Microsoft 365 – Rechtssichere Einführung

Deine Organisation plant die Einführung von Microsoft 365 oder nutzt die Plattform und deren Anwendungen bereits? Gleichzeitig fragst du dich jedoch, welche rechtlichen und IT-Sicherheitstechnischen Rahmenbedingungen zu beachten sind und was es mit all den Kritiken deutscher Aufsichtsbehörden bezüglich Microsoft 365 auf sich hat? Dann bist du bei uns genau richtig!

Um was geht es?
Unser Angebot
Service Packages
Hilfreiche Tipps & Kunden-FAQ
Downloads

Um was geht es?

Die cloudbasierte Produktivitätsplattform Microsoft 365 und ihre Anwendungen (Outlook, Teams, SharePoint, OneDrive, etc.) vereinfachen das vernetzte sowie mobile Arbeiten und bieten gleichzeitig viele weitere Vorteile für Organisationen. Die flexible und bedarfsgerechte Buchung von Lizenzen, aber eben auch signifikante Kostenersparnisse durch gebündelte Lizenzkosten und Einsparung von internen Personal- sowie Hardwareressourcen sind nur einige davon. Während die Plattform daher bei vielen Organisationen bereits seit Jahren zum etablierten Standard in der modernen Arbeitswelt gehört, befinden sich viele andere aktuell in der Planung oder Umsetzung einer Migration hin zu Microsoft 365.

Aber ist der Einsatz – auch unter Berücksichtigung der aktuellen Kritiken deutscher Aufsichtsbehörden – überhaupt datenschutzkonform? Was gilt es arbeitsrechtlich zu beachten? Und inwiefern beeinflusst Microsoft 365 zentrale IT-Sicherheitsschutzziele? Egal, ob deine Organisation Microsoft 365 schon eingeführt hat oder sich noch in der Planung befindet, sollte sie sich mit diesen zentralen Fragestellungen auseinandersetzen, um mögliche Risiken und rechtliche Verstöße zu vermeiden.

Wir unterstützen dich daher gerne bei all diesen Fragen, planen mit dir zusammen die notwendigen Schritte und helfen dir den Einsatz von Microsoft 365 sowohl aus rechtlicher Sicht als auch unter Berücksichtigung zentraler IT-Sicherheitsaspekte bestmöglich und langfristig abzusichern. Unsere Berater*innen bringen dazu die notwendige Synergie aus rechtlichem Hintergrundwissen und technischem Know-How für die Umsetzung mit, sodass wir dir in allen Schritten der Einführung kompetente und praxisnahe Unterstützung bieten können.

Unser Angebot“

Unser Angebot

Die sichere und datenschutzkonforme Inbetriebnahme und Nutzung von Microsoft 365 erfordert zunächst einige vorbereitende Schritte, eine adäquate Dokumentation sowie erhebliche systemseitige Anpassungen der im Auslieferungszustand definierten Voreinstellungen. Wir unterstützen dich dabei, die Vorgaben der Aufsichtsbehörden umzusetzen – und zwar sowohl auf der rechtlichen Ebene als auch in der technisch-operativen Umsetzung!

 


Schreib uns

Unsere Service Packages

Hilfreiche Tipps & Tricks

Neben der datenschutzrechtlich notwendigen Prüfung und Dokumentation, gilt es für jede Organisation individuell zu analysieren, welche potenziellen Risiken für die verarbeiteten Daten durch die Nutzung von Microsoft 365 entstehen und welche zusätzlichen Schutzmaßnahmen und Konfigurationsanpassungen daher notwendig sind. Nachfolgend haben wir dir hierzu die wichtigsten Schritte aufgelistet. In unserem aktuellen Whitepaper findest du darüber hinaus weitergehende Informationen zu den einzelnen Schritten.

Schritt 1

Festlegung der Dienste und Funktionen die genutzt werden sollen.

Schritt 2

Definition einer Rechtsgrundlage für die geplanten Verarbeitungstätigkeiten innerhalb der Microsoft 365 Cloud gemäß Art. 6 Abs. 1 DS-GVO.

Schritt 3

Individuelle Analyse zu erwartender Risiken im Rahmen einer Datenschutz-Folgenabschätzung und ggf. Erweiterung der getroffenen technischen und organisatorischen Maßnahmen (DS-FA).

Schritt 4

Durchführung und Dokumentation eines Transfer-Impact-Assessments (TIA) zur Bewertung der Wirksamkeit der getroffenen Maßnahmen mit Blick auf den Transfer von Daten außerhalb der EU.

Schritt 5

Anpassung der standardmäßigen Voreinstellungen, Implementierung zusätzlicher Schutzmechanismen und Schulung der Mitarbeiter.

 
 

Kunden-FAQ

Was kritisieren die deutschen Datenschutzbehörden an Microsoft 365?

Die Datenschutzkonferenz (bestehend aus den Datenschutzbehörden des Bundes und der Länder) kritisierte zuletzt, dass die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt werden könne. Die verantwortliche Stelle sei daher wegen fehlender Transparenz über Verarbeitungen und unpräzise Regelungen seitens Microsoft nicht in der Lage ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen.

