IHK Ratgeber

Wie kann man M 365 datenschutzkonform einsetzen?

Datenschutz und Einsatz von M 365
© CoWomen by pexels

Die Datenschutzkonferenz DSK hat sich mit Microsoft 365 befasst. Das Ergebnis: Wer M 365 datenschutzkonform einsetzen will, muss sich selbst kümmern und über die Datenströme Bescheid wissen. Einen Freibrief für das Produkt wird es nicht geben, es gibt aber auch kein Verbot der DSK für den Einsatz.

Inhalt

DSK und M 365: Um was geht es?

Die nationale Datenschutzkonferenz hat sich im November 2022 mit Microsoft 365 beschäftigt. Das 60seitige Ergebnis hat große Irritationen hervorgerufen.

  • Eine Seite behauptet, die DSK hätte damit den Einsatz von M 365 unmöglich gemacht.
  • Die andere sieht bei Microsoft große Defizite beim Datenschutz.

Hat die Datenschutzkonferenz tatsächlich den Einsatz von M365 verboten?

Die Datenschutzkonferenz hat für M365 weder eine Produktwarnung noch ein Produktverbot ausgesprochen. Dies ist auch nicht Aufgabe der Konferenz, sie ist kein TÜV für Softwareprodukte. Die Datenschutz-Aufsichtsbehörden prüfen grundsätzlich nur die Verantwortlichen und die unterschiedlichen Verarbeitungstätigkeiten in einem konkreten Fall, also nicht das Produkt.

Was hat die DSK gesagt?

  • Keine Firma kann bei Abschluss eines Vertrages mit Microsoft über M365 davon ausgehen, dass personenbezogene Daten in den Produkten von M 365 grundsätzlich datenschutzkonform verarbeitet werden.
  • Auch der Datenschutznachtrag von Microsoft vom September 2022 reicht nicht.
  • Der Verantwortliche in den Firmen muss sich selbst kümmern, dass Microsoft 365 datenschutzkonform eingesetzt wird.

Was müssen Unternehmen tun, die M365 einsetzen?

Grundsätzlich müssen Unternehmen, die ein IT-Produkt nutzen, sich ihrer datenschutzrechtlichen Verantwortung stellen. Es reicht nicht, den Standardvertrag zu unterzeichnen und darauf zu vertrauen, dass damit alles in Ordnung ist.

Der Anspruch:

Die Unternehmen müssen auf Fragen von Kundinnen und Kunden sowie Mitarbeiterinnen und Mitarbeitern, welche personenbezogene Daten verarbeitet werden, genau Auskunft geben können.

Wie gehen Unternehmen am besten vor?

  • Klären Sie, welche personenbezogenen Daten in welchem Produkt von M 365 in Ihrem Unternehmen verarbeitet werden. Prüfen Sie dabei
    • Datenflüsse
    • Datenempfänger
    • Rechtsgrundlagen
    • Einzelheiten der Verarbeitung, insbesondere evtl. Daten-Exporte.
  • Ziehen Sie die entsprechenden zusätzlichen Dokumentationen von Microsoft zu Rate.
  • Vervollständigen Sie Ihre Dokumentation zur Datenverarbeitung.
  • Bei Unklarheiten nehmen Sie Kontakt zum Microsoft-Vertriebsmitarbeiter auf, um die Fragen zu beantworten .

Wie prüfen die Aufsichtsbehörden?

  • Die Aufsichtsbehörden für den Datenschutz prüfen, ob in einem konkreten Fall bei dem Verantwortlichen für den Datenschutz ein Defizit vorliegt.
  • Die Behörde macht den Verantwortlichen auf die Defizite aufmerksam und gibt ihm Gelegenheit, sie zu beheben.
  • Bußgelder werden nach dem Gesichtspunkt der Verhältnismäßigkeit regelmäßig nicht als erste Maßnahme verhängt.
  • Das Risiko für ein Bußgeld ist dann hoch, wenn die Anforderungen an den Datenschutz ignoriert werden.

Gelten diese Anforderungen nur für Produkte von M 365?

Die Untersuchung der Datenschutzkonferenz befasst sich mit datenschutzrechtlichen Fragen und Probleme, die bei Cloud-Diensten generell auftreten.

Dabei geht es nicht nur um amerikanische Anbieter, sondern auch um deutsche und europäische Clouddienstleister.