Datenschutzberatung Microsoft 365

Grundlegendes zum Thema

Was Sie darüber wissen sollten

Viele Unternehmen können grundlegende datenschutzrechtliche Konzepte wie Verantwortlichkeit, Einwilligung oder Auftragsverarbeitung im Zusammenhang mit Cloud-Diensten nur unzureichend einordnen. Beim Microsoft 365 Datenschutz sind eine Vielzahl von Aspekten zu berücksichtigen, um die datenschutzrechtlichen Anforderungen zu erfüllen. Welche Aspekte dies sind, hängt von den genutzten Diensten ab. In jedem Fall sollten Nutzer die folgenden Datenschutzthemen berücksichtigen:

• Datenübermittlung in Drittstaaten
  Bei Nutzung der Cloud-Dienste können Daten auf Microsoft Servern gespeichert werden. Datentransfers auf Server außerhalb des Europäischen Wirtschaftsraums (EWR) sind aus datenschutzrechtlicher Sicht kritisch und erfordern eine Absicherung.
• Auftragsverarbeitung
  Mit seinen cloudbasierten Diensten zur Erstellung und Verarbeitung von Dokumenten, E-Mails und weiteren Datenformaten, tritt Microsoft als Auftragsverarbeiter im Sinne von Art. 28 DSGVO in Erscheinung.
• Geräteübergreifende Nutzung
  Ob Office Dienste wie Word, Excel, Outlook oder andere Anwendungen – insbesondere bei Nutzung auf dem Smartphone sollte sichergestellt sein, dass die Apps keinen unberechtigten Zugriff auf personenbezogene Daten (z.B. über Adressbücher) erhalten.
• Diagnosedaten
  Zur Verbesserung seiner Dienste wertet Microsoft im Hintergrund sogenannte Diagnosedaten aus, die unter anderem Client-ID und User-ID umfassen können.
• Verantwortlichkeit
  Datenschutz ist keine exklusive Angelegenheit der Administratoren oder Datenschutzbeauftragten. Er verlangt die Identifikation aller Beteiligten mit anschließender Aufgaben- und Rollenverteilung.

Von der Herausforderung zur Lösung

Warum sich Unternehmen schwer tun

Microsoft 365 ist mehr als eine Offlice-Lösung zur Dokumentenerstellung. Sie ermöglicht das Sammeln und Auswerten von Daten, kollaboratives Arbeiten und Kommunikation zwischen Teams. Nutzer erhalten Zugang zu einer Vielzahl an Office- und Business-Tools, wie z.B. Word, Excel, Powerpoint, Outlook, Microsoft Teams, OneDrive und SharePoint.

Die umfangreiche Microsoft Produktpalette macht den Datenschutz zur Herausforderung. Eine gezielte Wahl der Apps und Dienste genügt nicht, ebenso wie das Schließen eines AV-Vertrags. Der größte Aufwand geht mit der Konfiguration sämtlicher Dienste und des Betriebssystems einher.

Erschwerend kommt hinzu, dass insbesondere die Cloud-Dienste regelmäßige Anpassungen erfahren, wodurch sich u.a. Dialogfelder und Menüpunkte ändern. Ein heute erstellter Leitfaden zur Datenschutzkonfiguration kann bereits morgen überholt sein. Im Übrigen erfahren auch die Microsoft Produktbestimmungen – ehemals Online Services Terms (OST), heute Product Terms – immer wieder Anpassungen, die streng genommen nach jeder Aktualisierung zu prüfen sind. Ansonsten könnten das erreichte Datenschutzniveau gefährdet sein.

Warum Unternehmen handeln müssen

Eine unzureichend konfigurierte Microsoft 365 Umgebung kann zu Datenschutzverstößen führen, etwa durch unzulässige Datenübermittlungen oder mangelnde Zugriffskontrollen. Solche Verstöße können wiederum zu erheblichen Sanktionen gemäß Art. 83 DSGVO führen.

Das Spektrum an Voraussetzungen, die für den datenschutzkonformen Einsatz von Microsoft 365 zu erfüllen sind, ist breit gefächert – und in der Standardkonfiguration bleiben zahlreiche Datenschutzrisiken unberücksichtigt. Noch vor der ersten Anmeldung besteht Handlungsbedarf, um eine datenschutzkonforme Nutzung zu gewährleisten.

Die Praxis zeigt, dass die Mehrheit mittelständischer Unternehmen diese Aufgabe nicht allein bewältigen kann. Es sind umfassende Fachkenntnisse nötig, die inhouse selten zur Verfügung stehen. Die Recherche im Internet hilft auch nicht weiter, weil die meisten Beiträge nur Teilbereiche beleuchten, jedoch keine ganzheitlichen Lösungen bieten. Hinzu kommt, dass der Einsatz von Microsoft 365 im Unternehmen maßgeschneidert erfolgt und damit eine individuelle Datenschutzlösung erfordert.