodurch die zuvor kritisierte Problematik internationaler Datenübermittlungen adressiert wird. Auch wenn einzelne Ausnahmen weiterhin bestehen, entspricht das Modell insgesamt stärker den Anforderungen der Art. 44 ff. DSGVO. Verantwortliche bleiben jedoch verpflichtet, etwaige Drittlandsübermittlungen zu dokumentieren und rechtlich zu bewerten.

Anforderungen an Verantwortliche und Datenschutzbeauftragte

Für Datenschutzbeauftragte verdeutlicht die Stellungnahme des HBDI, dass die vertragliche Grundlage für eine DSGVO-konforme Nutzung von Microsoft 365 tragfähiger geworden ist, die praktische Umsetzung jedoch anspruchsvoll bleibt. Microsoft 365 ist ein dynamisches System mit unterschiedlichen Diensten und Datenflüssen, dessen datenschutzrechtliche Bewertung stets dienstbezogen erfolgen muss.

Die Konfiguration des jeweiligen Mandanten spielt dabei eine zentrale Rolle. Unzureichende Berechtigungs- oder Zugriffskonzepte können die vertraglich geschaffenen Voraussetzungen schnell unterlaufen. Hinzu kommt, dass der HBDI ausdrücklich keine umfassende technische Prüfung der einzelnen Dienste vorgenommen hat. Die laufende Kontrolle technischer und organisatorischer Rahmenbedingungen bleibt daher Aufgabe der Verantwortlichen.

Fazit: Fortschritte ja – pauschale Entwarnung nein

Die Einschätzung des HBDI bringt mehr Orientierung in eine lange von Unsicherheiten geprägte Debatte. Microsoft hat auf vertraglicher Ebene erkennbare Fortschritte erzielt, insbesondere bei Transparenz, Zweckbindung und Auftragsverarbeitung. Datenschutzkonformität entsteht jedoch nicht allein durch vertragliche Zusicherungen, sondern erst durch deren konsequente Umsetzung im operativen Betrieb. Die Stellungnahme des HBDI ist daher ein wichtiger Schritt in Richtung Rechtssicherheit, ersetzt aber nicht die fortlaufende Verantwortung von Verantwortlichen und Datenschutzbeauftragten.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Marco

Marco begann 2017 ein Lehramtsstudium, orientierte sich jedoch später neu und sammelte über zweieinhalb Jahre hinweg umfangreiche Erfahrung im öffentlichen Dienst, insbesondere im administrativen Bereich. Im Anschluss absolvierte er seine Ausbildung zum Kaufmann für Büromanagement bei aigner business solutions, die er mit herausragender Leistung abschloss. Im Rahmen seiner Ausbildung unterstützte er bereits tatkräftig die Bereiche Finance, Personal sowie das Datenschutz-Team im Backoffice.

Seit seiner Übernahme verstärkt Marco nun unser Team fest und bringt sein Know-how gezielt in den Bereichen Human Resources und Datenschutz ein. Mit seinem Engagement, seiner strukturierten Arbeitsweise und seinem ausgeprägten Verantwortungsbewusstsein ist er eine wertvolle Bereicherung für unser Unternehmen.