{"id":1438,"date":"2022-10-07T12:29:50","date_gmt":"2022-10-07T10:29:50","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1438"},"modified":"2022-10-07T12:29:50","modified_gmt":"2022-10-07T10:29:50","slug":"dsgvo-konformer-einsatz-von-microsoft-365-im-unternehmen","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1438&lang=de","title":{"rendered":"DSGVO konformer Einsatz von Microsoft 365 im Unternehmen"},"content":{"rendered":"\n

Microsoft 365 \u2013 datenschutzrechtlich umstritten<\/strong>
Nicht nur im privaten Umfeld, auch in vielen Unternehmen und Beh\u00f6rden z\u00e4hlen die Produkte von Microsoft zur Standardausstattung und werden – nicht zuletzt aufgrund ihrer weiten Verbreitung – von Datenschutzbeh\u00f6rden immer wieder genauer unter die Lupe genommen.
Sie sind datenschutzrechtlich umstritten, wobei die Beh\u00f6rden bisher keine einheitlichen Empfehlungen und\/oder Verbote herausgegeben haben.
\u00a0
Nutzung von Microsoft 365 in Schulen?<\/strong>
Erst vor einigen Wochen hat der LfDI Baden-W\u00fcrttemberg einen kritischen Hinweis zur Nutzung von Microsoft 365 durch Schulen ver\u00f6ffentlicht und u.a. ein FAQ zu Microsoft Office 365 auf seiner Website ver\u00f6ffentlicht. Dort lassen sich \u2013 gut zusammengefasst – die datenschutzrechtlichen Probleme und Risiken, die mit der Nutzung von Microsoft 365 einhergehen, nachlesen.
\u00a0
\u00dcbertragung personenbezogener Daten in die USA – Drittlandtransfer<\/strong>
Hauptsitz des Unternehmens ist bekannterma\u00dfen in den USA. Von dort betreibt Microsoft \u00fcberall in der Welt Rechenzentren, \u00fcber welche die Leistungen von Office 365 gesteuert werden. Um der Datenschutz-Grundverordnung (DSGVO) im europ\u00e4ischen Wirtschaftsraum gerecht zu werden, bietet Microsoft an, auch die zentralen Services in europ\u00e4ischen Rechenzentren zu betreiben. F\u00fcr Dienste die den Betrieb von Office 365 sicherstellen, gilt dies jedoch nicht. Nutzeridentit\u00e4ten und damit verbundene Meta-Daten werden aus der EU in die USA \u00fcbertragen. Es handlet sich also um den viel diskutierten Drittlandtransfer.
\u00a0
Problem dabei ist die Einstufung der USA als Drittland ohne angemessene Datenschutzgarantien. Wir berichteten an dieser Stelle bereits ausf\u00fchrlich \u00fcber Ursachen und Auswirkungen des sog. Schrems-II-Urteils. Rein rechtlich gesehen ist seither der Datentansfer in die USA verboten, bzw. nur unter bestimmten Bedingungen erlaubt.
Stichwort: EU-Standardvertragsklauseln. \u00a0Diese sind zwar zwischenzeitlich Bestandteil des Microsoft-Lizenzvertrages, reichen einigen deutschen Aufsichtsbeh\u00f6rden aber dennoch nicht aus.
\u00a0
Ma\u00dfnahmen f\u00fcr einen datenschutzkonformen Betrieb<\/strong>
Um Bu\u00dfgelder zu vermeiden und einen datenschutzkonformen Betrieb von Microstoft 365 zu gew\u00e4hrleisten, haben Verantwortliche im Unternehmen risikominimierende Ma\u00dfnahmen zu ergreifen. Zu diesen z\u00e4hlen verschienste datenschutzrelevante Voreinstellungen und Konfigurationen. Stichw\u00f6rter sind hier: Connected Experiences\/Services, Diagnose Daten, Telemetrie-Niveau, LinkeIn u.v.m..
\u00a0
Laut DSGVO besteht zus\u00e4tzlich die M\u00f6glichkeit der Verarbeitung auf Basis einer\u00a0Datenschutz-Folgeabsch\u00e4tzung (DSFA)\u00a0<\/strong>gem\u00e4\u00df Artikel 35 DSGVO. Diese bietet die Chance \u2013 mittels Risikoabw\u00e4gung \u2013 Ma\u00dfnahmen zu ergreifen, die das Datenschutzniveau anforderungsgem\u00e4\u00df erh\u00f6hen.
\u00a0
In jedem Fall sollte ein funktionierendes\u00a0Datenschutz-Management-System<\/strong>installiert werden. Es erf\u00fcllt die Dokumentations-und Nachweispflichten gem\u00e4\u00df DSGVO, und dokumentiert die Umsetzung der Risikoabw\u00e4gung im Rahmen einer Datenschutz-Folgeabsch\u00e4tzung.
\u00a0
Melden Sie sich gerne bei uns, um genauere Informationen zum Thema DSFA nach Art. 35 DSGVO zu erhalten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft 365 \u2013 datenschutzrechtlich umstrittenNicht nur im privaten Umfeld, auch in vielen Unternehmen und Beh\u00f6rden z\u00e4hlen die Produkte von Microsoft zur Standardausstattung<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1438"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1438"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1438\/revisions"}],"predecessor-version":[{"id":1439,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1438\/revisions\/1439"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}