Mühsamer Weg zum rechtmäßigen Einsatz von Microsoft 365

Die Nutzung von Microsoft 365 stellt viele Verantwortliche vor datenschutzrechtliche Herausforderungen. Trotz der Beliebtheit der Software gibt es rechtliche Hürden, die vor einem bedenkenlosen Einsatz überwunden werden müssen. In Niedersachsen und bundesweit arbeiten Datenschutzbehörden daran, diese Hürden zu minimieren und die Verantwortlichen zu unterstützen.

Auftragsverarbeitungsvereinbarung als Grundlage

Ein zentraler Punkt für den datenschutzkonformen Einsatz von Microsoft 365 ist der Abschluss einer Auftragsverarbeitungsvereinbarung (AVV), wie sie in Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben ist. Diese Vereinbarung regelt, wie Microsoft personenbezogene Daten im Auftrag seiner Kunden verarbeitet.

In einer Handreichung, die unter der Federführung der niedersächsischen Datenschutzbehörde entstanden ist, werden Verantwortliche unterstützt, eine solche Vereinbarung rechtssicher abzuschließen. Die Handreichung knüpft an Problemfelder an, die von der Datenschutzkonferenz (DSK) in einem Bericht identifiziert wurden, darunter:

  • Verarbeitung durch Microsoft zu eigenen Geschäftszwecken: Klärung, ob und wie Microsoft Daten zu eigenen Zwecken nutzt.
  • Präzisierung der Auftragsverarbeitung: Klare Definition, welche Daten wie verarbeitet werden.
  • Technische und organisatorische Datenschutzmaßnahmen: Prüfung, ob die implementierten Maßnahmen angemessen sind.

Datenschutzfolgenabschätzung (DSFA) als Pflicht

Der Einsatz von Microsoft 365 erfordert eine individuelle Datenschutzfolgenabschätzung (DSFA). In Niedersachsen wurde im Rahmen der Beratung durch die Datenschutzbehörde eine Rahmen-DSFA erstellt, die als Grundlage für einzelne Behörden dient. Dabei wurde festgelegt, dass:

  • Risikominimierende Maßnahmen: Vor dem Einsatz umgesetzt werden müssen.
  • Einzelfallprüfung: Eine spezifische Risikoanalyse für jede Behörde erforderlich ist.

Open-Source als Alternative

Trotz der Bemühungen um datenschutzkonforme Nutzung bleibt Verantwortlichen die Möglichkeit, auf alternative Open-Source-Produkte zu setzen. Diese bieten den Vorteil, dass sie oft flexibler anpassbar sind und keine komplexen Verhandlungen mit internationalen Konzernen erfordern.

Fazit: Microsoft 365 bleibt eine Herausforderung

Die datenschutzkonforme Nutzung von Microsoft 365 ist möglich, erfordert jedoch erhebliche Anstrengungen. Verantwortliche müssen vertragliche, technische und organisatorische Maßnahmen sorgfältig prüfen und umsetzen.

Die Zusammenarbeit mit den Datenschutzbehörden sowie der Einsatz von Open-Source-Alternativen können eine wichtige Rolle spielen, um datenschutzrechtliche Risiken zu minimieren und den gesetzlichen Anforderungen zu entsprechen.

Hilfreiche Links

Dieser Beitrag wurde unter Business, Corporate, Unternehmen abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.