Microsoft 365 ist eine der am häufigsten eingesetzten Business-Softwarelösungen. Vielfältige Einsatzmöglichkeiten und Vertrautheit der Mitarbeiter mit den Funktionen der Apps und Dienste sind hierfür verantwortlich. Jedoch birgt die Software auch Risiken, insbesondere beim Datenschutz. Umso wichtiger ist es, die DSGVO Stolpersteine zu kennen – damit beugen Sie Datenschutzverletzungen vor.

Die zentralen Aspekte beim Datenschutz

Beim Microsoft 365 Datenschutz ist ein breites Spektrum an Aspekten zu berücksichtigen, damit die Datenschutzbehörden keine Verstöße feststellen können. Welche dies sind, hängt von den genutzten Diensten ab. In jedem Fall sollten Nutzer folgende Datenschutzthemen bedenken:

  • Datenübermittlung in Drittstaaten
    Bei Nutzung der Cloud-Dienste können Daten auf Microsoft Servern gespeichert werden. Datentransfers auf Server außerhalb des Europäischen Wirtschaftsraums (EWR) sind aus datenschutzrechtlicher Sicht kritisch und erfordern eine Absicherung.
  • Auftragsverarbeitung
    Mit seinen cloudbasierten Diensten zur Erstellung und Verarbeitung von Dokumenten, E-Mails und weiteren Datenformaten, tritt Microsoft als Auftragsverarbeiter in Erscheinung.
  • Geräteübergreifende Nutzung
    Ob Office Dienste wie Word, Excel, Outlook oder andere Anwendungen – insbesondere bei Nutzung auf dem Smartphone sollte sichergestellt sein, dass die Apps keinen unberechtigten Zugriff auf personenbezogene Daten (z.B. über Adressbücher) erhalten.
  • Diagnosedaten
    Zur Verbesserung seiner Dienste wertet Microsoft im Hintergrund sogenannte Diagnosedaten aus, die unter anderem Client-ID und User-ID umfassen können.
  • Verantwortlichkeit
    Datenschutz ist keine exklusive Angelegenheit der Administratoren oder Datenschutzbeauftragten. Er verlangt die Identifikation aller Beteiligten mit anschließender Aufgaben- und Rollenverteilung.

Datenschutzkonformer Einsatz von Microsoft 365

Den zum Unternehmen passenden Microsoft 365 Plan zu wählen, genügt nicht. Eine datenschutzkonforme Nutzung nach DSGVO erfordert ergänzende Maßnahmen. Welche dies im Detail sind, hängt von zahlreichen Faktoren ab. Nachfolgend führen wir einige Beispiele auf:

  • Datenschutz-Folgenabschätzung
    In Abhängigkeit vom Nutzungsumfang kann der Einsatz von Microsoft 365 die vorherige Durchführung einer DSFA erfordern.
  • Tarifwahl
    Wahl des passenden Microsoft Plans und Eingrenzung der benötigten Apps Office / Dienste unter Berücksichtigung wirtschaftlicher und datenschutzrechtlicher Aspekte.
  • Konfiguration
    Technisch organisatorische Maßnahmen (TOM) einschließlich der richtigen Konfiguration leisten einen erheblichen Beitrag zum Datenschutz. Dies ist einer der umfassendsten und komplexesten Aspekte beim Microsoft 365 Datenschutz.
  • Auftragsverarbeitung
    Es kann die Notwendigkeit bestehen, mit Microsoft einen Auftragsverarbeitungsvertrag zu schließen.
  • Absicherung von Datentransfers
    Rechenzentren in einem Drittland müssen nicht zwingend ein Risiko sein. Im Detail abgestimmte Maßnahmen, wie z.B. eine gezielte Tarifwahl oder Standardvertragsklauseln, können Datenschutzverletzungen vorbeugen.
  • Schulungen
    Ein besseres Verständnis hinsichtlich drohender Datenschutzverstöße erhöht die Sicherheit.

