Dienstag, 22. Juni 2021

Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an!

Seit dem Fall des "Privacy Shield" im vergangenen Sommer geistern viele Gerüchte durch die Datenschutzwelt: Die Einen behaupten, eine Zusammenarbeit mit US-Anbietern wie z.B. Microsoft sei jetzt komplett rechtswidrig und müsse sofort gestoppt werden. Die Anderen sagen, es gäbe überhaupt kein Problem. Man könne ja nicht einfach den Betrieb einstellen". Was ist wirklich Sache? Was müssen gerade mittelständische Unternehmen tun, um weiter Microsoft 365 einsetzen zu können?


Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an

Auf diese Fragen soll unser Blogbeitrag knappe und verständliche Antworten geben. Nicht theoretisch, sondern ganz praktisch anhand der Fragen, die uns unsere vielen Kunden aus dem Mittelstand in den letzten Wochen und Monaten gestellt haben. Eben Datenschutz von Praktikern für Praktiker.


Der Mittelständler: Müssen wir Microsoft 365 jetzt sofort abschaffen? 


yourIT Datenschutz-Team: Nein. Die Datenschutzaufsichtsbehörden, gerade hier in Baden-Württemberg, verstehen die unternehmerischen Notwendigkeiten. Sie können nicht eine Software, auf der unzählige Unternehmensprozesse basieren und die unumstrittener Marktführer ist, von heute auf morgen abschaffen. 


Der Mittelständler: Dann machen wir also einfach weiter wie bisher? 

yourIT Datenschutz-Team: Davon raten wir bei yourIT unseren Kunden dringend ab. Als Reaktion auf das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) sind neue, zusätzliche Datenschutz-Maßnahmen notwendig, um Produkte wie Microsoft 365 (auch M365, MS 365, Office 365,  O365) rechtskonform einsetzen zu können.

Der Mittelständler: Was sind das für Maßnahmen?

yourIT Datenschutz-Team: Zwei Dinge: Zum einen müssen Sie die Datenverarbeitungsprozesse nach den Vorschriften der EU-DSGVO korrekt und vollständig dokumentieren. Zum anderen müssen Sie Maßnahmen treffen, um das zu geringe allgemeine Datenschutzniveau in den USA für Ihre Daten auf ein "europäisches" Maß zu heben.

Der Mittelständler: Was gehört zu so einer Dokumentation? 

yourIT Datenschutz-Team: Die Dokumentation besteht aus der oder den Meldungen zum Verzeichnis von Verarbeitungstätigkeiten und dem Abschluss eines Auftragsverarbeitungsvertrags mit Microsoft. Nach dem Wegfall von Privacy Shield kommt hier als sinnvolles Übermittlungsinstrument nur noch die Standardvertragsklauseln der Europäischen Kommission in Betracht.  

Der Mittelständler: Müssen wir jetzt mit Microsoft verhandeln oder was?

yourIT Datenschutz-Team: Nein. Wie die meisten großen Anbieter, die Auftragnehmer im Sinne der EU-DSGVO sind, stellt Microsoft die notwendigen Dokumente auf seiner Website öffentlich zum Download zur Verfügung. Sie müssen Sie also nur herunterladen. 

Der Mittelständler: Das ist ja einfach. Warum machen die Datenschützer dann so eine Wind? 

yourIT Datenschutz-Team: Weil der Download erst der Anfang ist. Die EU-DSGVO verlangt, dass Sie die Datenschutz-Regeln, zu denen Microsoft sich verpflichtet, auf Übereinstimmung mit der EU-DSGVO prüfen - und diese Prüfung und das Ergebnis dokumentieren. Wenn Sie zum Ergebnis kommen, dass das "Datenschutz-Angebot" von Microsoft kein europäisches Niveau hat, dürfen Sie die Produkte nicht nutzen. Und hier liegt das Problem - Microsoft macht ihnen ein "Datenschutz-Angebot", aber Verhandlungsspielraum haben Sie nicht. Reicht das Angebot nicht aus, um die Anforderungen der EU-DSGVO bzw. des Europäischen Gerichtshofs zu erfüllen, dann müssen Sie bei sich etwas ändern - bei Ihrer Datenverarbeitung.

Der Mittelständler: OK. Verstanden. Und wie finde ich heraus, ob ich etwas ändern muss? 


yourIT Datenschutz-Team: Indem Sie das "Datenschutz-Angebot" von Microsoft (genannt Data Protection Addedum oder DPA) anhand der Vorgaben des Europäischen Gerichtshofs überprüfen. Sie müssen nachweisen können, dass das mit dem DPA erreichte Datenschutzniveau mit dem der EU-DSGVO vergleichbar ist. Die Prüfung ist aufwändig und kompliziert, aber wir verraten Ihnen hier schon einmal das Ergebnis: Es reicht nicht!

