Seit dem Fall des "Privacy Shield" im vergangenen Sommer geistern viele Gerüchte durch die Datenschutzwelt: Die Einen behaupten, eine Zusammenarbeit mit US-Anbietern wie z.B. Microsoft sei jetzt komplett rechtswidrig und müsse sofort gestoppt werden. Die Anderen sagen, es gäbe überhaupt kein Problem. Man könne ja nicht einfach den Betrieb einstellen". Was ist wirklich Sache? Was müssen gerade mittelständische Unternehmen tun, um weiter Microsoft 365 einsetzen zu können?
 |
| Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an |
Der Mittelständler: Müssen wir Microsoft 365 jetzt sofort abschaffen?
Der Mittelständler: Dann machen wir also einfach weiter wie bisher?
yourIT Datenschutz-Team: Davon raten wir bei yourIT unseren Kunden dringend ab. Als Reaktion auf das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) sind neue, zusätzliche Datenschutz-Maßnahmen notwendig, um Produkte wie Microsoft 365 (auch M365, MS 365, Office 365, O365) rechtskonform einsetzen zu können.
Der Mittelständler: Was sind das für Maßnahmen?
yourIT Datenschutz-Team: Zwei Dinge: Zum einen müssen Sie die Datenverarbeitungsprozesse nach den Vorschriften der EU-DSGVO korrekt und vollständig dokumentieren. Zum anderen müssen Sie Maßnahmen treffen, um das zu geringe allgemeine Datenschutzniveau in den USA für Ihre Daten auf ein "europäisches" Maß zu heben.
Der Mittelständler: Was gehört zu so einer Dokumentation?
yourIT Datenschutz-Team: Die Dokumentation besteht aus der oder den Meldungen zum Verzeichnis von Verarbeitungstätigkeiten und dem Abschluss eines Auftragsverarbeitungsvertrags mit Microsoft. Nach dem Wegfall von Privacy Shield kommt hier als sinnvolles Übermittlungsinstrument nur noch die Standardvertragsklauseln der Europäischen Kommission in Betracht.
Der Mittelständler: Müssen wir jetzt mit Microsoft verhandeln oder was?
yourIT Datenschutz-Team: Nein. Wie die meisten großen Anbieter, die Auftragnehmer im Sinne der EU-DSGVO sind, stellt Microsoft die notwendigen Dokumente auf seiner Website öffentlich zum Download zur Verfügung. Sie müssen Sie also nur herunterladen.
Der Mittelständler: Das ist ja einfach. Warum machen die Datenschützer dann so eine Wind?
yourIT Datenschutz-Team: Weil der Download erst der Anfang ist. Die EU-DSGVO verlangt, dass Sie die Datenschutz-Regeln, zu denen Microsoft sich verpflichtet, auf Übereinstimmung mit der EU-DSGVO prüfen - und diese Prüfung und das Ergebnis dokumentieren. Wenn Sie zum Ergebnis kommen, dass das "Datenschutz-Angebot" von Microsoft kein europäisches Niveau hat, dürfen Sie die Produkte nicht nutzen. Und hier liegt das Problem - Microsoft macht ihnen ein "Datenschutz-Angebot", aber Verhandlungsspielraum haben Sie nicht. Reicht das Angebot nicht aus, um die Anforderungen der EU-DSGVO bzw. des Europäischen Gerichtshofs zu erfüllen, dann müssen Sie bei sich etwas ändern - bei Ihrer Datenverarbeitung.
Der Mittelständler: OK. Verstanden. Und wie finde ich heraus, ob ich etwas ändern muss?
Der Mittelständler: Was heißt das jetzt? Sie sagten doch Eingangs, wir könnten Microsoft 365 behalten?
Der Mittelständler: Unsere Prozesse anpassen? Und wie? Was kann man da tun?
Der Mittelständler: Das hört sich alles nach viel Aufwand an. Und wenn wir es einfach nicht machen? Wie hoch ist das Risiko, erwischt zu werden?
yourIT Datenschutz-Team: Wir bei yourIT schätzen das Risiko aktuell als sehr hoch ein. Seit Anfang Juni 2021 läuft eine koordinierte Prüfung der deutschen Datenschutzaufsichtsbehörden zum Thema internationaler Datentransfer. Davon ist (neben vielen anderen gängigen Softwareprodukten) auch Microsoft 365 betroffen. Näheres zur koordinierten Prüfung finden Sie in unserem separaten Blogbeitrag vom 04. Juni 2021.
Der Mittelständler: Und selbst wenn, dann zahlen wir halt das Bußgeld.
yourIT Datenschutz-Team: Wir sind nicht mehr im BDSG-alt. Aktuell sprechen wir von Bußgeldern von bis zu 20 Millionen Euro oder 2% des Vorjahresumsatzes. In den Jahren seit Inkrafttreten der EU-DSGVO hat sich gezeigt, dass die Aufsichtsbehörden den Bußgeldrahmen auch immer mehr ausschöpfen. Das kann ganz schnell existenzbedrohend werden. Und wenn wir gerade von existenzbedrohend reden - es ist ja nicht das Bußgeld allein. Die Behörde hat ein in unseren Augen viel schärferes Schwert - die Untersagung. Was läuft in Ihrem Unternehmen noch, wenn Sie ab morgen keine microsoft-Produkte mehr einsetzen könnten? Könnten Sie noch produzieren? Könnten Sie noch etwas verkaufen? Vermutlich kaum. Und auf ein anderes System wechseln geht auch nicht von heute auf morgen. Dieser de facto Betriebsstillstand nach einer Untersagung ist in unseren Augen eine noch viel größere Bedrohung für den klassischen Mittelständler als ein Bußgeld.
Der Mittelständler: OK, wir kommen also nicht darum herum, daran etwas zu ändern. Wo fangen wir am besten an?
yourIT Datenschutz-Team: Wir haben eine Checkliste für die Prüfung erstellt, die Ihnen einen ersten Überblick über die notwendigen Maßnahmen gibt. Fragen Sie diese jetzt kostenfrei bei uns an: