5 Tipps für den DSGVO-konformen Betrieb von Microsoft 365
Microsoft 365 gerät immer wieder ins Kreuzfeuer von Datenschützern, gelegentlich wird sogar über Verbote diskutiert. Trotz umstrittener Rechtslage ist ein DSGVO-konformer Einsatz von Microsoft 365 in Unternehmen und Behörden jedoch möglich. Wir erklären die fünf grundlegenden Schritte für den Compliance-Prozess.
Autor: RA Stefan Hessel*
Immer wieder kritisieren Datenschutzaufsichtsbehörden einen zu laxen Datenschutz bei Microsoft 365. In einer internen Bewertung der deutschen Datenschutzkonferenz waren die Behörden im Jahr 2020 sogar zum Ergebnis gekommen, dass ein datenschutzkonformer Einsatz von Microsoft 365 auf Basis der damals geprüften Verträge nicht möglich sei.
Trotz Kritik: Datenschutzkonformes Microsoft 365 ist möglich
Seither hat Microsoft sehr viel getan, um auf die Kritikpunkte der Datenschutzaufsichtsbehörden einzugehen und mit dem „EU Data Boundary for the Microsoft Cloud“ sogar ein Mammutprojekt gestartet, um Kunden in Europa eine rein europäische Cloud-Lösung anzubieten.
Gleichzeitig zeigen unsere Erfahrungen aus der Praxis, dass ein datenschutzkonformer Einsatz von Microsoft 365 sowohl in Unternehmen als auch in öffentlichen Stellen möglich ist. Bestätigt wird dies beispielsweise durch eine im Auftrag des niederländischen Justizministeriums durchgeführte Datenschutzfolgenabschätzung zu Teams, OneDrive, SharePoint und Azure AD, die zum Ergebnis kommt, dass nach der Umsetzung bestimmter Maßnahmen keine hohen Risiken für den Datenschutz bestehen. Die Bayerische Justiz setzt Microsoft Teams sogar für Videoverhandlungen ein.
Ein datenschutzkonformer Einsatz von Microsoft 365 ist also möglich. Doch wie lässt er sich erreichen? Ausgehend von unseren Erfahrungen, unserem Austausch mit Microsoft und den Datenschutzaufsichtsbehörden empfehlen wir den folgenden Compliance-Prozess zum datenschutzkonformen Einsatz von Microsoft 365:
1. Verarbeitungsvorgänge erkennen und Zwecke festlegen
Microsoft 365 beinhaltet zahlreiche Anwendungen und Funktionen, die vielfältige Möglichkeiten zur Verarbeitung von personenbezogenen Daten bieten. Welche Daten mit Microsoft 365 verarbeitet werden und zu welchen Zwecken der Einsatz erfolgt, sollte daher über Nutzungsszenarien festgelegt werden.
Unterscheiden lässt sich beispielsweise die Nutzung von Microsoft 365 Anwendungen zur Erstellung und Bearbeitung von Inhalten, zur Kollaboration, zum Arbeits- und Projektmanagement oder zur Identitäts- und Zugriffsverwaltung. Sind die Nutzungsszenarien bestimmt, gilt es die Kategorien betroffener Personen (beispielsweise Beschäftigte, Kunden oder sonstige Dritte) und die Kategorien personenbezogener Daten, die verarbeitet werden, zu identifizieren. In die Nutzungsszenarien sollten auch die Verträge und Lizenzen mit Microsoft einfließen und zudem geprüft werden, ob ein Abschluss weiterer (datenschutzrechtlicher) Vereinbarungen erforderlich ist.
Mehr Rechtstipps zum Thema Microsoft 365 und Datenschutz:
• Ist Microsoft 365 Datenschutz-konform? Was die DSK-Vorwürfe für Unternehmen bedeuten
• Rechtstipp: Microsoft stärkt Rechtssicherheit mit neuem DPA-Vertrag
• Webinar-Download: ‚Microsoft Teams, DSGVO und Datenschutz – Mythen, Realität und Praxistipps‘
• Tipp: Microsoft Viva Insights abschalten – oder Datenschutz besser konfigurieren
2. Rechtsgrundlagen für Datenverarbeitung bestimmen
Nach der DSGVO gilt ein sogenanntes Verbot mit Erlaubnisvorbehalt. Das bedeutet eine Verarbeitung personenbezogener Daten ist nur zulässig, wenn sie mindestens auf eine Rechtsgrundlage (zum Beispiel die Erfüllung eines Vertrags oder eines Beschäftigungsverhältnisses, ein berechtigtes Interesse oder eine Einwilligung des Betroffenen) gestützt werden kann.
