Bewertung Microsoft-Onlinedienste

Antrag nach BayDSG/BayUIG/VIG

Sehr geehrte Damen und Herren,

die Deutsche Datenschutzkonferenz hat letzte Woche festgestellt:
"Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten 'Datenschutznachtrags vom 15.
September 2022' nicht geführt werden kann." (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.html)

Ich möchte wissen,
1. wie die Staatsregierung in Bayern Microsoft 365 datenschutzrechtlich bewertet und
2. welche Schlussfolgerungen die Staatsregierung in Bayern aus der Bewertung der DSK zieht.

Bitte stellen Sie mir dazu auch Dokumente zur Verfügung, die den Diskussionsprozess innerhalb der Staatsregierung dokumentieren (z. B. Vorlagen, Handreichungen, Empfehlungen).

Dies ist ein Antrag auf Aktenauskunft nach Art. 39 des Bayerischen Datenschutzgesetzes (BayDSG), Art. 3 Abs. 1 des Bayerischen Umweltinformationsgesetzes (BayUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen betroffen sind.
Sollten diese Gesetze nicht einschlägig sein, bitte ich Sie, die Anfrage als Bürgeranfrage zu behandeln.

Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Es handelt sich meines Erachtens um eine einfache Auskunft bei geringfügigem Aufwand. Gebühren fallen somit nicht an.

Ich verweise auf Art. 3 Abs. 3 Satz 2 Nr. 1 BayUIG/§ 5 Abs. 2 VIG und bitte, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen.

Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte.

Ich bitte um eine Antwort in elektronischer Form (E-Mail). Ich bitte um Empfangsbestätigung und danke Ihnen für Ihre Mühe.

Mit freundlichen Grüßen

Ergebnis der Anfrage

In Bayern gibt es keine zentrale Zuständigkeit für die datenschutzrechtliche Prüfung von MS Office 365. Die aktuelle Einschätzung der DSK, dass MS Office 365 nicht datenschutzkonform betriebn werden kann, wird sich nicht zu eigen gemacht. Stattdessen erfolgt eine eigene Prüfung "innerhalb der Staatsregierung". Zur voraussichtlichen Dauer der Prüfung werden keine Angaben gemacht.

