Microsoft 365 – Rechtssichere Einführung

Beim Kick-Off Meeting geht es zunächst darum, den Prüfungsgegenstand zu konkretisieren und Informationen zu sammeln. Hierzu gibt es einige Fragen, die es in diesem Termin zu erörtern gilt. Anhand der gesammelten Informationen wird der Funktionsumfang der einzuführenden Einzelsoftware sowie der Umfang des Datenflusses über deine Systeme näher bestimmt.

Beispielhaft sind in dieser Phase folgende Fragen zu beantworten:

• In welcher Edition soll Microsoft 365 eingesetzt werden?
• Welche Version und Konfiguration soll genutzt werden?
• In welche Einsatzumgebung soll Microsoft 365 integriert werden?

Auf Grundlage der Erkenntnisse aus dem Kick-Off-Meeting legen wir in engem Dialog mit den Stakeholdern deines Unternehmens fest, welche Risiken sich identifizieren lassen und welcher konkrete Bedarf der einzelnen Funktionen tatsächlich besteht. Hier wird auch bereits bestimmt, welche kritischen Funktionen sich deaktivieren oder anderweitig einschränken lassen. Schließlich wird entschieden, ob die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich ist.

• Identifizierung der datenschutzrechtlichen Risiken.
• Bestimmung des konkreten Bedarfs der Verwendung der Funktionen aus der Produktsuite von Microsoft 365.
• Dokumentation der zu deaktivierenden bzw. einzuschränkenden Funktionen und Dienste.
• Dokumentation der Erforderlichkeit einer Datenschutz-Folgenabschätzung.

Mit diesem „Instrument“ wird die geplante Verarbeitungstätigkeit (Microsoft 365) dokumentiert. Mit Hilfe der DS-FA überprüfen und dokumentieren wir, ob die vorgefundenen Risiken bei der Verwendung von Microsoft 365 auf Ebene der technisch-organisatorischen Maßnahmen (TOM) auf ein tragbares und geringes Maß minimiert werden können.

• Geringes Risiko
• Normales Risiko
• Hohes Risiko

Unter Berücksichtigung der, in deinem Unternehmen vorhandenen Compliance-Instrumente und Datensicherheitsstandards unterstützen wir dich parallel dabei, die existenten Dokumente anzupassen sowie neue zu erstellen. Dabei richten wir uns ganz nach deinen Bedürfnissen und flechten die erforderlichen Dokumentationen in die existierenden Verfahren ein.

• Interne Richt- und Leitlinien sowie Anweisungen, Muster.
• Pflichtinformationen nach Art. 13 und 14 DS-GVO.
• Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO.

Wir behalten alle rechtlichen Entwicklungen und Fortschritte im Blick, die für den Einsatz von Microsoft 365 relevant sind.

• Entwicklungen in Bezug auf die Drittlandsübermittlung in die USA.
• Stellungnahmen und Orientierungshilfen der Aufsichtsbehörden zu Microsoft 365.
• Gesetzesänderungen und Rechtsprechung.
• Aufsichtsbehördliche Maßnahmen.

Über die Datenschutz-Folgenabschätzung lassen sich nicht alle potentiellen Risiken, die der Einsatz von
Microsoft 365 hat, abschließend ausräumen. Durch fortlaufende Weiterentwicklungen bei dir im Unternehmen sowie durch regelmäßige Updates und Neuerungen in dem Produkt-Portfolio von Microsoft 365 können sich auch rechtliche Prüfungs- und Anpassungserfordernisse ergeben. Auch hierbei werden wir dich laufend unterstützen in regelmäßigen Terminen, die wir in dokumentierter Weise abschließen.

• Halbjährlicher Review-Termin inkl. Prüfungsbericht / Report.
• Überprüfung und Ergänzung der erforderlichen Dokumente.
• Durchführung regelmäßiger Anwender-Schulungen.