Noch 2020 und 2022 kam die Datenschutzkonferenz (DSK) im Rahmen zweier ausführlicher Untersuchungsberichte zu dem Ergebnis, dass Verantwortliche auf Basis des Datenschutz-Dokuments von Microsoft (dem sog. Data Protection Addendum) nicht in der Lage seien, ihre datenschutzrechtlichen Pflichten zu erfüllen. Im Mittelpunkt des damaligen DSK-Abschlussberichts standen die folgenden sieben Problemstellungen:
- Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten
- eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für legitime Geschäftszwecke („Geschäftstätigkeiten“)
- Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen, CLOUD Act, FISA 702
- Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
- Löschung und Rückgabe personenbezogener Daten
- Information über Unterauftragsverarbeiter
- Datenübermittlungen in Drittstaaten