Ist der Einsatz von Microsoft 365 bei deutschen bzw. europäischen Unternehmen aufgrund der Bestimmungen der DS-GVO und der Kritik der Datenschutzkonferenz (DSK) generell unzulässig?

Die grundsätzliche Kritik der DSK ist durchaus gerechtfertigt und nachvollziehbar, greift jedoch teilweise zu kurz, da die DS-GVO grundsätzlich einen risikoorientierten und technologieneutralen Ansatz verfolgt. Konkret bietet die DS-GVO selbst entsprechende Instrumente, um risikobehaftete Verarbeitungstätigkeiten „in den Griff zu bekommen“ und letztlich erkannte Risiken effektiv zu minimieren. Hierzu sind beispielsweise die Durchführung einer Datenschutz-Folgenabschätzung und die Ergreifung von adäquaten technischen und organisatorischen Maßnahmen zu nennen. Wichtig ist jedoch abschließend zu betonen, dass Microsoft 365 ohne Ergreifung der relevanten datenschutzrechtlichen Schritte und die Durchführung notwendiger technischer Anpassungen an den Konfigurationen des Auslieferungszustandes nicht rechtskonform eingesetzt werden kann.

Microsoft bietet die Möglichkeit, den Speicherort der in Microsoft 365 verarbeiteten Daten auf Deutschland bzw. auf Europa einzustellen. Kann man damit nicht die Problematik des Drittlandtransfers, also der Übertragung und Verarbeitung von Daten außerhalb der EU umgehen?

Nein, Drittlandtransfers können auch bei Nutzung dieser Option nicht ausgeschlossen werden – Grund dafür ist der sogenannte CLOUD-Act. Dieser ist ein US-amerikanisches Gesetz, das US-IT-Dienstleistern und US-Internetfirmen verpflichtet, amerikanischen Behörden unter bestimmten Voraussetzungen den Zugriff auf außerhalb der USA gespeicherten Daten zu ermöglichen. Daher ist Microsoft gezwungen, auch auf Daten innerhalb Europas zugreifen und den Ermittlungsbehörden in den USA zur Verfügung stellen zu können. Zusätzlich greift Microsoft selbst auf Daten, die in Europa gespeichert sind, zu, um diese zu eigenen Zwecken in den USA zu verarbeiten, unabhängig vom gewählten Speicherort.

Was bringt die von Microsoft Anfang 2023 eingeführte Data Cloud Boundary? Sind die Daten dadurch nicht automatisch sicherer?

Microsoft verspricht durch diese neu eingeführte Datengrenzen, dass jegliche Daten, die mit Microsoft-Programmen erstellt und in der Cloud gespeichert und verarbeitet werden, ausschließlich auf Microsoft-Servern in Europa verbleiben und Microsoft selbst nicht mehr auf diese zugreift. Das klingt zwar zunächst gut, jedoch gibt es auch hier einige Lücken, die dafür sorgen, dass diese Maßnahmen alles andere als wirkungsvoll ist: Zum einen besteht weiterhin die in der vorherigen Frage beschriebene Problematik des Zugriffs von US-Behörden auf Basis des CLOUD-Acts und zum anderen verweist Microsoft in den eigenen Produktbestimmungen darauf, dass es bei dieser Datengrenze weiterhin einige Ausnahmen gibt, die dazu führen, dass Microsoft doch Daten, welche in der EU gespeichert sind, in den USA verarbeitet.

Welche zukünftigen Entwicklungen sind in Bezug auf Microsoft 365 und den Datenschutz zu erwarten?

Perspektivisch sind viele Änderungen zu datenschutzrechtlichen und IT-sicherheitstechnischen Aspekten von Microsoft 365 denkbar, welche die Nutzung weiter erschweren oder aber vereinfachen könnten. Mit unserem Angebot des Ongoing Legal Reviews bieten wir dir an, dich rechtzeitig zu informieren und mögliche notwendige Anpassungen gemeinsam mit dir vorzunehmen, sobald konkrete Änderungen absehbar sind. Somit bist du immer automatisch auf dem aktuellen Stand!

Wo erhalte ich weitere Informationen zu diesem Themenkomplex?

Für weitere Informationen empfehlen wir dir gerne unser Whitepaper zum Thema Microsoft 365, welches viele weitere Informationen und Tipps bereithält.
Wenn du weitere Fragen hast oder deine Organisation Unterstützung bei der rechtssicheren Einführung von Microsoft 365 benötigt, erreichst du uns per E-Mail an contact@morgenstern-privacy.com. Gerne können wir uns dann persönlich in einem ersten, unverbindlichen Gespräch zu deinen Fragen und den Plänen deiner Organisation austauschen. Wir freuen uns auf deine Nachricht!

Downloads

Downloads

Melde dich jetzt für unseren Newsletter rund um IT-Security und Datenschutz an und downloade direkt unser eBook sowie das Whitepaper zum Thema "Rechtssicherer Umgang mit Microsoft 365".

Ich möchte den E-Mail-Newsletter von MORGENSTERN mit aktuellen Informationen und Veranstaltungseinladungen erhalten. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen gemäß Art. 13 DS-GVO findest du in unserer Datenschutzerklärung.