Anfrage erfolgreich

  • Datum
    28. November 2022
  • Frist
    30. Dezember 2022
  • 0 Follower:innen
<< Anfragesteller:in >>
Antrag nach BayDSG/BayUIG/VIG Sehr geehrte Damen und Herren, die Deutsche Datenschutzkonferenz hat letzte Woche…
An Bayerische Staatskanzlei Details
Von
<< Anfragesteller:in >>
Betreff
Bewertung Microsoft-Onlinedienste [#264237]
Datum
28. November 2022 11:12
An
Bayerische Staatskanzlei
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach BayDSG/BayUIG/VIG Sehr geehrte Damen und Herren, die Deutsche Datenschutzkonferenz hat letzte Woche festgestellt: "Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten 'Datenschutznachtrags vom 15. September 2022' nicht geführt werden kann." (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.html) Ich möchte wissen, 1. wie die Staatsregierung in Bayern Microsoft 365 datenschutzrechtlich bewertet und 2. welche Schlussfolgerungen die Staatsregierung in Bayern aus der Bewertung der DSK zieht. Bitte stellen Sie mir dazu auch Dokumente zur Verfügung, die den Diskussionsprozess innerhalb der Staatsregierung dokumentieren (z. B. Vorlagen, Handreichungen, Empfehlungen). Dies ist ein Antrag auf Aktenauskunft nach Art. 39 des Bayerischen Datenschutzgesetzes (BayDSG), Art. 3 Abs. 1 des Bayerischen Umweltinformationsgesetzes (BayUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen betroffen sind. Sollten diese Gesetze nicht einschlägig sein, bitte ich Sie, die Anfrage als Bürgeranfrage zu behandeln. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Es handelt sich meines Erachtens um eine einfache Auskunft bei geringfügigem Aufwand. Gebühren fallen somit nicht an. Ich verweise auf Art. 3 Abs. 3 Satz 2 Nr. 1 BayUIG/§ 5 Abs. 2 VIG und bitte, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte um eine Antwort in elektronischer Form (E-Mail). Ich bitte um Empfangsbestätigung und danke Ihnen für Ihre Mühe. Mit freundlichen Grüßen
<< Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264237 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264237/
Bayerische Staatskanzlei
Sehr << Antragsteller:in >> anliegend erhalten Sie ein Antwortschreiben der Bayerischen Staatskanzlei…
Von
Bayerische Staatskanzlei
Betreff
Bewertung Microsoft-Onlinedienste
Datum
28. Dezember 2022 16:23
Status
Warte auf Antwort
geschwärzt
428,9 KB
Sehr << Antragsteller:in >> anliegend erhalten Sie ein Antwortschreiben der Bayerischen Staatskanzlei in Form einer pdf-Datei. Um diese lesen zu können, benötigen Sie den Adobe Reader, den Sie kostenlos im Internet unter http://www.adobe.de/ herunterladen können. Mit freundlichen Grüßen
Bayerische Staatskanzlei
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage vom 28. November 2022 zum Thema Microsoft 36…
Von
Bayerische Staatskanzlei
Betreff
Ihre Nachricht vom 28.11.2022 – Bewertung Microsoft-Onlinedienste
Datum
13. Januar 2023 11:45
Status
Anfrage abgeschlossen
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage vom 28. November 2022 zum Thema Microsoft 365, die uns von der Bayerischen Staatskanzlei weitergeleitet wurde. Hierzu können wir Ihnen Folgendes mitteilen: Die von Ihnen erwähnte Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 24. November 2022 ist der Bayerischen Staatsregierung bekannt. Ein etwaig bestehender Umsetzungsbedarf wird bereits geprüft. Dabei gilt es auch zu beachten, dass sich die diesbezüglich relevante Ausgangs- sowie Rechtslage im Fluss befindet. Zunächst erwähnt seien hier die derzeit stattfindenden Verhandlungen zu einem künftigen transatlantischen Datenschutzrahmen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Ferner hat Microsoft am 1. Januar 2023 seine Auftragsverarbeitungsvereinbarung um einen weiteren Datenschutznachtrag in Form des "Microsoft Products and Services Data Protection Addendum" (DPA) ergänzt. Damit soll das Versprechen der bereits Mitte 2021 angekündigten "EU-Datengrenze" vertraglich umgesetzt werden. In einem Anhang zu dem genannten Nachtrag sichert Microsoft weiterhin nun ausdrücklich zu, "die Rechenschaftspflichten des Kunden" nach der Datenschutz-Grundverordnung (DSGVO) zu unterstützen und die dafür nötige Produktdokumentation während der gesamten Vertragslaufzeit zur Verfügung zu stellen. Nicht zuletzt bleibt die weitere Entwicklung im Hinblick auf den Aufbau souveräner Cloud-Umgebungen für öffentliche Stellen in Deutschland abzuwarten. Mit freundlichen Grüßen
<< Anfragesteller:in >>
Sehr geehrte Damen und Herren, vielen Dank für Ihre Antwort! Dazu habe ich folgende Nachfragen: 1. Ist das Baye…
An Bayerische Staatskanzlei Details
Von
<< Anfragesteller:in >>
Betreff
AW: Ihre Nachricht vom 28.11.2022 – Bewertung Microsoft-Onlinedienste [#264237]
Datum
27. Januar 2023 16:45
An
Bayerische Staatskanzlei
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, vielen Dank für Ihre Antwort! Dazu habe ich folgende Nachfragen: 1. Ist das Bayerische Innenministerium zentral zuständig für die datenschutzrechtliche Bewertung von Microsoft 365 in der bayerischen Verwaltung? 2. Habe ich es richtig verstanden, dass sich die Bayerische Staatsregierung die Einschätzung der DSK nicht zu eigen macht und davon ausgeht, dass Microsoft 365 derzeit DSGVO-konform in der Bayerischen Verwaltung eingesetzt wird? 3. Wie lange wird die angekündigte Prüfung dauern und führt das bayerische Innenministerium diese selbst durch? Welche Expertise verfügt das Bayerische Innenministerium für diese Prüfung? 4. Falls die Prüfung zu dem Ergebnis kommt, dass kein DSGVO-konformer Einsatz möglich ist, gibt es Pläne oder werden solche erarbeitet, die Bayerische Verwaltung mit anderer Software auszustatten? Vielen Dank für Ihre Bemühungen! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264237 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264237/

