Wir erarbeiten und integrieren individuell auf Ihren Betrieb abgestimmte Sicherheitskonzepte und -lösungen und gewährleisten damit die Informations- und Datensicherheit in Ihrem Unternehmen.
Microsoft 365 und Datenschutz: So funktioniert der datenschutzkonforme Einsatz in Ihrem Unternehmen durch vorgelagerte Verschlüsselung
Gemeinsam mit unseren Partnern setzen wir Microsoft 365 in Ihrem Unternehmen wirklich 100% datenschutzkonform um: Der Einsatz von Microsoft 365 muss kein Risiko für den Datenschutz darstellen. Wir ermöglichen Unternehmen und öffentlichen Einrichtungen wie Schulen, Seniorenheime und Verwaltungen eine DSGVO-konforme Nutzung von Microsoft 365, indem wir mit maßgeschneiderter Verschlüsselungstechnologie arbeiten, bei der Sie die volle Kontrolle über Ihre Schlüssel behalten. So nutzen Sie Microsoft 365 datenschutzkonform und effizient – ohne Kompromisse bei Sicherheit und Produktivität.
Sicherheitslösungen
Datenschutz
Unsere Experten unterstützen Sie bei allen Fragen des Datenschutzes gemäß dem Bundesdatenschutzgesetz (BDSG-neu) und der Europäischen Datenschutzgrundverordnung (DSGVO).
Zertifizierte Beratung
Unsere zertifizierten Experten mit langjähriger Erfahrung in den Bereichen Datenschutz und Informationssicherheit stehen Ihnen und Ihren Mitarbeitern jederzeit mit juristischen und technischen Kenntnissen zur Verfügung.
Datenschutzkonformer Einsatz von Microsoft 365
Für die rechtskonforme Umsetzung sind neben den oben genannten technischen Aspekten noch einige juristische Schritte nötig:
1. Überprüfung der Vertragsdokumentation:
Unternehmen sollten die Verträge zur Auftragsverarbeitung mit Microsoft und sonstigen Partnern sorgfältig prüfen und sicherstellen, dass diese den Anforderungen der DSGVO entsprechen.
2. Transparenz schaffen:
Es ist wichtig, dass Unternehmen die Datenflüsse innerhalb von Microsoft 365 nachvollziehen können. Microsoft bietet Tools und Berichte an, die dabei helfen, Transparenz über die Datenverarbeitung zu schaffen. Ihre Dokumentation zur Datenverarbeitung sollte immer vollständig sein.
3. Datenübermittlung in Drittländer:
Ein kritischer Aspekt ist die Übermittlung von Daten in Drittländer, insbesondere in die USA. Die Datenschutzkonferenz (DSK) hat betont, dass Unternehmen sicherstellen müssen, dass die Übermittlung nur in Länder erfolgt, die ein angemessenes Datenschutzniveau bieten. Microsoft bietet hier Standardvertragsklauseln und andere Mechanismen, die den Datenschutz auch außerhalb der EU gewährleisten.
4. Datenschutz-Folgenabschätzung durchführen:
Unternehmen müssen bei der Verarbeitung von sensiblen Daten (z.B. HR Daten) eine Datenschutz-Folgenabschätzung (DSFA) durchführen, um die Risiken der Datenverarbeitung durch Microsoft 365 zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen.
5. Technische und organisatorische Maßnahmen:
Microsoft 365 stellt zahlreiche Sicherheitsfeatures zur Verfügung, wie Multi-Faktor-Authentifizierung, Bedrohungserkennung und regelmäßige Sicherheitsupdates. Unternehmen sollten diese Funktionen aktiv nutzen. Es ist auch ratsam, regelmäßig Sicherheitsüberprüfungen und Audits durchzuführen, um die Effektivität der Maßnahmen zu überprüfen.
6. Zusammenarbeit mit Datenschutzexperten:
Die Zusammenarbeit mit Datenschutzexperten, wie uns, der EDV-Unternehmensberatung Floß, kann Unternehmen dabei helfen, die Einhaltung der Datenschutzvorgaben sicherzustellen. Wir unterstützen Unternehmen bei der datenschutzrechtlichen Vertragsprüfung, der Durchführung von DSFA und der Implementierung von ergänzenden Datenschutzmaßnahmen.