Herausforderungen in der Datenschutzpraxis

Microsoft 365 ist mehr als eine Offlice-Lösung zur Dokumentenerstellung. Sie ermöglicht das Sammeln und Auswerten von Daten, kollaboratives Arbeiten und Kommunikation zwischen Teams. Nutzer erhalten Zugang zu einer Vielzahl an Office- und Business-Tools, wie z.B. Word, Excel, Powerpoint, Outlook, Microsoft Teams, OneDrive und SharePoint.

Die umfangreiche Microsoft Produktpalette macht den Datenschutz zur Herausforderung. Eine gezielte Wahl der Apps und Dienste genügt nicht, ebenso wie das Schließen eines AV-Vertrags. Der größte Aufwand geht mit der Konfiguration sämtlicher Dienste und des Betriebssystems einher.

Erschwerend kommt hinzu, dass insbesondere die Cloud-Dienste regelmäßige Anpassungen erfahren, wodurch sich u.a. Dialogfelder und Menüpunkte ändern. Ein heute erstellter Leitfaden zur Datenschutzkonfiguration kann bereits morgen überholt sein. Im Übrigen erfahren auch die Microsoft Produktbestimmungen – ehemals Online Services Terms (OST) – immer wieder Anpassungen, die streng genommen nach jeder Aktualisierung zu prüfen sind. Ansonsten könnten das erreichte Datenschutzniveau gefährdet sein.

Warum Unternehmen handeln müssen

Das Spektrum an Voraussetzungen, die für den datenschutzkonformen Einsatz von Microsoft 365 zu erfüllen sind, ist breit gefächert – und in der Standardkonfiguration bleiben zahlreiche Datenschutzrisiken unberücksichtigt. Noch vor der ersten Anmeldung besteht Handlungsbedarf, um eine datenschutzkonforme Nutzung zu gewährleisten.

Die Praxis zeigt, dass die Mehrheit mittelständischer Unternehmen diese Aufgabe nicht allein bewältigen kann. Es sind umfassende Fachkenntnisse nötig, die inhouse selten zur Verfügung stehen. Die Recherche im Internet hilft auch nicht weiter, weil die meisten Beiträge nur Teilbereiche beleuchten, jedoch keine ganzheitlichen Lösungen bieten. Hinzu kommt, dass der Einsatz von Microsoft 365 im Unternehmen maßgeschneidert erfolgt und damit eine individuelle Datenschutzlösung erfordert.

Gern unterstützen wir Sie

Ob als Komplettlösung oder im Rahmen ausgewählter Einzelleistungen – gern unterstützen wir Sie beim datenschutzkonformen Einsatz von Microsoft 365 in Ihrer Organisation. Mit folgenden Leistungen können wir Ihnen zur Seite stehen:

  • Beratung rund um die Einführung von Microsoft 365
  • Feedback zu Ihrer Konfiguration und Empfehlung technischer Maßnahmen
  • Unterstützung bei der Dokumentation
  • Abgestimmte Schulungen und Workshops rund um Datenschutz und IT-Sicherheit
  • Datenschutz-Folgenabschätzung zu Microsoft 365
  • Feedback und ggf. Gutachtenerstellung zum Auftragsverarbeitungsvertrag

Empfohlene Webinare

Sichere Nutzung von Microsoft 365 – Welche Einstellungen müssen gesetzt werden, um datenschutzrechtliche Probleme zu vermeiden?

Mehr als 75% Marktanteil hat Microsoft in Hinblick auf die Nutzung als Betriebssystem in Deutschland. Die Nutzer von Microsoft 365 sind in den letzten Jahren stark angestiegen. Immer mehr Unternehmen setzten auf Cloud-Lösungen. Ist ein datenschutzkonformer Einsatz von Microsoft 365 überhaupt möglich? Welche rechtlichen Anforderungen muss ich erfüllen? Welche datenschutzfreundlichen Konfigurationen sind möglich?

Mehr erfahren

Ansprechpartner

Philipp Herold

Philipp Herold

  • GDD-zertifizierter Datenschutzbeauftragter
  • Datenschutzauditor (TÜV Zert.)
  • Externer Datenschutzbeauftragter (TÜV Zert.)

Carolin Leja

Carolin Leja

  • Externe Datenschutzbeauftragte (TÜV Zert.)
  • Datenschutzauditorin (TÜV Zert.)
  • GDD-zertifizierte Datenschutzbeauftragte