Ist der Einsatz von Microsoft 365 datenschutzkonform oder nicht? Das war ein Thema der 100. Datenschutzkonferenz vor gut einem Jahr. Die Entscheidung, dass ein datenschutzgerechter Einsatz von MS365 nicht möglich ist, fiel denkbar knapp aus und sorgte für viel Verunsicherung. Seitdem ist Einiges passiert.
Microsoft hat Microsoft seine Verträge im letzten Jahr mehrfach überarbeitet. Auch die Software, damals noch als Microsoft Office 365 bezeichnet, wurde datenschutzrechtlich nachgebessert.
Microsoft 365 (MS365), wie die heutige Bezeichnung lautet, ist allerdings nach wie vor ein Cloud-basiertes Microsoft-Office-Produkt, das in vielen Ausprägungen erhältlich ist. Trotz der Verbesserungen ist MS365 datenschutzrechtlich weiterhin umstritten. Die Bedenken, dass Microsoft als US-amerikanisches Unternehmen aufgrund des CLOUD Act (Clarifying Lawful Overseas Use of Data Act) zur Herausgabe von Daten an US-Behörden verpflichtet ist, bleiben bestehen. Daher sehen die Aufsichtsbehörden nach wie vor erhebliches Verbesserungspotenzial für MS365.
DSGVO-konformer Einsatz?
Wie also kann die Datenschutzkonformität beim Einsatz von MS365 verbessert werden? Eine Prüfung, ob und wie ein möglichst datenschutzgerechter Einsatz von MS365 durchführbar ist, sollte auf zwei Säulen basieren:
Die erste Säule ist dierechtliche Prüfung, die Klarheit darüber schafft, ob die im individuellen Fall gültigen Vertragsbestandteile einen DSGVO-konformen Betrieb ermöglichen. Dabei kommt es vor allem auf die jeweilige Lizenz, den Zeitpunkt des Vertragsabschlusses und die sonstigen Vertragsbestandteile an. Zudem ist die Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA) zu prüfen.
Die zweite Säule ist die Prüfung der Technischen und Organisatorischen Maßnahmen (TOM). Die TOMs sollten beim Einsatz von MS365 datenschutzfreundliche Konfigurationen beinhalten. Diese Prüfung baut auf der vorgelagerten rechtlichen Prüfung auf. Denn die jeweils verwendete Lizenz entscheidet nicht nur über die gültigen Vertragsbestandteile, sondern auch darüber, welche technischen Konfigurationen überhaupt möglich sind.
Fazit: Individuelle Prüfung unerlässlich
Der Einsatz von MS365 ist immer individuell zu prüfen und kann, je nach gültiger Lizenz und bereits vorhandener DSFA und TOM, eine mehr oder weniger aufwendige Anpassung erfordern.
Beratung zum Einsatz von MS365 erhalten Sie bei der GKDS.