Ihre Ansprechpartnerin zum IT-Recht und Datenschutz in der Nähe von München:
Sigrid Wild

Sigrid Wild, LL.M.
Rechtsanwältin und Fachanwältin für IT-Recht

Tel. 089 46 13 48 39
Fax 089 46 13 48 40
kanzlei@dprotect.de

Microsoft 365 datenschutzkonform einsetzen

 

Die Frage des datenschutzkonformen und sicheren Einsatzes von Microsoft 365 (ehemals Office 365) betrifft mittlerweile viele Unternehmen. Dazu müssen, abhängig vom Anwendungsszenario, zusätzliche Maßnahmen ergriffen werden. Kommen Sie gerne auf uns zu – Ihre Kanzlei für IT-Recht und Datenschutz – Fachanwalt IT-Recht – in der Nähe von München berät Sie zu diesem Thema.

 

Gibt es Unternehmen, die keine Microsoft Produkte einsetzen?

 

Vermutlich schon. Allerdings werden sich diese eher in der Minderheit befinden. Die Frage des datenschutzkonformen und sicheren Einsatzes von Microsoft 365 (ehemals Office 365) betrifft daher fast jeden. Dazu müssen aber, abhängig vom Anwendungsszenario, zusätzliche Maßnahmen ergriffen werden. Ist das möglich? Ja, ist es, wenn man, abhängig vom Anwendungsszenario, zusätzliche Maßnahmen ergreift.


Problemstellung
Microsoft 365 verknüpft Office-Anwendungen mit Cloud-Diensten. Der Einsatz von Microsoft 365 geht einher mit der Verarbeitung unterschiedlichster Daten der Anwender durch Microsoft. In diesem Zusammenhang unterscheidet Microsoft insbesondere zwischen folgenden Datenkategorien: Kundendaten, Diagnosedaten, dienstgenerierte Daten und Lizenzdaten. Der Einfachheit halber differenzieren wir hier zwischen Kundendaten (alle Daten, die der Kunde bewusst eingibt sowie alle seine Dokumente und Dateien, die er durch die Nutzung von Microsoft 365 produziert) und technische Daten als Nebenprodukte, die durch die Nutzung von Microsoft 365 anfallen.


Abhängig vom lizenzierten Modell und von dem speziellen Anwendungsfall im Unternehmen stellt sich die Frage nach der Datenschutzkonformität. Dabei muss auf erster Stufe die Rechtsgrundlage für die Datenverarbeitung durch Microsoft geklärt werden und auf zweiter Stufe den datenschutzkonformen Einsatz durch die Vornahme von eventuell erforderlichen weiteren Einstellungen. Das Arbeiten in der Cloud und damit die Speicherung von Kundendaten bei Microsoft stellt wesentlich höhere Anforderungen an den Datenschutz als die Nutzung der Microsoft Dienste in Verbindung mit dem lokalen Speichern der Daten im Unternehmen. Zusätzlich sind branchenspezifische Anforderungen zu beachten, wie z.B. im Gesundheits- und Sozialwesen aber auch bei Berufsgeheimnisträgern (Ärzte, Rechtsanwälte, Steuerberater, etc.).


Spielt Schrems II eine Rolle?
Personenbezogene Daten dürfen nur dann in ein Land außerhalb der Europäischen Union übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet wird oder Unternehmen aktive Schutzmaßnahmen ergriffen und beispielsweise sog. Standarddatenschutzklauseln vereinbart haben. Durch das Privacy Shield sollte ein Schutzniveau geschaffen werden, das dem der EU gleichwertig ist. Der EuGH hat in der Schrems II Entscheidung ein angemessenes Schutzniveau verneint und das Privacy Shield nun für ungültig erklärt. Grund dafür ist, dass Nachrichtendienste der USA weitreichende Zugriffsrechte auf die in den USA gespeicherten Daten haben, ohne dass hinreichende Rechtsschutzmöglichkeiten der Betroffenen bestehen. Darin sahen die Richter des EuGHs einen unzulässigen Eingriff in die Grundrechte von EU-Bürgern.
Microsoft kann sich nun, wie viele andere Unternehmen, nicht mehr auf die Privacy Shield Zertifizierung beziehen, wenn es um die Übermittlung von Daten in Drittländern geht.


Empfohlene Erstmaßnahmen:
Untätig bleiben, ist die schlechteste aller Varianten, denn die Datenschutzaufsichtsbehörden können die Nutzung der Dienste untersagen und Bußgelder verhängen. Werden Sie aktiv! Die nachfolgenden ersten Schritte können Ihnen dabei Orientierung bieten:
• Prüfung, ob die genutzten Dienste ausschließlich cloudbasiert laufen, ohne dass eine ausschließliche Speicherung lokal möglich ist,
• Dokumentation von Microsoft 365 im Datenschutzmanagementsystem bzw. im Verzeichnis der Verarbeitungstätigkeiten,
• Durchführung einer risikoorientierten Datenschutz-Folgenabschätzung,
• Abschluss und Dokumentation geeigneter Datenschutzverträge mit Microsoft,
• Verschwiegenheitsverpflichtungen für Berufsgeheimnisträger,
• Vornahme von Einstellungen zu Datenschutz und Datensicherheit,
• Eventuell die Erforderlichkeit zusätzlicher Sicherheitsmechanismen (z.B. Verschlüsselung) prüfen und umsetzen.


Sollten Sie zum datenschutzkonformen Einsatz von Microsoft 365 Unterstützung benötigen, kommen Sie gerne auf uns zu!

 

Ihre Kanzlei für IT-Recht und Datenschutz – Fachanwalt IT-Recht – München

Scroll to Top