Microsoft nutzt (wie jeder vergleichbare globale Anbieter) Kundendaten auch zu eigenen Zwecken. Das zugrundeliegende DPA sieht hierbei ausdrücklich folgende Zwecke vor, die mit einem weisungsabhängigen Verhältnis (Auftraggeber/Auftragnehmer) aus datenschutzrechtlicher Sicht nicht in Einklang zu bringen sind:
- Produktverbesserung, u.a. in Bezug auf Benutzerproduktivität.
- Bereitstellung von personalisierten Benutzererfahrungen der User
Aufsichtsbehörden qualifizieren diese Verwendungsabsicht u.a. als eine Art „gemeinsame Verantwortlichkeit“, für die Microsoft keine erforderlichen Verträge anbietet (siehe z.B. https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf
Diese Ansicht ist jedoch nicht unumstritten, da aufgrund der Gesamtkomplexität nicht eindeutig klar ist, welche Rolle Microsoft für bestimmte Teilmengen an Daten einnimmt. Sofern der Ansicht der
Aufsichtsbehörden gefolgt wird, birgt das Fehlen bestimmter Verträge weitreichende Risiken, da gegen elementare Datenschutzprinzipen verstoßen wird.
Microsoft vertritt bezüglich der eigenen Stellung eine andere Ansicht und qualifiziert sich als „eigener Verantwortlicher“ (siehe u.a. https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/).
Diese Ansicht findet unter Juristen teilweise Zustimmung. Jedoch birgt auch eine „eigene Verantwortlichkeit“ für bestimmte Daten diverse Risiken. So unterliegen z.B. Daten, die Microsoft in eigener Verantwortlichkeit verarbeitet, nicht den Löschregeln des DPA. Wann diese Daten gelöscht werden, steht somit nicht im Einflussbereich des Kunden.