Effiziente Raumbuchung und smarte Gebäudeautomatisierung.
Effiziente Raumbuchung und smarte Gebäudeautomatisierung.
Quelle: Fotolia / vegefox.com
Immer mehr Unternehmen nutzen nicht mehr die klassischen Microsoft Office Produkte, die ausschließlich offline funktionieren, sondern nutzen vermehrt Microsoft 365 (bis April 2020: Office 365). Bei der Nutzung von Office 365 in Unternehmen ist jedoch der Aspekt des Datenschutzes nicht außer Acht zu lassen.
In den vergangenen Wochen und Monaten geriet Office 365 aufgrund von datenschutzrechtlichen Bedenken immer wieder in die Medien. Im schlimmsten Fall drohten hohe Geldstrafen. Die deutsche Datenschutzkonferenz, kurz DSK, hat hierzu auch bereits eine Empfehlung ausgesprochen. Wir klären Sie auf, warum Microsoft Office 365 derzeit nicht im Standard DSGVO-konform ist. Wie die Empfehlung der deutschen Datenschutzkonferenz aussieht und wie Sie Microsoft 365 (ehemals Office 365) datenschutzkonform nutzen können, erklären wir Ihnen nachfolgend.
In der Diskussion um Microsoft Office 365 in Zusammenhang mit den Bedenken hinsichtlich des Datenschutzes geht es im Kern darum, dass man die Datenübermittlung an Microsoft unterbinden möchte. Jedoch gilt es bereits jetzt zu sagen, dass, wenn alle Einstellungen, die für eine DSGVO-konforme Nutzung von Microsoft Office 365 nötig sind, vorgenommen werden, nicht mehr alle Funktionen von Microsoft Office 365 in der gewohnten, vollumfänglichen Weise nutzbar sind.
Die deutsche Datenschutzkonferenz (DSK) begründete ihr Urteil, dass Microsoft Office 365 nicht ohne weiteres datenschutzkonform nutzbar ist, wie folgt:
Wenn Sie sich jetzt auf die Suche nach Alternativen zu Microsoft Office 365 machen dann ist dies nachvollziehbar. Allerdings muss dazu gesagt werden, derzeit ist sich die deutsche Datenschutzkonferenz (DSK) nicht endgültig einig. Sie hat lediglich eine Empfehlung ausgesprochen. Zusätzlich haben die einzelnen Produkte, die Teil eines Bündels sowohl in Office 365 als auch in Microsoft 365 sind, unterschiedliche rechtliche Vereinbarungen. Dies hat wiederum zur Folge, dass man überprüfen muss, ob jedes einzelne Produkt sowie die unterschiedlichen Konstellationen den gesetzlichen Anforderungen an den Datenschutz genügt. Immer neue Softwareupdates sowie Anpassungen im rechtlichen Bereich lassen allerdings nur eine verzögerte Rückmeldung der DSK zu. So kann es sein, dass die beanstandenden Punkte bereits seitens Microsoft angepasst wurden. Aufgrund dieser unsicheren Rechtslage, ist es selbst für Juristen teilweise schwierig eine korrekte Aussage zu treffen. Grundsätzlich gilt es vorsorgliche Maßnahmen zu ergreifen um vor möglichen rechtlichen Folgen geschützt zu sein.
Gemäß DSGVO ist es für den Datenschutzverantwortlichen erforderlich, eine Datenschutzfolgeabschätzung für Microsoft Office 365 zu entwerfen, wenn eine „Wahrscheinlichkeit besteht, dass eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehen kann“. Dies ist dann der Fall, wenn Sie eigene Mitarbeiter als Benutzer im Office 365 anlegen.
Im Kern kommt es jedoch nicht auf das Produkt an sich an, sondern um welche Daten es sich handelt und mit welchen gesetzten Voreinstellungen IT-Administratoren und Datenschutzbeauftragte - Microsoft Office 365 den Mitarbeitern:innen zur Verfügung stellen. Bei welchen Daten Sie eine Datenschutzfolgeabschätzung benötigen, können Sie aus dem Teil 1 des Leitfadens seitens Microsoft entnehmen.
Wenn Sie nun wissen, dass Sie und Ihr Unternehmen eine Datenschutzfolgeabschätzung benötigen, gilt es eine ausführliche Bewertung über die Auswirkungen auf den Datenschutz, die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Datenverarbeitung zu erstellen. In Ihren Ausführungen sollten Bewertungen der Auswirkungen auf den Datenschutz von Microsoft beinhalten. Diese Beschreibungen sollten u.a. folgende Punkte beinhalten:
Gerne sind wir Ihnen bei der Erstellung der Datenschutzfolgeabschätzung behilflich. Unsere Experten stehen Ihnen hierfür zur Verfügung.
