Microsoft 365 – Rechtssichere Einführung

Deine Organisation plant die Einführung von Microsoft 365 oder nutzt die Plattform und deren Anwendungen bereits? Gleichzeitig fragst du dich jedoch, welche rechtlichen und IT-Sicherheitstechnischen Rahmenbedingungen zu beachten sind und was es mit all den Kritiken deutscher Aufsichtsbehörden bezüglich Microsoft 365 auf sich hat? Dann bist du bei uns genau richtig!

Um was geht es?
Unser Angebot
Service Packages
Hilfreiche Tipps & Kunden-FAQ
Downloads

Um was geht es?

Die cloudbasierte Produktivitätsplattform Microsoft 365 und ihre Anwendungen (Outlook, Teams, SharePoint, OneDrive, etc.) vereinfachen das vernetzte sowie mobile Arbeiten und bieten gleichzeitig viele weitere Vorteile für Organisationen. Die flexible und bedarfsgerechte Buchung von Lizenzen, aber eben auch signifikante Kostenersparnisse durch gebündelte Lizenzkosten und Einsparung von internen Personal- sowie Hardwareressourcen sind nur einige davon. Während die Plattform daher bei vielen Organisationen bereits seit Jahren zum etablierten Standard in der modernen Arbeitswelt gehört, befinden sich viele andere aktuell in der Planung oder Umsetzung einer Migration hin zu Microsoft 365.

Aber ist der Einsatz – auch unter Berücksichtigung der aktuellen Kritiken deutscher Aufsichtsbehörden – überhaupt datenschutzkonform? Was gilt es arbeitsrechtlich zu beachten? Und inwiefern beeinflusst Microsoft 365 zentrale IT-Sicherheitsschutzziele? Egal, ob deine Organisation Microsoft 365 schon eingeführt hat oder sich noch in der Planung befindet, sollte sie sich mit diesen zentralen Fragestellungen auseinandersetzen, um mögliche Risiken und rechtliche Verstöße zu vermeiden.

Wir unterstützen dich daher gerne bei all diesen Fragen, planen mit dir zusammen die notwendigen Schritte und helfen dir den Einsatz von Microsoft 365 sowohl aus rechtlicher Sicht als auch unter Berücksichtigung zentraler IT-Sicherheitsaspekte bestmöglich und langfristig abzusichern. Unsere Berater*innen bringen dazu die notwendige Synergie aus rechtlichem Hintergrundwissen und technischem Know-How für die Umsetzung mit, sodass wir dir in allen Schritten der Einführung kompetente und praxisnahe Unterstützung bieten können.

Unser Angebot“

Unser Angebot

Die sichere und datenschutzkonforme Inbetriebnahme und Nutzung von Microsoft 365 erfordert zunächst einige vorbereitende Schritte, eine adäquate Dokumentation sowie erhebliche systemseitige Anpassungen der im Auslieferungszustand definierten Voreinstellungen. Wir unterstützen dich dabei, die Vorgaben der Aufsichtsbehörden umzusetzen – und zwar sowohl auf der rechtlichen Ebene als auch in der technisch-operativen Umsetzung!

Schreib uns

Unsere Service Packages

Paket „Legal Review“

Kick-Off Meeting inkl. Roadmap

Beim Kick-Off Meeting geht es zunächst darum, den Prüfungsgegenstand zu konkretisieren und Informationen zu sammeln. Hierzu gibt es einige Fragen, die es in diesem Termin zu erörtern gilt. Anhand der gesammelten Informationen wird der Funktionsumfang der einzuführenden Einzelsoftware sowie der Umfang des Datenflusses über deine Systeme näher bestimmt.

Beispielhaft sind in dieser Phase folgende Fragen zu beantworten:

In welcher Edition soll Microsoft 365 eingesetzt werden?
Welche Version und Konfiguration soll genutzt werden?
In welche Einsatzumgebung soll Microsoft 365 integriert werden?

