René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • Microsoft 365 – das Dauerthema…

    27. November 2024
    0 Comment
    Datenschutz

    Dall-E, graue rissige Fenster, unklare Rechtslage M365

    Der Einsatz von Microsoft 365 (M365) wirft datenschutzrechtlich viele Fragen auf, die bisher nicht abschließend geklärt sind. Wir fassen die derzeitige Lage zusammen und nennen mögliche Handlungsempfehlungen.

    1. Aktuelle Meinungen und Entwicklungen

    Die Diskussion um Microsoft 365 ist geprägt von unterschiedlichen Ansichten und politischen Entscheidungen in Europa:

    • Bundesländer mit Sondervereinbarungen:

    Niedersachsen und Bayern planen, M365 in Landesbehörden einzuführen. Dies basiert auf einer Zusatzvereinbarung mit Microsoft, deren Inhalt jedoch nicht öffentlich zugänglich ist.

    • Position der Datenschutzkonferenz (DSK):

    Die DSK hält den Betrieb von M365 für datenschutzrechtlich problematisch, stützt sich dabei jedoch auf eine veraltete Version des Vertrags zwischen Microsoft und dessen Kunden.

    • Klagen auf EU-Ebene:

    Die Europäische Kommission, die ebenfalls auf M365 setzt, sieht sich einer Klage des EDSB gegenüber, während Microsoft und die EU-Kommission ihrerseits Klagen gegen datenschutzrechtliche Vorgaben einreichen.

    • Alternative Ansätze:

    Der Bund entwickelt mit Delos (SAP-Tochter) eine souveräne Cloud-Lösung, die Microsoft-Produkte bereitstellt, jedoch nicht von Microsoft selbst betrieben wird.

    • Restrisiko-Diskussion:

    Experten sind uneinig, wie viel Restrisiko bei der Nutzung von Cloud-Diensten wie M365 vertretbar ist. Während einige auf absolute Sicherheit bestehen, argumentieren andere – darunter auch wir –, dass ein gut dokumentiertes Restrisiko akzeptabel sein kann.

    • Beispiele für M365-Nutzung:

    Die Bundesagentur für Arbeit nutzt M365-Dienste wie Teams in der Berufsorientierung und Beratung.

    2. Datenschutzrechtliche Absicherung und Risiken

    Die Absicherung des Datentransfers bei M365 basiert aktuell auf dem sogenannten Data Privacy Framework (DPF) zwischen der EU und den USA. Dieses Framework stellt sicher, dass ein angemessenes Datenschutzniveau garantiert wird. Es beruht allerdings auf einer Executive Order des Präsidenten der USA, die theoretisch durch einen Regierungswechsel in den USA aufgehoben werden könnte.

    Zudem müssen wir an dieser Stelle darauf hinweisen, dass sich Microsoft in den letzten Monaten im Bereich der Sicherheit nicht unbedingt mit Ruhm bekleckert hat. Russische Hacker, die Quellcode einsehen konnten und ein unentdeckter Zugriff auf einen „Generalschlüssel“ für die Cloud haben 2023 und 2024 hohe Wellen geschlagen. Im Nachgang wurden Microsoft vermeidbare Fehler bei der Absicherung der Schlüssel vorgeworfen, diese deutliche Kritik kam von der Untersuchungskommission, die durch die US-Regierung eingeleitet wurde.

    3. Fazit

    Die Frage, ob M365 datenschutzkonform genutzt werden kann, ist derzeit nicht abschließend zu beantworten. Bis es klare Urteile durch den EuGH oder EuG gibt, an denen man sich orientieren kann, müssen Unternehmen eine eigene Risikoabwägung treffen.

    Mit entsprechenden Schutzmaßnahmen, Dokumentationen und regelmäßigen Überprüfungen können Sie sich jedoch gut auf mögliche Prüfungen durch die Datenschutzbehörden vorbereiten und den Vorwurf der Fahrlässigkeit vermeiden.

    4. Handlungsempfehlungen für Unternehmen

    Die Schutzmaßnahmen, Dokumentation und regelmäßige Überprüfung können Sie beispielsweise durch die nachfolgenden Punkte abbilden:

    1. Abschluss eines Auftragsverarbeitungsvertrags (AVV):

    Ein rechtsgültiger AV-Vertrag mit Microsoft ist essenziell. Überprüfen Sie regelmäßig, ob Aktualisierungen oder Ergänzungen verfügbar sind.

    1. Datenschutzmaßnahmen umsetzen:

    Wir empfehlen, Basisschutzmaßnahmen in M365 umzusetzen, um potenzielle Datenschutzrisiken zu minimieren. Dies zeigt, dass Sie sich mit den Risiken befasst und Maßnahmen zur Risikominderung ergriffen haben.

    1. Transfer Impact Assessment (TIA):

    Auch wenn ein TIA nur bei direktem Drittlandstransfer erforderlich ist, empfehlen wir eine Risikobewertung in allen Fällen. Unser Muster-TIA unterstützt Sie dabei, Entscheidungen für oder gegen einen Anbieter zu dokumentieren.

    1. Proaktive Kommunikation und Dokumentation:

    Zeigen Sie bei einer Prüfung durch Aufsichtsbehörden, dass Sie die Auswahl und den Betrieb von M365 nicht leichtfertig entschieden haben. Dokumentation ist hier der Schlüssel.

    5. Ausblick

    Wir informieren Sie selbstverständlich, sobald neue rechtliche Entwicklungen oder Gerichtsurteile die Lage klären. Bis dahin empfehlen wir, Risiken abzusichern und vorbereitet zu sein.

    6. Unterstützung

    Unseren Mandanten stellen wir auch in diesem Fall weiterführende Informationen und Vorlagen zur Verfügung stellen, um Ihre Datenschutzanforderungen optimal umzusetzen. Brauchen auch Sie Unterstützung bei der Umsetzung, dann nehmen Sie gerne Kontakt mit uns auf!

    Beste Grüße
    René Floitgraf

    Der Beitrag Microsoft 365 – das Dauerthema… erschien zuerst auf CompliPro GmbH.