Microsoft 365

Microsoft 365
Pragmatische Lösungskonzepte für Datenschutz & Digitalisierung.
check_circle
35 Kolleginnen und Kollegen
check_circle
3 Standorte, bundesweit tätig
check_circle
Branchenbezogene Konzepte

Was muss ich tun, um Microsoft 365 datenschutzkonform einzusetzen?

Es wird deutlich, dass die Umstellung auf Cloud-Dienste wie Microsoft 365 nicht „einfach mal eben“ geschehen kann. Für Organisationen spielen viele Faktoren eine wesentliche Rolle, die es zwingend zu beachten gibt.

Lizenzmanagement

Nicht jede Lizenz von Microsoft 365 enthält den gleichen Leistungsumfang – logisch. Viele wesentliche Leistungen, die die Compliance im Unternehmen unterstützen oder sogar notwendig sind, sind nur in den oberen Lizenzkategorien verfügbar. Wer hier nicht aufpasst, kann sich schnell Compliance-Lücken ins Haus holen.

Vertragsmanagement

Bei der Anwendung von Microsoft 365 ist ein Vertrag zur Auftragsverarbeiterung (DPA) zu schließen. Organisationen, die unter das evangelische Datenschutzgesetz (DSG-EKD) fallen benötigen zudem eine Zusatzvereinbarung. Des Weiteren wird eine Legitimation für die Übermittlung von personenbezogenen Daten außerhalb der EU benötigt. Standardvertragsklauseln werden von Microsoft angeboten, sind aber weiterhin mit Vorsicht zu genießen.

Risikomanagement

Viele Anwendungen bieten einen sehr komplexen Leistungsumfang, den es datenschutzkonform „einzufangen“ gilt. Somit benötigt es Spezialisten, die das Risiko bei der Verarbeitung von personenbezogenen Daten in den Cloud-Anwendungen identifizieren und Abhilfemaßnahmen anbieten. Microsoft selbst liefert seine Software nicht „datenschutzfreundlich“ aus – diese Aufgabe obliegt den Organisationen.

Datenschutz-Folgenabschätzung

Aufsichtsbehörden in Deutschland beurteilen den Einsatz von Microsoft 365 kritisch. Organisationen, die auf den Einsatz jedoch nicht verzichten wollen, müssen an das Risikomanagement eine Datenschutz-Folgenabschätzung anknüpfen. Diese Dokumentation dient dazu nachzuweisen, dass die Organisation sich mit dem Risiko beschäftigt hat und den Einsatz begründen kann.

Compliance-Monitoring

Microsoft 365 verändert sich mit jedem Update. Um hier den Überblick zu behalten, sollte ein Compliance-Monitoring implementiert werden. Updates und Features, die Auswirkungen auf die datenschutzfreundliche Konfiguration haben, können so schnell und effizient identifiziert und behandelt werden.

Was ist „die Cloud“?

Als „Cloud“ wird ein globales Netzwerk von Servern bezeichnet, die über die ganze Welt verteilt sein können und miteinander verbunden sind. Sie fungieren als ein einzig großes Ökosystem und können Lasten optimal verteilen. Anwendungen und Dateien, die in der Cloud gehostet oder gespeichert sind, können über das Internet überall und meist von unterschiedlichen Geräten abgerufen (und bearbeitet) werden. Besondere Stärke haben solche Cloud-Dienste in der COVID-19-Pandämie bewiesen. Organisationen, die ihre Mitarbeitenden von heute auf morgen ins Homeoffice schicken mussten, blieben dank solcher Lösungen handlungsfähig.

Doch die Arbeit in der Cloud birgt auch Risiken. Zum einen wären da die datenschutzrechtlichen Regularien, die es einzuhalten gilt. Eine Übermittlung außerhalb der EU ist nicht uneingeschränkt möglich. Vielmehr müssen die Anforderungen an eine Übermittlung genaustens geprüft und eine Risikoanalyse durchgeführt werden. Durch die zum Teil weltweite Vernetzung liegen die (unter Umständen) sensiblen Unternehmensdaten zum anderen nicht mehr auf lokalen Systemen, sondern „wo anders“. Auf die Frage „Wo genau?“ können viele Cloud-Anbieter keine konkrete Aussage treffen.

Orientierungshilfe: Microsoft 365 in Kirche & Wohlfahrt nach DSGVO, DSG-EKD und KDG

Diese Orientierungshilfe beantwortet die 10 wichtigsten datenschutzrechtlichen und technischen Fragen rund um den Einsatz von Microsoft 365 sowie der Office 365 Tools in Kirche & Wohlfahrt. Besonders die praxisorientierte Sichtweise macht diese Orientierungshilfe einzigartig. Die Autoren und Experten auf diesem Gebiet haben ihre Jahrelange Praxiserfahrung in die Ausarbeitung einfließen lassen und somit ein wichtiges Hilfswerkzeug bei der Bewältigung von datenschutzrechtlichen und technischen Hürden erstellt.

Wo speichert Microsoft meine Daten?

Wer auf die oben gestellte Frage „Wo genau?“ einen genauen Ort genannt haben möchte, der wird vermutlich enttäuscht werden. Dennoch ist Microsoft, anders als andere Cloud-Anbieter, wesentlich transparenter und die Einstellungsmöglichkeiten sind deutlich granularer. Die Speicherorte von „ruhenden Daten“ (Data-at-rest) können stark eingeschränkt werden.

Ein weiteres Problem für (US-amerikanische) Cloud-Anbieter und deren Enterprise-Kunden ergibt sich aus den nationalen Rechtsprechungen der Herkunftsländer der Anwender. Mitte 2020 entschied der EuGH, dass die Befugnisse der US-amerikanischen Behörden mit den europäischen Grundrechten nicht vereinbar sind. Der Angemessenheitsbeschluss für die USA, das EU-US Privacy Shield, wurde daraufhin gekippt. Auch die Standardvertragsklauseln wurden kritisch betrachtet, vorerst jedoch bestätigt – wenn auch mit Einschränkungen.

Microsoft ist, wie viele andere Dienstleister, ein Auftragsverarbeiter. Auftragsverarbeiter verarbeiten die personenbezogenen Daten der Auftraggeber ausschließlich nach deren Weisung. Zum Teil kann es jedoch vorkommen, dass Microsoft (und andere US-amerikanische Cloud-Anbieter) von US-Geheimdiensten zur Herausgabe von personenbezogenen Daten verpflichtet werden. Dabei ist es nicht zwingend notwendig, dass die Daten auf Servern in den USA liegen – die Befugnisse erstrecken sich auch auf Datensätze, die anderswo in der Welt gespeichert sind, z.B. in Europa.

Microsoft ist, wie viele andere Dienstleister, ein Auftragsverarbeiter. Auftragsverarbeiter verarbeiten die personenbezogenen Daten der Auftraggeber ausschließlich nach deren Weisung. Zum Teil kann es jedoch vorkommen, dass Microsoft (und andere US-amerikanische Cloud-Anbieter) von US-Geheimdiensten zur Herausgabe von personenbezogenen Daten verpflichtet werden. Dabei ist es nicht zwingend notwendig, dass die Daten auf Servern in den USA liegen – die Befugnisse erstrecken sich auch auf Datensätze, die anderswo in der Welt gespeichert sind, z.B. in Europa.

Sie haben Fragen zu Microsoft 365?

Kontaktieren Sie uns gerne, wenn Sie Fragen oder Unterstützung zu diesem Thema benötigen.
Unsere Experten stehen Ihnen jederzeit zur Verfügung.

zurücksetzen