Initiale Datenschutz-Risikoanalyse

Auf Grundlage der Erkenntnisse aus dem Kick-Off-Meeting legen wir in engem Dialog mit den Stakeholdern deines Unternehmens fest, welche Risiken sich identifizieren lassen und welcher konkrete Bedarf der einzelnen Funktionen tatsächlich besteht. Hier wird auch bereits bestimmt, welche kritischen Funktionen sich deaktivieren oder anderweitig einschränken lassen. Schließlich wird entschieden, ob die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich ist.

Identifizierung der datenschutzrechtlichen Risiken.
Bestimmung des konkreten Bedarfs der Verwendung der Funktionen aus der Produktsuite von Microsoft 365.
Dokumentation der zu deaktivierenden bzw. einzuschränkenden Funktionen und Dienste.
Dokumentation der Erforderlichkeit einer Datenschutz-Folgenabschätzung.

Datenschutz-Folgenabschätzung

Mit diesem „Instrument“ wird die geplante Verarbeitungstätigkeit (Microsoft 365) dokumentiert. Mit Hilfe der DS-FA überprüfen und dokumentieren wir, ob die vorgefundenen Risiken bei der Verwendung von Microsoft 365 auf Ebene der technisch-organisatorischen Maßnahmen (TOM) auf ein tragbares und geringes Maß minimiert werden können.

Geringes Risiko
Normales Risiko
Hohes Risiko

Gestaltung der Datenschutz-Dokumentation und anderer Dokumente

Unter Berücksichtigung der, in deinem Unternehmen vorhandenen Compliance-Instrumente und Datensicherheitsstandards unterstützen wir dich parallel dabei, die existenten Dokumente anzupassen sowie neue zu erstellen. Dabei richten wir uns ganz nach deinen Bedürfnissen und flechten die erforderlichen Dokumentationen in die existierenden Verfahren ein.

Interne Richt- und Leitlinien sowie Anweisungen, Muster.
Pflichtinformationen nach Art. 13 und 14 DS-GVO.
Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO.

Durchführung eines Transfer-Impact-Assessments (TIA)

Eine gesonderte datenschutzrechtliche Betrachtung hat im Rahmen der Legitimierung potenzieller Drittlandübermittlungen zu erfolgen, da faktisch (insbesondere im Supportfall, durch die Übermittlung von Diagnose- und Telemetriedaten sowie durch Zugriffe amerikanischer Sicherheitsorgane auf Basis des US-Cloud-Acts) auch Drittlandübermittlungen stattfinden

Prüfung des Umfangs und der Datenkategorien im Hinblick auf die Drittlandübermittlung
Prüfung der Wirksamkeit bisher getroffener Maßnahmen und ggf. Anpassung dieser auf Basis der Empfehlungen des Europäischen Datenschutzausschutzes
Dokumentation der Durchführung des TIAs als Nachweis für Aufsichtsbehörden

Paket „Ongoing Legal Review“

Kontinuierliche Überwachung der rechtlichen Entwicklungen

Wir behalten alle rechtlichen Entwicklungen und Fortschritte im Blick, die für den Einsatz von Microsoft 365 relevant sind.

Entwicklungen in Bezug auf die Drittlandsübermittlung in die USA
Stellungnahmen und Orientierungshilfen der Aufsichtsbehörden zu Microsoft 365
Gesetzesänderungen und Rechtsprechung
Aufsichtsbehördliche Maßnahmen

Regelmäßige Auswertung der Entwicklungen und Durchführung von notwendigen Anpassungen

Über die Datenschutz-Folgenabschätzung lassen sich nicht alle potentiellen Risiken, die der Einsatz von
Microsoft 365 hat, abschließend ausräumen. Durch fortlaufende Weiterentwicklungen bei dir im Unternehmen sowie durch regelmäßige Updates und Neuerungen in dem Produkt-Portfolio von Microsoft 365 können sich auch rechtliche Prüfungs- und Anpassungserfordernisse ergeben. Auch hierbei werden wir dich laufend unterstützen in regelmäßigen Terminen, die wir in dokumentierter Weise abschließen.

