Unbekanntes Datenschutzniveau - Risiken daraus für die jeweils zu verarbeitenden Daten - Lösungen zum Zurückdrängen dieser Risiken (bei PIA weg von “hoch” bzw. bei TIA die Garantien wieder wirksam gemacht) - Aufgabe der Folgenabschätzung erfüllt.
Wurde schon besprochen, dass die Verarbeitung zunächst überhaupt zulässig sein müsste? (Bzw. dass Auswirkungen der erkannten Risiken auf vorher unproblematische Interessenabwägungen und Drittlandgarantien in den Griff zu bekommen wären, um auch in dieser Beziehung zulässig zu bleiben.)
Das Problem bei den “Nebenbeschäftigungen” von Microsoft ist ja deren Zulässigkeit. (Zulässigmachbarkeit. Als absolute Anforderung, einen Erlaubnistatbestand für die Verarbeitung bzw. speziell eine Garantie für die Drittlandübermittlung zu finden.)
Für niederländische Behörden (und Schulen in Baden-Württemberg - LfDI) wird betont, dass öffentliche Stellen beim… Flaschendrehen weniger Optionen haben. Eigentlich nur eine von sechs Möglichkeiten aus Art. 6 Abs. 1 DSGVO, nämlich lit. e. Die problematischen Microsoft-eigenen Zwecke und Drittlandzugriffe lassen sich nicht unter die Erforderlichkeit für ihre öffentliche Aufgabe packen; u. a. weil es ihnen nicht konkret vorgeschrieben ist.
Aber auch bei nichtöffentlichen Stellen wird das nicht viel besser aussehen, weil die Bedingungen für Einwilligungen, Bestimmtheit, Treu und Glauben usw. im Vertragsrecht und halbwegs objektive Interessenabwägungen das nicht automatisch erlauben würden. Vor allem nicht (pauschal) praktikabel.
D., der noch lange kein Land sieht.