老牌微软：监管机构出台Microsoft 365使用指南

fabiha01

新任下萨克森州数据保护专员（LfD）丹尼斯·莱姆肯珀（Denis Lehmkemper）与其他六个德国数据保护监督机构共同制定了关于如何处理微软使用Microsoft 365标准数据处理协议的指南，并于 9 月底发布。其中包含有关符合数据保护要求使用 Microsoft 365 产品的实用技巧以及有关调整数据处理标准合同的建议。

除了调整删除期限的规范外，该手册的另一个重要方面是微软如何处理自身业务目的的处理。根据艺术。 29 GDPR，处理者应仅根据控制者的指示处理个人数据，除非控制者根据联盟或成员国法律有义务这样做。

该手册并未涉及国际数据传输（向第三国传输数据）以及美国法律的域外适用范围问题，因为尚不清楚此类数据处理的合法性如何受到合同安排的影响。

背景
2022 年 11 月，数据保护会议 (DSK) 发现微软针对使用 Microsoft 365的标准数据处理协议 (产品和服务数据保护附录，简称“DPA”)不符合第 32 条的要求。 GDPR 第 28（3）条。甚至其前身版本在 2020 年也被评为“不可接受”，因为根据这些文件，不可能以符合数据保护法规的方式使用 Microsoft 365。随后，微软与DSK的微软在线服务工作组进行了进一步讨论，最终于2022年11月做出了决定。

针对 DPA 的问题领域，七个数据保护监管机构现已联合为负责人制定了一份手册，新西兰商业传真列表 以支持他们努力实现适当的合同变更。本手册的目标责任方包括使用 Microsoft 365 的公共机构（例如当局）和非公共机构（例如公司）。

删除期限
决心
DPA 中没有规定更具体的删除流程和期限，例如B. 如果必须根据要求删除数据（GDPR 第 17 条）或关闭单个用户帐户时。

待办事项
具体来说，根据指南，删除期限必须通过合同进行调整，即通常会缩短。控制者可能需要进行合同调整，将微软作为处理者整合到其自己的删除流程中。

目的
决心
微软出于自己的商业目的处理个人数据，例如：B. 用于计算员工佣金或用于内部报告。然而，作为处理器这是不允许的。

待办事项
关于处理的目的，控制者必须核实其本身在多大程度上具有为 DPA 中规定的控制者目的处理个人数据的合法依据。

结论
该文件以单独的待办事项的形式简洁地呈现，是实施必要的合同变更和措施的良好指南。然而，本文并不能取代对各个用户和负责人可能使用的单个应用程序的考虑。因此，这些应用程序和技术功能的数据保护评估必须由控制者根据具体情况并根据实际使用哪些功能来处理哪些个人数据来进行。我们很乐意为您提供支持。