Wenn Sie vor der Herausforderung stehen, Microsoft 356 Datenschutzkonform zu gestalten, kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.
Ist der Einsatz von Microsoft 365 verboten?
Die Datenschutzkonferenz (DSK) hat mehrfach Stellung zu Microsoft 365 bezogen. Die DSK hat Bedenken hinsichtlich der Vereinbarkeit von Microsoft 365 mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) geäußert, insbesondere in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten. Dabei wurden vor allem die Datenübermittlung in Drittländer, die Transparenz der Datenverarbeitungsprozesse und die Vertragsbedingungen zur Auftragsverarbeitung kritisch hinterfragt. Trotz dieser Bedenken hat die Datenschutzkonferenz weder eine Produktwarnung noch ein Produktverbot für Microsoft 365 ausgesprochen.
Neue Entwicklungen durch DPA und EU Data Boundary
In den letzten Jahren hat Microsoft wiederholt Änderungen am Data Protection Addendum (DPA) vorgenommen. Seit dem kritisierten Datenschutznachtrag vom 15. September 2022 wurden drei weitere Versionen veröffentlicht. Eine wichtige Änderung war der Start der EU Data Boundary am 1. Januar 2023, einer europäischen Lösung für die Microsoft Cloud. Weitere wesentliche Änderungen folgten: Am 15. November 2023 wurde die Zertifizierung nach dem EU-US Privacy Framework betont, das die Datenübermittlung in die USA auf den neuen Angemessenheitsbeschluss der Europäischen Kommission stützt. Am 2. Januar 2024 wurde die EU Data Boundary erweitert, sodass nun alle personenbezogenen Daten und nicht nur Kundendaten darunter fallen.
Die deutschen Datenschutzaufsichtsbehörden haben beschlossen, die DPA vom 1. Januar 2023 zu prüfen. Auf der Zwischenkonferenz am 27. September 2023 führte das BayLDA aus, dass die vorgenommenen Änderungen die grundlegende Bewertung der DSK von 2022 nicht wesentlich ändern würden. Eine offizielle, abschließende Bewertung der DPA vom 1. Januar 2023 steht jedoch weiterhin aus. Es bleibt zudem unklar, ob die beiden neueren DPA-Versionen bereits überprüft wurden.
Obwohl Microsoft signifikante Änderungen am Data Protection Addendum vorgenommen hat, bleibt die vollständige DSGVO-Konformität von Microsoft 365 weiterhin eine Herausforderung. Unternehmen müssen ihre spezifischen Anwendungen und Prozesse sorgfältig analysieren und technische sowie organisatorische Maßnahmen ergreifen, um ein Mindestmaß an DSGVO-Konformität zu erreichen. Die Zusammenarbeit mit einem Team aus fachkundigen Datenschutzbeauftragten und Technikern ist dabei unerlässlich, um eine abschließende Rechtssicherheit zu gewährleisten. Gemeinsam mit unseren Partnern setzen wir Microsoft 365 in Ihrem Unternehmen wirklich 100% datenschutzkonform um.
Fazit: DSGVO-konformer Einsatz ist einzelfallabhängig
Aktuell ist der vollständige DSGVO-konforme Einsatz von Microsoft 365 für jedes Unternehmen nur schwer zu erreichen. Diese Situation stellt viele Unternehmen vor Herausforderungen, da Microsoft-Dienste weit verbreitet und schwer zu ersetzen sind. Die unterschiedlichen Positionen der deutschen Aufsichtsbehörden und des europäischen Datenschutzbeauftragten machen eine einheitliche Bewertung schwierig. Unternehmen müssen daher ihre spezifischen Anwendungen sorgfältig analysieren und geeignete Maßnahmen ergreifen. Letztlich kann Rechtssicherheit nur durch die Prüfung eines fachkundigen und technisch versierten Datenschutzexperten gewährleistet werden.
Haben wir Ihr Interesse geweckt?
Holen Sie sich jetzt ein Angebot ein!
Mit uns erkennen Sie Risiken rechtzeitig und schützen Ihr Unternehmen vor wirtschaftlichen Haftungs- und Reputationsrisiken.
Wir erstellen Ihnen ein individuell auf Ihr Unternehmen abgestimmtes Angebot.