Damit Sie schlussendlich auch Microsoft Office 365 im Unternehmen möglichst datenschutzkonform einsetzen können, genügt es nicht ausschließlich eine Datenschutzfolgeabschätzung zu erstellen, sondern es sind einige Einstellungen im Tenant (Mandanten) vorzunehmen.
Im ersten Schritt ist es notwendig zu überprüfen, ob Office 365 die Version 1905 oder höher bereits installiert ist. Erst ab dieser Version ist es möglich Einstellungen im Bereich der Datensammlung und Übertragung vorzunehmen. Dies ist die Grundlage für weitere dringend notwendige Maßnahmen.
Diese Maßnahmen sind unter anderem zu empfehlen:
In diesem Zusammenhang gilt es jedoch zu beachten, dass es sich hierbei um keine vollständige Liste handelt, sondern lediglich ein Ausschnitt an Empfehlungen und Maßnahmen dargestellt werden kann. Gerne unterstützen wir Sie bei der Umsetzung der einzelnen Anforderungen zu datenschutzkonformer Nutzung von Microsoft Office 365. Unsere Datenschutzdsachverständigen stehen Ihnen hierbei gerne zur Verfügung.
Wenn Sie Office 365 einsetzen möchten, gilt es möglichst alle risikobehafteten Punkte zu beseitigen um den Datenschutz gesamtheitlich zu erhöhen und somit das Risiko zu minimieren. Ein Restrisiko bleibt jedoch auch bei der Umsetzung aller Maßnahmen weiterhin bestehen. Die Bewertung dieses Restrisikos obliegt hierbei der zuständigen Aufsichtsbehörde.
Eine vollständig rechtssichere Nutzung von Microsoft Office 365 ist derzeit aus unserer Sicht und der Einschätzung von den meisten Datenschützern nicht möglich. Jedoch führt an der Nutzung von Office-Produkten von Microsoft kaum ein Weg vorbei und man muss einen gewissen Kompromiss eingehen. Wenn Sie vollständig datenschutzkonform handeln möchten, empfehlen wir Ihnen auf die Office 365 Online Services zu verzichten und stattdessen eine Microsoft Office Kauflizenz einzusetzen und alle auf Services seitens deHOSTED (wie zum Beispiel deHOSTED Exchange, deHOSTED Sharepoint und deHOSTED Skype for Business) anzubinden. Diese Services werden ausschließlich in deutschen Rechenzentren bereitgestellt und unterstehen keinem Einfluss durch Microsoft, da NetTask der Servicebetreiber und Datenverarbeiter ist. Lediglich die Lizenzierung der eingesetzten Microsoft Produkte wird durch Microsoft durchgeführt. Eine Datenübermittlung von Endkundendaten erfolgt nicht.
Wichtig: Wir empfehlen Ihnen alle notwendigen Anpassungen und Einstellungen zur datenschutzkonformen Nutzung von Microsoft Office 365 vorzunehmen sowie die notwendigen Abschätzungen zu erstellen. Unsere Datenschutzsachverständigne stehen Ihnen jederzeit gerne für Fragen zur Verfügung. |
Effiziente Raumbuchung und smarte Gebäudeautomatisierung.
Effiziente Raumbuchung und smarte Gebäudeautomatisierung.
Die Zukunft des Bauens: Wie Building Information Modeling (BIM) die Bauindustrie revolutioniert.
Die Zukunft des Bauens: Wie Building Information Modeling (BIM) die Bauindustrie revolutioniert.
Die Bedeutung eines effektiven Incident Response Plans für Ihr Unternehmen.
Die Bedeutung eines effektiven Incident Response Plans für Ihr Unternehmen.
Best Practices in der Cybersicherheit: Schützen Sie Ihr Unternehmen vor digitalen Bedrohungen.
Best Practices in der Cybersicherheit: Schützen Sie Ihr Unternehmen vor digitalen Bedrohungen.
NetTask ist der führende Cloud Service Provider für „Modernes Arbeiten“ in Europa. Mit unserer langjährigen Themen- und Umsetzungskompetenz in der Informations- und Kommunikationstechnologie entwickeln wir, auf der Basis von Microsoft-Technologie (deHOSTED Exchange, deHOSTED Skype for Business, deHOSTED SharePoint, deHOSTED Office 365, IoT - Technologie), cloudbasierte, hochperformante und sichere Services für die digitale Unternehmenskommunikation und Kollaboration.
Unsere Lösungen bieten Unternehmen einen nachhaltigen Mehrwert in der Arbeitseffizienz, Produktivität sowie der zielgerichteten wirtschaftlichen Verwendung ihrer IT-Budgets.