Wie in meiner Pressemitteilung vom 26. November 2022 beschrieben, hat die 104. Datenschutzkonferenz des Bundes und der Länder (DSK) festgestellt, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
Die Antwort der Bundesregierung auf eine Anfrage des Bundestagsabgeordneten Marc Biadacz (CDU) geht in dieselbe Richtung (https://dserver.bundestag.de/btd/20/048/2004852.pdf, S. 44 ff.):
„Anwendende haben erhebliche Schwierigkeiten, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachzuweisen. Dieser Nachweis muss durch verantwortliche Stellen aber erbracht werden. Es ist zum einen nicht zu jedem Zeitpunkt klar, welche Verarbeitungen zu welchem Zweck vorgenommen werden, zum anderen, welche Verarbeitungstätigkeiten von Microsoft im Auftrag und welche in eigener Verantwortung erfolgen. Insbesondere für Einrichtungen des Bundes ist dabei unklar, auf welcher Rechtsgrundlage eine Verarbeitung in eigener Verantwortlichkeit stattfinden kann. Für die Einrichtungen des Bundes bereitet diese Unklarheit besondere Schwierigkeiten nachzuweisen, dass die Datenverarbeitung z. B. von Telemetriedaten innerhalb des gesetzlich vorgegebenen Zweckes erfolgt bzw. ausgeschlossen ist. Nur so ist eine Verarbeitung von personenbezogenen Daten in einer Umgebung dieser Art überhaupt möglich. …“
Dazu der TLfDI, Dr. Lutz Hasse: „Die einmütigen Erkenntnisse und Schlussfolgerungen der DSK werden von immer mehr sachkundigen Stellen und Einrichtungen nachvollzogen. Dieser Prozess wird sich fortsetzen und den Schutz der Privatsphäre stärken, den die Datenschutzbeauftragten nun auch entsprechend umsetzen werden.“
Firmenkontakt und Herausgeber der Meldung:
Thüringer Landesbeauftragter für den Datenschutz
Häßlerstraße 8
99096 Erfurt
Telefon: +49 (361) 57-3112900
Telefax: +49 (361) 57-3112904
http://www.tlfdi.de
Ansprechpartner:
Dr. Lutz Hasse
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Telefon: +49 (361) 3771-901
E-Mail: poststelle@datenschutz.thueringen.de
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Telefon: +49 (361) 3771-901
E-Mail: poststelle@datenschutz.thueringen.de
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
