Portfolio

Microsoft 365 und der Datenschutz

Datenschutzbeauftragte rechtzeitig einbinden

Der Einsatz von Cloud-Lösungen wie M365 wird in unserer digitalen Welt zunehmend zur Normalität. Auch Kommunen stellen sich vermehrt mit M365 zukunftsorientiert auf. Mit der Einführung wird ein modernerer Arbeitsplatz geschaffen. In diesem Zusammenhang ist es ausgesprochen wichtig, dass vor, während und nach der Implementierung von M365 auch diverse datenschutzrechtliche Aspekte beachtet werden. Insbesondere Themen wie die Gewährleistung einer datenschutzfreundlichen Verarbeitung, die Wirksamkeit der Vereinbarung zur Auftragsverarbeitung und der mit dem Einsatz einhergehende Datentransfer in die Vereinigten Staaten von Amerika spielen hierbei eine große Rolle.

Datenschutz-Folgenabschätzung ist zwingend erforderlich 

Regelmäßig erfordert der Einsatz von M365 die Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (Datenschutz-Folgenabschätzung, DSFA). Diese beinhaltet die ausführliche Betrachtung der aktuellen Rechtslage, der Vertragswerke sowie der geplanten Verarbeitung personenbezogener Daten durch den Einsatz von M365. Primär sollen hierdurch Risiken beim Einsatz von M365 erkannt und umfangreiche Maßnahmen zur Minimierung dieser Risiken identifiziert werden. 

Diese Maßnahmen setzen sich zusammen aus:


technischen Maßnahmen wie dem 
Einsatz von Verschlüsselungslösungen

organisatorischen Maßnahmen 
wie der Wahl datenschutzfreundlicher Konfigurationseinstellungen

vertraglichen Maßnahmen wie die Beschränkung der Offenlegung von personenbezogenen Daten



Anschließend erfolgt im Rahmen der Datenschutz-Folgenabschätzung eine Bewertung des Restrisikos bei vollständiger Implementierung der identifizierten Maßnahmen. 

Um einen möglichst datenschutzkonformen Einsatz von M365 zu gewährleisten, ist nach Ansicht von Datenschutzexpertinnen und -experten und den zuständigen Aufsichtsbehörden die Umsetzung umfangreicher Maßnahmen unerlässlich.

Undurchsichtige Rechtslage

Da es sich bei M365 um ein US-amerikanisches Produkt handelt, muss im Rahmen der Datenschutz-Folgenab-schätzung vor allem die Rechtslage in den USA bewertet und der Rechtsrahmen für den Drittlandtransfer betrachtet werden. Aktuell stehen dabei das Data Privacy Framework und die sogenannten Standardvertragsklauseln im Fokus. 

Eine signifikante Rolle spielt hierbei auch die rechtliche Entwicklung der vergangenen Jahre – insbesondere in Hinblick auf die Gerichtsurteile „Schrems I“ und „Schrems II“ – sowie eine Zukunftsbetrachtung. Die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe nehmen daher im Rahmen der rechtlichen Vorbetrachtung für die DSFA auch eine Abschätzung der Risiken und Auswirkungen bei einem Wegfall des Data Privacy Frameworks vor. Für einen solchen Fall werden bereits an dieser Stelle umfangreiche Maßnahmen definiert, sodass die Kommune unabhängig der Beständigkeit des Data Privacy Frameworks rechtssicher aufgestellt ist.


Eric Josua Themann
Jurist und Datenschutzbeauftragter bei der ITEBO

„In diesem Zusammenhang bewerten wir neben den vertraglichen und datenschutzrechtlichen Regelungen im Rahmen eines sogenannten Transfer Impact Assessments (TIA) auch, wie hoch das Risiko einer Herausgabepflicht Microsofts gegenüber den US-Strafverfolgungsbehörden tatsächlich ist“, gibt Eric Josua Themann, Jurist und Datenschutzbeauftragter bei der ITEBO, Einblick in seine Arbeit. 

„Dazu prüfen wir die Law Enforcement Request Reports von Microsoft und analysieren, wie viele Offenlegungsanfragen bei Microsoft eingegangen sind und wie diesen seitens Microsoft nachgekommen wurde.“ Diese Ergebnisse fließen dann in die Risikobewertung und die Verhältnismäßigkeitsprüfung für den Einsatz von M365 ein.

DSFA steht erst am Ende der Analyse

Zentrales Dokument der Datenschutz-Folgenabschätzung ist der sogenannte DSFA-Bericht. Hier werden beispielsweise die geplante Verarbeitungstätigkeiten ausführlich beschrieben, Alternativen zu M365 betrachtet, Rechtsgrundlagen aufgeführt und über die Erfüllung der datenschutzrechtlichen Verpflichtungen (Betroffenenrechte, Informationspflichten) berichtet. 

Unter Berücksichtigung der genannten Rahmenbedingungen wird hier zudem eine Risikoabschätzung vorgenommen. Dem identifizierten Risiko werden dann – wie oben beschrieben – umfangreiche Maßnahmen zur Risikominimierung entgegengestellt. Am Ende der Datenschutz-Folgenabschätzung steht die Prüfung des Restrisikos sowie der Verhältnismäßigkeit des Einsatzes von M365. 

Ausblick

 „Um den datenschutzrechtlichen Anforderungen angemessen zu begegnen, sollte der betriebliche Datenschutzbeauftragte dringend von Beginn an in den Implementierungsprozess von M365 einbezogen werden“, so Eric-Josua Themann. „Gerade im Zusammenhang mit der Einführung von M365 ist die Datenschutz-Folgenabschätzung sehr komplex. Bei der Projektplanung für M365 sollten daher auch Zeiten für den Datenschutz eingeplant werden.“

Die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe haben sich bereits intensiv mit der Ausgangslage beschäftigt und können Ihnen gerne ein Angebot zur Durchführung einer Datenschutz-Folgenabschätzung bei der Einführung von M365 machen.


Ihr Ansprechpartner rund 
um den Datenschutz

Gerald Leitke
Mitarbeiter Außendienst

0531 48005-38
gerald.leitke@itebo.de

Effiziente Lizenzbeschaffung für öffentliche Auftraggeber
Nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)