Updates zu Microsoft 365 und Copilot

Haben Sie weitere Fragen oder möchten eine Veröffentlichung aus dem Datenschutz-Berater als pdf? Oder Sie möchten auf eine eigene M365-Information hinweisen lassen? Schreiben Sie gerne an [email protected]

Aktuell: Der Verantwortliche und seine Copiloten

Im Datenschutz-Berater 2024, S. 186 ff. analysieren Raphael Köllner und ich die verschiedenen Copilot-Varianten von Microsoft.

Was sind die rechtlichen Voraussetzungen - dürfen personenbezogene Daten wirklich niemals ohne AVV "in die Cloud"? Welche Copilot-Varianten gibt es,  welche Lizenzen bewirken welchen Datenschutz-Level, und was ist datenschutzrechtlich zu beachten?

Hier geht's zum Artikel (pdf)

Microsoft Teams in öffentlichen Stellen:
LfD Niedersachsen akzeptiert AVV mit Microsoft

Datenschutz-Berater 2024, S. 126 ff.: Trotz seiner früheren Positionierung hat der Landesbeauftragte für den Datenschutz Niedersachsen das Microsoft-DPA mit einer Zusatzvereinbarung akzeptiert.

Hintergrund:
Bereits seit langem gab es Pläne für einen Einsatz von
M365 in der Landesverwaltung Niedersachsen und entsprechende
Verhandlungen mit Microsoft. Am 3. Mai 2024
hat der Landesdatenschutzbeauftragte bekanntgegeben, dass er das „Verhandlungsergebnis mit Blick auf die Auftragsverarbeitungsvereinbarung für akzeptabel“ hält (use365.ms/LfDNI-Teams). Taugt dies als „Blaupause“ für andere Verantwortliche, welchen Anwendungsbereich hat diese „Freigabe“ und welche individuelle Prüfung bleibt zu tun?


Die neue aufsichtsbehördliche Handreichung zu
Microsoft 365: Praxis-Tipps oder Non-Paper?

Datenschutz-Berater 2023, S. 252 ff.: Der Landesbeauftragte für den Datenschutz Niedersachsen hat zusammen mit sechs weiteren Aufsichtsbehörden eine Handreichung herausgegeben und diese als „Praxis-Tipps für Verträge mit Microsoft“ beworben. Was sagen
diese Tipps, sind sie umsetzbar und wie ist das Paper einzuordnen?

Teaser:
In der Diplomatie und beim Lobbyismus gibt es das Instrument
der sog. „Non-Paper“. Dies sind Dokumente, die
gerade nicht als ozielles „Paper“ des Ausstellers erkennbar
sein sollen. Sie werden ohne Logo, Herausgeber- oder
Autorenangaben und Datum erstellt, um bestimmte Positionen
zwar schriftlich festzuhalten, sie aber unverbindlich
erscheinen zu lassen und notfalls wieder kassieren zu können.

Die Handreichung entspricht genau dieser Definition: Sie
hat keinen Briefkopf, kein Logo, keinen Hinweis auf die
Aussteller und kein Datum. Im Beitrag wird sie analysiert.

Der DSK-Beschluss zu Microsoft 365 oder: Alternative
Auslegungen – wie kann die Nutzung begründet werden?

Datenschutz-Berater 2023, S. 2 ff.: Die deutsche Datenschutzaufsicht hat einen Beschluss zur datenschutzrechtlichen Zulässigkeit von Microsoft 365 gefasst, der auf den ersten Blick vernichtend wirkt. Was sagt der Beschluss, wie fundiert sind die Argumente und was bedeutet er für die Praxis? Und vor allem: Gibt es weitere Gesichtspunkte, mit denen der Einsatz von Microsoft 365 begründet werden kann?

Zusammenfassung:
Nach gut zwei Jahren erneuter Prüfung hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine „Festlegung“ zu den datenschutzrechtlichen
Dokumenten für Microsoft 365 getroffen (bit.ly/DSB-M365-DSK). Hiernach scheint eine DSGVO-konforme Nutzung des Produkts nicht möglich zu sein.

Die kurze Zusammenfassung lautet: Wie schon im Beschluss der DSK aus 2020 ist die DSK der Auffassung, dass Microsoft 365 nicht datenschutzkonform eingesetzt werden kann. Gleichzeitig wurde und wird Microsoft 365 deutschlandweit eingesetzt, sowohl von nicht-öffentlichen Stellen als auch von vielen öffentlichen Stellen bis hin zur Bundesregierung (siehe die kleine Anfrage in BT-Drucks. 20/4852, S. 44).

Das bedeutet: Bewertung und Anspruch der Aufsichtsbehörden
und die Praxis klaffen weit auseinander. Es herrschen Unsicherheiten und Beratungsbedarf bis hin zur Frage, ob eine solche konkrete „Produktwarnung“ durch die DSK überhaupt zulässig sei.

Überblick über das Vertragswerk zu Microsoft 365 und
Geschäftsführer-Haftung nach „Business Judgment Rule“

Datenschutz-Berater 2022, S. 28 ff.: Microsoft 365 ist mit seinen Office-Programmen und der Videokonferenz-Funktion von „Teams“ weit verbreitet. Ebenso verbreitet sind kritische bis ablehnende Stellungnahmen von Datenschutz-Aufsichtsbehörden und externen
Beratern. Gleichzeitig wird Microsoft 365 auch bei Behörden, Schulen und anderen öffentlichen Einrichtungen genutzt. Was sagen die Vertragsbedingungen und wie kann das Risiko einer persönlichen Haftung von Geschäftsführern reduziert werden?

Inhalt:
Der Beitrag gibt einen Überblick über das Vertragswerk zu M365, wie den Product Terms und dem Data Protection Addendum (DPA) von Microsoft. Er erläutert das Zustandekommen des Vertrags, die Einbeziehung dieser Dokumente und die Microsoft-Gesellschaften als Vertragspartner. 
Darüber hinaus erläutert er Compliance-Aspekte und die Haftung von Geschäftsführern bzw. Vorständen. An Hand der Business Judgment Rule werden die Rahmenbedingungen dargestellt und mit Hilfe einer Checkliste konkrete Maßnahmen zur Risiko- und Haftungsvermeidung vorgeschlagen.