Am 24.11.2022 veröffentlichte die DSK eine weitere Stellungnahme zu der datenschutzkonformen Nutzung von den Microsoft Diensten. Kurz vorab – der Kampf zwischen Microsoft und Behörde ist mit diesem Dokument nicht vorbei, sondern geht in die nächste Runde.

Die Stellungnahme der DSK betitelt sich als „Arbeitsgruppe DSK Microsoft-Onlinedienste – Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“. Man geht hier vordergründig auf den neuen Auftragsverarbeitungsvertrag von Microsoft ein. Hintergründig verteilt die Arbeitsgruppe ein Kritikpunkt nach dem anderen an Microsoft. Mit Beschreibungen wie „weiterhin unklar“ oder „zu wenig konkretisiert“ bewertet die DSK die Verbesserungen von Microsoft als mangelhaft. Krönung der ganzen Geschichte ist die Aussage: es haben „keine substanziellen Verbesserungen“ stattgefunden. Für diese Erkenntnisse gab es laut der DSK vierzehn gemeinsame, mehrstündige Termine mit Vertretern von Microsoft seit Ende 2020. Also man hat sich fast zwei Jahre mit dem Thema Datenschutz auseinandersetzt und kam zu keinen wesentlichen Verbesserungen. Angebracht und immer wieder betont hat die DSK vor allem folgende, bekannte Kritikpunkte: Für den Verantwortlichen ist es nicht klar welche Datenverarbeitungen bei der Nutzung von Microsoft Diensten tatsächlich stattfinden. Daraus ergeben sich Folgeprobleme wie fehlende Erfüllung der Informationspflichten, fehlende Rechtsgrundlagen und Zweckbestimmungen sowie unklare Verteilung der Verantwortlichkeiten zu den jeweiligen Datenverarbeitungen. Gerade die Bewertung der Telemetrie- und Diagnosedaten, die Microsoft nach Aussage der Arbeitsgruppe in großem Umfang und grundsätzlich für eigennützige Zwecke erhebt, wurden nicht ausreichend thematisiert. Im Auftragsverarbeitungsvertrag von Microsoft wurde zudem auf eine Offenlegungs-Klausel eingegangen, welche in dieser Form laut DSK nicht die gesetzliche Mindestanforderung genügt. Schließlich betont die DSK, dass ein rechtswidriger Datenexport in die USA stattfindet und dass es zurzeit keine bekannten Maßnahmen gäbe, um dies zu unterbinden. Kurz gesagt: Die DSK scheint unterschwellig schon genervt von den Giganten zu sein. Man liest hier förmlich „man ist stets bemüht“ heraus. Ein kleines Lob hier und ein Kompliment zur Löschung da, beseitigen das negativ kritische Plädoyer einer Arbeitsgruppe nicht, welche am Anfang der Stellungnahme auf einer halben A4-Seite alle die Punkte aufzählt, welche nicht Bestandteil der Bewertung sind. Mit diesem Dokument hat der Behördenzusammenschluss klar gemacht, dass Microsoft für die Behörden Deutschlands mit den Worten dieser „datenschutzrechtlich substanziell verbesserungswürdig“ ist.