Nach dem Urteil des EuGH vom Juli 2020 verstößt das Abkommen „EU-Privacy-Shield“ zwischen der Europäischen Kommission und der USA gegen höherrangiges Recht. Und damit ist auch ein Datentransfer an eine US-Firma grundsätzlich nicht mehr möglich.

Bei Microsoft 365 handelt es sich um einen Online-Dienst, einer Office-Webanwendung und einem Office-Software-Abonnement, welches cloudbasiert ist. Faktisch haben weit über 90 % aller Unternehmen Microsoft-Produkte im Einsatz, meist handelt es sich dabei um Microsoft oder Office 365. Dies könnte in datenschutzrechtlicher Hinsicht nunmehr problematisch sein, da Microsoft zahlreiche Telemetriedaten seiner Nutzer sammelt. Diese Daten fallen jedoch unter den Anwendungsbereich der DS-GVO, da es sich um personenbezogene Daten handelt, diese jedoch durch die Datensammlung von Microsoft an ein Drittstaat übermittelt werden. Hierbei entsteht das eigentliche Problem in Sachen Datenschutz und Informationssicherheit.

Prüfung und Risikoabschätzung der internen Prozesse

In einem Whitepaper der audatis Consulting GmbH zeigt diese Lösungsansätze für den Einsatz von Microsoft 365 auf. Neben der Identifikation und Klassifizierung der Daten und organisatorischen Maßnahmen wird beispielsweise die Durchführung einer Risikoanalyse empfohlen. Dabei ist eine Datenschutz-Folgenabschätzung von besonderer Relevanz. Zu analysieren sind hier, ob die Prozesse grundsätzlich ein datenschutzrechtliches Risiko für betroffene Personen darstellen und ob diese ein Risiko für die als kritisch eingestuften Daten und Informationen darstellen. Zudem sollen ausreichende Maßnahmen etabliert werden, um die identifizierten Risiken zu minimieren.

Von zentraler Bedeutung sind die datenschutzrechtlichen Rahmenbedingungen, wozu der Abschluss der Online Service Terms und die darin enthaltenen EU-Standardvertragsklauseln zusammen mit dem Datenschutzbeauftragten gehört.

Darüber hinaus wird ein Berechtigungs- und Datenschutzkonzept empfohlen sowie u.a. ein mehrstufiges Rollout-Konzept mit Datenschutzbeauftragten, Informationssicherheitsbeauftragen und Betriebsrat für die Einführung von Microsoft 365.

Welche Maßnahmen halten Sie für sinnvoll? Sollten eventuell noch weitere Maßnahmen ergriffen werden? Schreiben Sie es in die Kommentare. Als Community können wir gemeinsam voneinander lernen.