Die Stellungnahme der deutschen Datenschutzbehörden von November 2022, dass der Einsatz von Microsoft 365 rechtswidrig sei, nehmen Kristin Benedikt, Thomas Kranig und Rolf Schwartmann: Microsoft 365 – so sollte Datenschutzaufsicht nicht sein. Deutschlands Datenschutzbehörden tragen eine große Verantwortung für Staat und Gesellschaft. Ihr Umgang mit dem Datenschutz muss grundlegend neu justiert werden. Frankfurter Allgemeine Zeitung 13.12.2022 (hinter der Bezahlschranke) zum Anlass einer grundlegenden Reflexion des Verhältnisses Datenschutz und Datennutzung. Zunächst skizzieren sie das Datenschutzrecht der DSVGO, das neben dem Schutz natürlicher Personen und Firmen bei der Verarbeitung von Daten auch die Abwägung gegen andere Grundrechte vorsieht. Die Datenschutzpraxis am Fall von Microsoft 365 soll demgegenüber in mehreren Punkten problematisch sein: eine umfassende technische Prüfung hat nicht stattgefunden. Die Datenschutzkonferenz (DSK) soll der Zusammenarbeit der Datenschutzbehörden dienen, ist aber im Gegensatz zum Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht institutionalisiert, sodass sie Produktwarnungen herausgeben könnte. Die Verfasser sehen die Notwendigkeit, dass umfassende Prüfungen der europäischen Datenschutzaufsichtsbehörden letzlich vom Europäischen Datenschutzausschuss (EDSA) entschieden werden, um einen einheitlichen europäischen Rechtsrahmen zu gewährleisten. Darüber hinaus ist “ein modernes und konstruktives Selbstverständnis der Behörden gefragt”, ein “Datenkonstruktivismus“. Dieser besteht nicht nur in Sanktionsrechten, sondern in einem Beratungs- und Präventionsauftrag, der zu einer Neujustierung der Arbeitsweise führen sollte: “Der europäische Gesetzgeber strebt mit der digitalen Datenstrategie einen Binnenmarkt an, in dem die oberste Prämisse nicht die Datenminimierung oder Datenvermeidung, sondern die Datennutzung zum Wohle der Allgemeinheit ist.”