Der Mittelständler: Was heißt das jetzt? Sie sagten doch Eingangs, wir könnten Microsoft 365 behalten? 


yourIT Datenschutz-Team: Ja, nur Geduld. Jetzt kommt der zweite Schritt: Die Zusatz-Maßnahmen zu den Standardvertragsklauseln. Der EuGH hat festgestellt, dass die Regelungen in den Standardvertragsklauseln, wie sie aktuell eingesetzt werden, nicht ausreichen, um bei Datentransfers zu US-Unternehmen ein "europäisches Niveau" zu erreichen. Deshalb müssen die Unternehmen Zusatzmaßnahmen treffen. Microsoft hat hier schon einiges im Angebot, im DPA finden sich einige zusätzliche Maßnahmen, die Microsoft nach dem Fall von Privacy Shield in Absprache mit der EU-Kommission ausgearbeitet hat. Die alleine reichen aber in aller Regel immer noch nicht. Sie müssen auch selbst etwas tun - Ihre internen Prozesse prüfen und wo möglich anpassen. 

Der Mittelständler: Unsere Prozesse anpassen? Und wie? Was kann man da tun? 


yourIT Datenschutz-Team: Das lässt sich nicht pauschal beantworten. Es gibt viele technische und organisatorische Möglichkeiten, einen Prozess datenschutzfreundlicher zu gestalten. Unter anderem bietet Microsoft auch viele individuelle Konfigurationsmöglichkeiten, die hier genutzt werden können, daher der Titel dieses Beitrags. Andere Maßnahmen setzen nicht bei der Technik, sondern direkt bei Ihren Arbeitsabläufen an. Wichtig ist, dass die einzelnen Maßnahmen zu Ihrem Unternehmen und Ihren Arbeitsabläufen passen müssen, sonst sind sie mehr Blockade als Hilfe. Hierzu beraten wir Sie gerne individuell - sprechen Sie uns an!

Der Mittelständler: Das hört sich alles nach viel Aufwand an. Und wenn wir es einfach nicht machen? Wie hoch ist das Risiko, erwischt zu werden? 

yourIT Datenschutz-Team: Wir bei yourIT schätzen das Risiko aktuell als sehr hoch ein. Seit Anfang Juni 2021 läuft eine koordinierte Prüfung der deutschen Datenschutzaufsichtsbehörden zum Thema internationaler Datentransfer. Davon ist (neben vielen anderen gängigen Softwareprodukten) auch Microsoft 365 betroffen. Näheres zur koordinierten Prüfung finden Sie in unserem separaten Blogbeitrag vom 04. Juni 2021.

Der Mittelständler: Und selbst wenn, dann zahlen wir halt das Bußgeld.

yourIT Datenschutz-Team: Wir sind nicht mehr im BDSG-alt. Aktuell sprechen wir von Bußgeldern von bis zu 20 Millionen Euro oder 2% des Vorjahresumsatzes. In den Jahren seit Inkrafttreten der EU-DSGVO hat sich gezeigt, dass die Aufsichtsbehörden den Bußgeldrahmen auch immer mehr ausschöpfen. Das kann ganz schnell existenzbedrohend werden. Und wenn wir gerade von existenzbedrohend reden - es ist ja nicht das Bußgeld allein. Die Behörde hat ein in unseren Augen viel schärferes Schwert - die Untersagung. Was läuft in Ihrem Unternehmen noch, wenn Sie ab morgen keine microsoft-Produkte mehr einsetzen könnten? Könnten Sie noch produzieren? Könnten Sie noch etwas verkaufen? Vermutlich kaum. Und auf ein anderes System wechseln geht auch nicht von heute auf morgen. Dieser de facto Betriebsstillstand nach einer Untersagung ist in unseren Augen eine noch viel größere Bedrohung für den klassischen Mittelständler als ein Bußgeld.

Der Mittelständler: OK, wir kommen also nicht darum herum, daran etwas zu ändern. Wo fangen wir am besten an? 

yourIT Datenschutz-Team: Wir haben eine Checkliste für die Prüfung erstellt, die Ihnen einen ersten Überblick über die notwendigen Maßnahmen gibt. Fragen Sie diese jetzt kostenfrei bei uns an:

 Jetzt Kontakt aufnehmen


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?