Die Dokumentation der Datentransfers von Microsoft 365 reicht noch immer nicht aus, um einen rechtmäßigen Einsatz nachzuweisen.

Microsoft konnte die deutschen Datenschutzbehörden nicht davon überzeugen, dass der Einsatz von Microsoft 365 in Behörden, Schulen oder Unternehmen rechtskonform gestaltet werden kann.

Der Bundesdatenschutzbeauftragte Ulrich Kelber erklärte am 24. November 2022 zum Abschluss der Datenschutzkonferenz von Bund und Ländern (DSK) auf einer Pressekonferenz, dass weiterhin unklar sei, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitet würden.

Es gäbe weiterhin Mängel in der Transparenz und der Prüfung, ob die Datenverarbeitung zu eigenen Zwecken rechtmäßig sei. Kelber sieht daher weiteren "Verbesserungsbedarf".

Die Arbeitsgruppe DSK Microsoft Onlinedienste hatte auf Basis von Microsoft-Unterlagen einen als vertraulich eingestuften Bericht erstellt.
Die DSK hat dazu inzwischen eine Zusammenfassung veröffentlicht, die hier abrufbar ist. (  Link zum PDF)

Auf Grundlage des Beschlusses kam die DSK u. a. zu folgender Festlegung:

„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichtes fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten "Datenschutznachtrags vom 15. September 2022" nicht geführt werden kann“.
"Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden."

Kelber führt aus, die der DSK vorliegenden Unterlagen hatten nicht ausgereicht, "um die Rechtmäßigkeit des Einsatzes von Microsoft 365 belegen zu können".