Dazu hätte ich gern eine Aufstellung, welche Teile der Verarbeitung der Auftragsverarbeitung unterliegen und für welche sich Microsoft selbst zum Verantwortlichen erklärt. Aktuell ist alles ziemlich durcheinander. Versteckt?
Die Microsoft-eigenen Zwecke wären von der nutzenden Stelle als Datenübermittlung an Micrsoft als Dritten zu rechtfertigen.
Dann kommt die gar nicht so einfache Zuweisung, was davon jeweils (auch) gemeinsame Verantwortung ist. Wo werden gemeinsam Zwecke und Mittel festgelegt?
Saubere Auftragsverarbeitung ist es jedenfalls nicht… Auch nicht für Teile davon, weil die unterscheidbar sein müssten. Für die Art.-26-Vereinbarung sollte man ebenfalls erkennen können, wo sie anfängt und wo sie aufhört.
D., für den das noch lange nicht klar ist. Es wäre schon vor Beginn der Verarbeitung zu klären. Man muss doch wissen, was man beauftragt; wofür man verantwortlich ist; was wenigstens ungefähr passiert; was man zu tun und zu informieren hat…