Wir erarbeiten und integrieren individuell auf Ihren Betrieb abgestimmte Sicherheitskonzepte und -lösungen und gewährleisten damit die Informations- und Datensicherheit in Ihrem Unternehmen.
Microsoft 365 und Datenschutz: So funktioniert der datenschutzkonforme Einsatz in Ihrem Unternehmen
Mit der zunehmenden Digitalisierung und der Verlagerung von Geschäftsprozessen in die Cloud gewinnt das Thema Datenschutz eine immer größere Bedeutung. Microsoft 365, eine der führenden Cloud-Plattformen, bietet zahlreiche Tools und Dienste für die Produktivität und Zusammenarbeit. Doch wie steht es um den Datenschutz bei Microsoft Office 365? Wir werfen einen Blick auf die Datenschutzmaßnahmen und -richtlinien von Microsoft 365 und was Unternehmen beachten sollten.
Wir nehmen hier vorweg, dass der datenschutzkonforme Einsatz von Microsoft 365 in Unternehmen eine Herausforderung darstellt. Wir von der Unternehmensberatung Floß haben allerdings einen Weg gefunden, mit dem auch Ihr Unternehmen Microsoft 365 DSGVO-konform nutzen kann. Das “Zauberwort” dabei heißt Verschlüsselung unter voller Kontrolle der Schlüssel.
Sicherheitslösungen
Datenschutz
Unsere Experten unterstützen Sie bei allen Fragen des Datenschutzes gemäß dem Bundesdatenschutzgesetz (BDSG-neu) und der Europäischen Datenschutzgrundverordnung (DSGVO).
Zertifizierte Beratung
Unsere zertifizierten Experten mit langjähriger Erfahrung in den Bereichen Datenschutz und Informationssicherheit stehen Ihnen und Ihren Mitarbeitern jederzeit mit juristischen und technischen Kenntnissen zur Verfügung.
Ist der Einsatz von Microsoft 365 verboten?
Die Datenschutzkonferenz (DSK) hat mehrfach Stellung zu Microsoft 365 bezogen. Die DSK hat Bedenken hinsichtlich der Vereinbarkeit von Microsoft 365 mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) geäußert, insbesondere in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten. Dabei wurden vor allem die Datenübermittlung in Drittländer, die Transparenz der Datenverarbeitungsprozesse und die Vertragsbedingungen zur Auftragsverarbeitung kritisch hinterfragt. Trotz dieser Bedenken hat die Datenschutzkonferenz weder eine Produktwarnung noch ein Produktverbot für Microsoft 365 ausgesprochen.
Neue Entwicklungen durch DPA und EU Data Boundary
In den letzten Jahren hat Microsoft wiederholt Änderungen am Data Protection Addendum (DPA) vorgenommen. Seit dem kritisierten Datenschutznachtrag vom 15. September 2022 wurden drei weitere Versionen veröffentlicht. Eine wichtige Änderung war der Start der EU Data Boundary am 1. Januar 2023, einer europäischen Lösung für die Microsoft Cloud. Weitere wesentliche Änderungen folgten: Am 15. November 2023 wurde die Zertifizierung nach dem EU-US Privacy Framework betont, das die Datenübermittlung in die USA auf den neuen Angemessenheitsbeschluss der Europäischen Kommission stützt. Am 2. Januar 2024 wurde die EU Data Boundary erweitert, sodass nun alle personenbezogenen Daten und nicht nur Kundendaten darunter fallen.
Die deutschen Datenschutzaufsichtsbehörden haben beschlossen, die DPA vom 1. Januar 2023 zu prüfen. Auf der Zwischenkonferenz am 27. September 2023 führte das BayLDA aus, dass die vorgenommenen Änderungen die grundlegende Bewertung der DSK von 2022 nicht wesentlich ändern würden. Eine offizielle, abschließende Bewertung der DPA vom 1. Januar 2023 steht jedoch weiterhin aus. Es bleibt zudem unklar, ob die beiden neueren DPA-Versionen bereits überprüft wurden.
