Das kann nicht darüber hinwegtäuschen, dass über die vergangenen Monate das Redmonder Unternehmen immer wieder wegen datenschutzrechtlicher Bedenken in den Medien vertreten war.
Die Zusammenarbeit mit Clouddiensten von Microsoft – das Gleiche gilt identisch für Amazon, Google und eine Vielzahl anderer Dienste – ist für europäische Unternehmen und öffentliche Verwaltungen vor allem deswegen problematisch, weil US-Behörden aufgrund des CLOUD Act oder anderer nationaler Sicherheitsgesetze auf die bei diesen US-Firmen gespeicherten Daten zugreifen können. Es bleibt nur zu hoffen, dass auf politischer Ebene zwischen den USA und Europa bald eine umfassende Datenschutzvereinbarung verabschiedet wird.
Insofern bleibt auch weiterhin für viele Unternehmen die entscheidende Frage:
Kann ich die Microsoft 365 Produktpalette unter Datenschutzaspekten einsetzen und wenn ja, was ist dabei zu beachten?
Die gute Nachricht ist: Ja, es ist weitestgehend möglich.
Die schlechte Nachricht ist: Es geht nicht ohne Aufwand und Abstriche in der Funktionalität und eine 100%ige Konformität wird es niemals geben können. D. h. ein datenschutzrechtliches (Rest-) Risiko wird auch weiterhin vorhanden sein.
Bezogen auf Ihren ganz individuellen Fall gilt es zu bewerten, wie hoch das Risiko bei der Datenverarbeitungstätigkeit mit Microsoft 365 ist. Neben den unmittelbaren Risiken für natürliche Personen fallen darunter auch wirtschaftliche wie gesellschaftliche Schäden. Wird das Risiko als voraussichtlich hoch eingeschätzt, ist eine sogenannte Datenschutz-Folgenabschätzung (DSFA) (siehe Art. 35 Datenschutz-Grundverordnung) durchzuführen. Diese bewertet und dokumentiert, mit welchen Abhilfemaßnahmen ein akzeptables Risiko erzielt werden kann oder ob es ratsam ist, eine alternative Lösung auszuwählen und zu implementieren.
Die primären technischen Maßnahmen werden von Microsoft getroffen. Dem Verantwortlichen bleiben vornehmlich organisatorische Anpassungen wie Rollen- und Berechtigungskonzepte, aber auch Richtlinien und sensibilisierende Schulungen, um Datenschutzkonformität zu erreichen. Zudem empfiehlt es sich, bestimmte Einstellungen im Microsoft 365 Admin-Center und in den Gruppenrichtlinien bzw. der Registry vorzunehmen. Einen guten Anhaltspunkt liefern hierzu die Datenschutz-Folgenabschätzungen, die seinerzeit vom niederländischen Ministerium für Justiz und Sicherheit in Auftrag gegeben worden sind.
Eine vollständig rechtssichere Nutzung von Microsoft 365 ist derzeit kaum abbildbar. Da die Nutzung im Arbeitsalltag nur schwerlich wegzudenken ist, muss ein gewisser Kompromiss eingegangen werden. Dieser Kompromiss kann auf einer ausgewogenen Risikoabschätzung basieren, die Bestandteil einer Datenschutz-Folgenabschätzung ist. Es empfiehlt sich, frühzeitig damit zu beginnen.
Fachhinweis
Bei Fragen können Sie sich auch gerne jederzeit unter der o. g. E-Mail an uns wenden.
Alle Informationen und Angaben in diesem Fachhinweis haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr.
Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.