Halbjährlicher Review-Termin inkl. Prüfungsbericht / Report
Überprüfung und Ergänzung der erforderlichen Dokumente
Durchführung regelmäßiger Anwender-Schulungen

Paket „Security Check Up“

Datenschutzkonformer und IT-sicherer Umgang mit Microsoft 365

Damit beim datenschutzkonformen und IT-sicheren Umgang mit Microsoft 365 nichts schief geht, unterstützen wir dich bei der Umsetzung und Dokumentation der erforderlichen Maßnahmen.

Kick-Off Meeting inkl. Roadmap
Initiale Datenschutz-Risikoanalyse

Datenklassifizierung

Gerade bei der Cloud-Nutzung ist eine systematische Kategorisierung und Klassifizierung der Daten unentbehrlich. Wir unterstützen dich dabei, die Daten in deinem Unternehmen entsprechend deiner Bedürfnisse zu klassifizieren.

Identifizieren von sensiblen oder vertraulichen Daten
Kategorisierung und Klassifizierung der Daten nach Schutzniveau und Zugriffsrechten
Schutzniveau-abhängige Umsetzung von technischen und organisatorischen Maßnahmen

Compliance-Center

Wir überprüfen und überwachen laufend den Compliance-Status im Microsoft 365 Compliance Center und unterstützen dich bei der Verwaltung und Umsetzung der optimierungsbedürftigen Maßnahmen.

Überprüfung und Überwachung des Compliance-Scores
Unterstützung beim Steigern des Compliance-Scores

GDPR Toolbox

Unterstützung bei der Umsetzung der datenschutzrechtlichen Vorgaben mit der „GDPR Toolbox“.

Einrichtung der GDPR Toolbox
Laufende Überprüfung und Umsetzung der datenschutzrechtlichen Vorgaben

Hilfreiche Tipps & Tricks

Neben der datenschutzrechtlich notwendigen Prüfung und Dokumentation, gilt es für jede Organisation individuell zu analysieren, welche potenziellen Risiken für die verarbeiteten Daten durch die Nutzung von Microsoft 365 entstehen und welche zusätzlichen Schutzmaßnahmen und Konfigurationsanpassungen daher notwendig sind. Nachfolgend haben wir dir hierzu die wichtigsten Schritte aufgelistet. In unserem aktuellen Whitepaper findest du darüber hinaus weitergehende Informationen zu den einzelnen Schritten.

Schritt 1

Festlegung der Dienste und Funktionen die genutzt werden sollen.

Schritt 2

Definition einer Rechtsgrundlage für die geplanten Verarbeitungstätigkeiten innerhalb der Microsoft 365 Cloud gemäß Art. 6 Abs. 1 DS-GVO.

Schritt 3

Individuelle Analyse zu erwartender Risiken im Rahmen einer Datenschutz-Folgenabschätzung und ggf. Erweiterung der getroffenen technischen und organisatorischen Maßnahmen (DS-FA).

Schritt 4

Durchführung und Dokumentation eines Transfer-Impact-Assessments (TIA) zur Bewertung der Wirksamkeit der getroffenen Maßnahmen mit Blick auf den Transfer von Daten außerhalb der EU.

Schritt 5

Anpassung der standardmäßigen Voreinstellungen, Implementierung zusätzlicher Schutzmechanismen und Schulung der Mitarbeiter.

Kunden-FAQ

Was kritisieren die deutschen Datenschutzbehörden an Microsoft 365?

Die Datenschutzkonferenz (bestehend aus den Datenschutzbehörden des Bundes und der Länder) kritisierte zuletzt, dass die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt werden könne. Die verantwortliche Stelle sei daher wegen fehlender Transparenz über Verarbeitungen und unpräzise Regelungen seitens Microsoft nicht in der Lage ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen.

Ist der Einsatz von Microsoft 365 bei deutschen bzw. europäischen Unternehmen aufgrund der Bestimmungen der DS-GVO und der Kritik der Datenschutzkonferenz (DSK) generell unzulässig?

