Neben dem LDSB aus Thüringen (LDSB Thüringen will und verbietet Microsoft 365 – RaKöllner (rakoellner.de)) hat sich nun auch der Landesdatenschutzbeauftragte aus BW zu dem DSK Beschluss in einem Interview mit dem Portal Golem geäußert.
Ergebnisse des Interviews
Stefan Brink wiederholt die Kritikpunkte des DSK Beschluss und bestätigt die Verantwortung der Unternehmen, also öffentlichen- wie auch nicht öffentlichen Stellen. Es heißt also eine saubere Dokumentation, DSFA und Verträge zu haben und mit einem Code of Conduct zu arbeiten.
Was passiert in BW?
“Golem.de: Wer von den Aufsichtsbehörden wird jetzt vorangehen?
Brink: Ich kann das nur für Baden-Württemberg beantworten: Wir werden uns zunächst um öffentliche Stellen kümmern. Da werden wir uns diejenigen ansehen, die mit besonders sensiblen Daten umgehen. Wir haben ja bereits unsere Erfahrungen im Zusammenhang mit den Schulen gemacht. Aber es ist auch ganz klar, dass es zum Beispiel in der Sozialverwaltung besondere Anforderungen an den Einsatz von Auftragsdatenverarbeitern gibt. Auch bei Sicherheitsbehörden besteht ein besonderes Interesse daran, dass die Dienstleister gut und überprüfbar ausgewählt und überwacht werden. Erst wenn wir im öffentlichen Sektor Klarheit geschaffen haben und hinreichend Erfahrungen gesammelt haben in der Umsetzung des Beschlusses, werden wir auf die Unternehmen zugehen. Das heißt, die Unternehmen sind gut beraten, sich bereits jetzt mit dem Beschluss der DSK auseinanderzusetzen und sich klarzumachen, worin ihre Verantwortlichkeit besteht. Erreichen uns Aufsichtsbehörden konkrete Beschwerden, so kann dies natürlich auch Anlass zu Prüfungen sein. Aber auch hier müssen wir realistisch bleiben: Wir werden nicht alle Beschwerden gleichzeitig bearbeiten können, auch da müssen wir priorisieren.”
Interview auf dem Portal golem
Auszüge aus dem Interview
“Golem.de: Wer wird jetzt mit dem Beschluss adressiert?
Brink: Der Beschluss adressiert nicht mehr nur Schulen oder öffentliche Stellen, sondern wir haben jetzt alle Verantwortlichen im Blick, auch die Unternehmen.”
“Golem.de: Was ist die Hauptbotschaft der DSK an Unternehmen, die Microsoft 365 einsetzen?
Brink: Die Botschaft an die Unternehmen ist, dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.
Unser Beschluss sagt: Die Transparenz von Microsoft reicht hinsichtlich der Datenverarbeitungsvorgänge und der genauen Vorgehensweise noch nicht aus; das haben wir in unserem Bericht beispielhaft im Bereich der Auftragsverarbeitung festgestellt. Wenn Microsoft sich etwa die Datenverarbeitung für eigene Zwecke herausnimmt, muss der Verantwortliche sich darüber klar werden, was sein Dienstleister, also Microsoft, genau macht: In welchen Bereichen macht er sich selbstständig und wie kriegt man das als Verantwortlicher eingefangen? Diese Aufgabe ist aus unserer Sicht tatsächlich nur schwer zu erfüllen.”