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Bayerische Staatskanzlei
Sehr << Antragsteller:in >> gerne beantworten wir Ihre Nachfragen: Zu 1.: Das Bayerische Staatsmin…
Von
Bayerische Staatskanzlei
Betreff
AW: Ihre Nachricht vom 28.11.2022 – Bewertung Microsoft-Onlinedienste [#264237]
Datum
22. Februar 2023 11:56
Status
Sehr << Antragsteller:in >> gerne beantworten wir Ihre Nachfragen: Zu 1.: Das Bayerische Staatsministerium des Innern, für Sport und Integration (StMI) ist im Freistaat Bayern nicht zentral zuständig für die datenschutzrechtliche Bewertung der Software Microsoft 365. Im Grundsatz ist gemäß Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) sowie Art. 3 Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG) jede öffentliche Stelle selbst datenschutzrechtlich verantwortlich für die eigene Verarbeitungstätigkeit. Ergänzend dazu haben gemäß der Sicherstellungsverpflichtung des Art. 3 Abs. 1 BayDSG die Staatskanzlei, die Staatsministerien und die sonstigen obersten Dienststellen des Staates, die Gemeinden, die Gemeindeverbände und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts für ihren Bereich die Ausführung der DSGVO, des BayDSG sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Damit ist zunächst jedes Ressort eigenständig für die Bewertung datenschutzrechtlicher Fragestellungen in seinem jeweiligen Geschäftsbereich zuständig, was auch darin begründet liegt, dass die im Rahmen von datenschutzrechtlichen Fragestellungen wesentlichen Erwägungen des Fachrechts auf diese Weise bestmögliche Berücksichtigung finden. Gleichwohl erfolgt zu Zwecken des Gleichlaufs auf Ebene der Staatsregierung ein umfassender Austausch im Hinblick auf entsprechende datenschutzrechtliche Fragestellungen; das StMI ist insofern ressortübergreifend zuständig für Grundsatzfragen des Datenschutzrechts. Zu 2.: Ob die Bewertungen der DSK – insbesondere in Anbetracht der jüngsten Aktualisierung des bereits genannten Datenschutznachtrags zu den Produkten und Services von Microsoft (Microsoft Product and Services Data Protection Addendum, DPA) – einen praktischen Änderungsbedarf für den Einsatz von Microsoft 365 in der bayerischen Staatsverwaltung (soweit ein solcher überhaupt stattfindet – das StMI selbst nutzt bspw. Mircosoft 365 nicht) hervorrufen, ist, wie bereits dargelegt, derzeit Gegenstand ressortinterner Prüfungen. Zu 3. und 4.: Die Fragen werden aufgrund Sachzusammenhangs gemeinsam beantwortet. Die Prüfung innerhalb der Staatsregierung dauert noch an; über die voraussichtliche Dauer und hypothetisch sich ergebende Folgerungen kann angesichts der sich stets wandelnden Rahmenbedingungen keine seriöse Aussage getroffen werden. Im Übrigen wird auf die Antworten zu Fragen 1 und 2 verwiesen. Mit freundlichen Grüßen