Die grundsätzliche Kritik der DSK ist durchaus gerechtfertigt und nachvollziehbar, greift jedoch teilweise zu kurz, da die DS-GVO grundsätzlich einen risikoorientierten und technologieneutralen Ansatz verfolgt. Konkret bietet die DS-GVO selbst entsprechende Instrumente, um risikobehaftete Verarbeitungstätigkeiten „in den Griff zu bekommen“ und letztlich erkannte Risiken effektiv zu minimieren. Hierzu sind beispielsweise die Durchführung einer Datenschutz-Folgenabschätzung und die Ergreifung von adäquaten technischen und organisatorischen Maßnahmen zu nennen. Wichtig ist jedoch abschließend zu betonen, dass Microsoft 365 ohne Ergreifung der relevanten datenschutzrechtlichen Schritte und die Durchführung notwendiger technischer Anpassungen an den Konfigurationen des Auslieferungszustandes nicht rechtskonform eingesetzt werden kann.

Microsoft bietet die Möglichkeit, den Speicherort der in Microsoft 365 verarbeiteten Daten auf Deutschland bzw. auf Europa einzustellen. Kann man damit nicht die Problematik des Drittlandtransfers, also der Übertragung und Verarbeitung von Daten außerhalb der EU umgehen?

Nein, Drittlandtransfers können auch bei Nutzung dieser Option nicht ausgeschlossen werden – Grund dafür ist der sogenannte CLOUD-Act. Dieser ist ein US-amerikanisches Gesetz, das US-IT-Dienstleistern und US-Internetfirmen verpflichtet, amerikanischen Behörden unter bestimmten Voraussetzungen den Zugriff auf außerhalb der USA gespeicherten Daten zu ermöglichen. Daher ist Microsoft gezwungen, auch auf Daten innerhalb Europas zugreifen und den Ermittlungsbehörden in den USA zur Verfügung stellen zu können. Zusätzlich greift Microsoft selbst auf Daten, die in Europa gespeichert sind, zu, um diese zu eigenen Zwecken in den USA zu verarbeiten, unabhängig vom gewählten Speicherort.

Was bringt die von Microsoft Anfang 2023 eingeführte Data Cloud Boundary? Sind die Daten dadurch nicht automatisch sicherer?

Microsoft verspricht durch diese neu eingeführte Datengrenzen, dass jegliche Daten, die mit Microsoft-Programmen erstellt und in der Cloud gespeichert und verarbeitet werden, ausschließlich auf Microsoft-Servern in Europa verbleiben und Microsoft selbst nicht mehr auf diese zugreift. Das klingt zwar zunächst gut, jedoch gibt es auch hier einige Lücken, die dafür sorgen, dass diese Maßnahmen alles andere als wirkungsvoll ist: Zum einen besteht weiterhin die in der vorherigen Frage beschriebene Problematik des Zugriffs von US-Behörden auf Basis des CLOUD-Acts und zum anderen verweist Microsoft in den eigenen Produktbestimmungen darauf, dass es bei dieser Datengrenze weiterhin einige Ausnahmen gibt, die dazu führen, dass Microsoft doch Daten, welche in der EU gespeichert sind, in den USA verarbeitet.

Welche zukünftigen Entwicklungen sind in Bezug auf Microsoft 365 und den Datenschutz zu erwarten?

Perspektivisch sind viele Änderungen zu datenschutzrechtlichen und IT-sicherheitstechnischen Aspekten von Microsoft 365 denkbar, welche die Nutzung weiter erschweren oder aber vereinfachen könnten. Mit unserem Angebot des Ongoing Legal Reviews bieten wir dir an, dich rechtzeitig zu informieren und mögliche notwendige Anpassungen gemeinsam mit dir vorzunehmen, sobald konkrete Änderungen absehbar sind. Somit bist du immer automatisch auf dem aktuellen Stand!

Wo erhalte ich weitere Informationen zu diesem Themenkomplex?

Für weitere Informationen empfehlen wir dir gerne unser Whitepaper zum Thema Microsoft 365, welches viele weitere Informationen und Tipps bereithält.
Wenn du weitere Fragen hast oder deine Organisation Unterstützung bei der rechtssicheren Einführung von Microsoft 365 benötigt, erreichst du uns per E-Mail an contact@morgenstern-privacy.com. Gerne können wir uns dann persönlich in einem ersten, unverbindlichen Gespräch zu deinen Fragen und den Plänen deiner Organisation austauschen. Wir freuen uns auf deine Nachricht!

Downloads