C.R.S. 13 minutes ago
Die praktisch relevantere Frage für Unternehmen ist, ob ihre zuständige Aufsichtsbehörde einen Datenschutzverstoß feststellen würde. Das kann bei richtigem Vorgehen praktisch ausgeschlossen werden, da Microsoft bislang ein zu bewegliches Ziel ist. Der dem Beschluss der DSK von 2022 zugrundeliegendeSachverhalt hat keine zwei Monate gehalten.
Es ist auch keine Motivation der Datenschutzbehörden erkennbar, Anwender zu sanktionieren, sondern man möchte offensichtlich die besagte Bewegung vorantreiben und steuern.
Neben der Vereinbarung des aktuellsten AVV ist nach der derzeitigen Beschlusslage bzgl. des Cloud-Act auch eine TFA bzw. ein Äquivalent vorzuhnehmen. In dem steckt die eigentliche Arbeit für den Verantwortlichen, weil Microsoft als Zuständiger für eine solche TFA wenig trasparent ist. Angesichts des von der DSK geforderten Prüfungsmaßstabs spielt das formell zwar keine Rolle - der Verantwortliche führt de facto eine TFA durch. Aber die Ergebnisse lesen sich aufgrund der nötigen Annahmen und Spekulationen meist nicht allzu überzeugend.