Obwohl Microsoft signifikante Änderungen am Data Protection Addendum vorgenommen hat, bleibt die vollständige DSGVO-Konformität von Microsoft 365 weiterhin eine Herausforderung. Unternehmen müssen ihre spezifischen Anwendungen und Prozesse sorgfältig analysieren und technische sowie organisatorische Maßnahmen ergreifen, um ein Mindestmaß an DSGVO-Konformität zu erreichen. Die Zusammenarbeit mit einem fachkundigen Datenschutzbeauftragten ist dabei unerlässlich, um eine abschließende Rechtssicherheit zu gewährleisten. Wir unterstützen Sie dabei, Microsoft 365 in Ihrem Unternehmen 100% datenschutzkonform einzusetzen.
Datenschutzkonformer Einsatz von Microsoft 365
Auf Grundlage der Bedenken der Datenschutzkonferenz sollten Unternehmen, die Microsoft 365 nutzen oder nutzen möchten, folgende Schritte beachten:
1. Überprüfung der Vertragsdokumentation:
Unternehmen sollten die Verträge zur Auftragsverarbeitung mit Microsoft sorgfältig prüfen und sicherstellen, dass diese den Anforderungen der DSGVO entsprechen.
2. Transparenz schaffen:
Es ist wichtig, dass Unternehmen die Datenflüsse innerhalb von Microsoft 365 nachvollziehen können. Microsoft bietet Tools und Berichte an, die dabei helfen, Transparenz über die Datenverarbeitung zu schaffen. Ihre Dokumentation zur Datenverarbeitung sollte immer vollständig sein.
3. Datenübermittlung in Drittländer:
Ein kritischer Aspekt ist die Übermittlung von Daten in Drittländer, insbesondere in die USA. Die DS) hat betont, dass Unternehmen sicherstellen müssen, dass die Übermittlung nur in Länder erfolgt, die ein angemessenes Datenschutzniveau bieten. Microsoft bietet hier Standardvertragsklauseln und andere Mechanismen, die den Datenschutz auch außerhalb der EU gewährleisten.
4. Datenschutz-Folgenabschätzung durchführen:
Unternehmen sollten eine Datenschutz-Folgenabschätzung (DSFA) durchführen, um die Risiken der Datenverarbeitung durch Microsoft 365 zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen.
5. Technische und organisatorische Maßnahmen:
Microsoft 365 stellt zahlreiche Sicherheitsfeatures zur Verfügung, wie Multi-Faktor-Authentifizierung, Bedrohungserkennung und regelmäßige Sicherheitsupdates. Unternehmen sollten diese Funktionen aktiv nutzen. Es ist auch ratsam, regelmäßig Sicherheitsüberprüfungen und Audits durchzuführen, um die Effektivität der Maßnahmen zu überprüfen.
6. Zusammenarbeit mit Datenschutzexperten:
Die Zusammenarbeit mit Datenschutzexperten, wie der EDV-Unternehmensberatung Floß, kann Unternehmen dabei helfen, die Einhaltung der Datenschutzvorgaben sicherzustellen. Wir unterstützen Unternehmen bei der datenschutzrechtlichen Vertragsprüfung, der Durchführung von DSFA und der Implementierung von ergänzenden Datenschutzmaßnahmen.
Fazit: DSGVO-konformer Einsatz ist einzelfallabhängig
Aktuell ist der vollständige DSGVO-konforme Einsatz von Microsoft 365 für jedes Unternehmen nur schwer zu erreichen. Diese Situation stellt viele Unternehmen vor Herausforderungen, da Microsoft-Dienste weit verbreitet und schwer zu ersetzen sind. Die unterschiedlichen Positionen der deutschen Aufsichtsbehörden und des europäischen Datenschutzbeauftragten machen eine einheitliche Bewertung schwierig. Unternehmen müssen daher ihre spezifischen Anwendungen sorgfältig analysieren und geeignete Maßnahmen ergreifen. Letztlich kann Rechtssicherheit nur durch die Prüfung eines fachkundigen und technisch versierten Datenschutzexperten gewährleistet werden.
Haben wir Ihr Interesse geweckt?
Holen Sie sich jetzt ein Angebot ein!
Mit uns erkennen Sie Risiken rechtzeitig und schützen Ihr Unternehmen vor wirtschaftlichen Haftungs- und Reputationsrisiken.
Wir erstellen Ihnen ein individuell auf Ihr Unternehmen abgestimmtes Angebot.