Deswegen müssen in einem zweiten Schritt für jedes Nutzungsszenario die geeigneten Rechtsgrundlagen identifiziert werden. Hierbei ist zu beachten, dass jeder Verarbeitungsvorgang gesondert zu betrachten ist. Es ist also auf eine möglichst genaue Differenzierung zwischen den einzelnen Zwecken zu achten.
3. Risiken für die Privatsphäre einschätzen
Auf Grundlage der Nutzungsszenarien müssen Risiken für die Privatsphäre der betroffenen Personen ermittelt und Risikobewertungen durchgeführt werden. Risiken beim Einsatz von Microsoft 365 können beispielsweise die (versehentliche) Offenlegung personenbezogener Daten oder der unbefugte Zugriff auf personenbezogene Daten durch Dritte sein.
Hierbei ist auch ein besonderes Augenmerk auf die einzelnen betroffenen Personengruppen zu richten: So werden an Schulen, Kindertages- oder sonstigen Betreuungseinrichtungen etwa personenbezogene Daten von Minderjährigen verarbeitet, die eine besonders schützenswerte Personengruppe darstellen. Auch bei Krankenhäusern, Arztpraxen oder sonstigen medizinischen Dienstleistungen ist mit Blick auf die Verarbeitung von Gesundheitsdaten eine besondere Risikoabwägung vorzunehmen.
4. Abhilfemaßnahmen für die Risikobewältigung
Sind die jeweiligen Risiken identifiziert, gilt es, geeignete Abhilfemaßnahmen zu implementieren. Diese können sowohl technischer als auch organisatorischer Natur sein. Häufig ist auch eine Kombination aus technischen und organisatorischen Maßnahmen zu empfehlen. Neben zahlreicher Cybersicherheits- und Compliance-Funktionen die Microsoft 365 enthält, kommen dabei auch Lösungen von Drittanbietern und organisatorische Maßnahmen, wie zum Beispiel Nutzungsrichtlinien in Betracht.
5. Dokumentation für die Nachweispflicht
Unabhängig davon, ob für die Nutzung von Microsoft 365 eine Datenschutzfolgenabschätzung notwendig ist, müssen Verantwortliche die Einhaltung der datenschutzrechtlichen Vorgaben so dokumentieren, dass sie ihrer Nachweispflicht genügen können. Hierzu bietet es sich an jeden einzelnen Schritt in unserem Compliance-Prozess umfassend zu dokumentieren und so optimal auf eine Prüfung durch die zuständige Datenschutzaufsichtsbehörde oder Beschwerden von Betroffenen vorbereitet zu sein.
Fazit: Systematische Risiken identifizieren
Dass die Kritik der Datenschutzaufsichtsbehörden am Einsatz von Microsoft 365 abreißt, ist – trotz der enormen Anstrengungen von Microsoft – nicht absehbar. Gleichzeitig sind die technische Struktur und die rechtlichen Vorgaben komplex und stark abhängig vom jeweiligen Nutzungsszenario. Verantwortliche, die Microsoft 365 einsetzen oder eine Einführung planen, sind daher gut beraten systematisch Risiken zu identifizieren und durch geeignete technische und organisatorische Maßnahmen zu reduzieren. Der vorgestellte Compliance-Prozess hat sich hierbei in zahlreichen Umsetzungsprojekten bewährt.
Über den Autor:
*Rechtsanwalt Stefan Hessel, LL.M. ist Salary Partner und Co-Head der Digital Business Unit bei reuschlaw Legal Consultants in Saarbrücken. Er berät Unternehmen und öffentliche Stellen zu komplexen Fragestellungen in den Bereichen Datenschutz, Cybersicherheit sowie IT-Recht.