Oktober 2023
Autor:in des Beitrags
Daniel
Principle Consultant
Business Consulting
Veröffentlicht am
04.10.2023 von Daniel
Aktualisiert am
04.10.2023 von Daniel
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Microsoft 365 -DSGVO-konform implementieren

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

In diesem Blogbeitrag erkläre ich Ihnen, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger einsetzen möchten. Microsoft 365 ist eine Cloud-basierte Plattform, die verschiedene Anwendungen und Dienste für die digitale Zusammenarbeit und Kommunikation bietet.

Hierbei werden personenbezogene Daten verarbeitet, die unter den Schutz der Datenschutz-Grundverordnung (DSGVO) fallen. Daher müssen Sie als Sozialdatenträger einige Anforderungen erfüllen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gewährleisten.

Verarbeitung personenbezogener Daten mit Microsoft 365

Die cloudbasierte Version von Microsoft 365 ist für Bürotätigkeiten ein etablierter Standard. Bei Datenschützern steht die Plattform jedoch immer wieder in der Kritik. Grund hierfür: Microsoft 365 ist mit den vorgegebenen Datenschutzkonfigurationen hierzulande nicht DSGVO-konform.

Denn personenbezogene Daten können in Drittstaaten übermittelt werden, die sich nicht am europäischen Datenschutz orientieren. Unternehmen sind deshalb angehalten, selbst risikominimierende organisatorische und technische Vorkehrungen zu treffen, um Daten zu schützen und Bußgelder zu vermeiden.

Datentransfer in die USA: Neues EU-US Data Privacy Framework

Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Mit dem Beschluss haben Unternehmen ab sofort mehr Rechtssicherheit für den Datentransfer in die USA. Er legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, vergleichbar mit dem der Europäischen Union. Damit dient der Beschluss als Grundlage für Datenübermittelungen an zertifizierte US-Unternehmen, ohne dass weitere angemessene Garantien (wie z.B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.

Datenschützer kritisieren jedoch den dritten Versuch der EU-Kommission, ein stabiles Abkommen zum Datentransfer zwischen der EU und den USA zu erreichen. Das Datenschutzabkommen sei lediglich eine Kopie des gescheiterten Privacy Shields, weshalb zu erwarten ist, dass der EuGH das Abkommen wieder zu Fall bringt.

Alle Informationen zum EU-US Data Privacy Framework finden Sie hier: Neuer Angemessenheitsbeschluss für den Datenverkehr EU-US (provectus.de)

Rechtsgutachten zur Risikoabwägung bei der Verarbeitung personenbezogener Daten

Um potentielle Risiken, die mit der Übermittlung von personenbezogenen Daten an Microsoft einhergehen, zu identifizieren, empfiehlt es sich, ein Rechtsgutachten zur Risikoabwägung einzuholen.

Diese können sich beispielsweise aus der Möglichkeit eines unberechtigten Zugriffs oder einer rechtswidrigen Verwendung der Daten durch Microsoft oder Dritte ergeben. Ein Rechtsgutachten unterstützt Sie dabei, diese Risiken zu bewerten und zu minimieren.

Das Anzeigeverfahren beim Bundesamt für soziale Sicherung

Bevor Sozialdatenträger Microsoft 365 implementieren, muss ein Anzeigeverfahren beim Bundesamt für soziale Sicherung (BAS) durchgeführt werden. Das Anzeigeverfahren dient dazu, das BAS über die geplante Datenverarbeitung zu informieren und eine Genehmigung dafür zu erhalten. Hierfür sind unter anderem Angaben zu den verarbeiteten Datenkategorien, den betroffenen Personenkreisen, den Zwecken der Verarbeitung, den Rechtsgrundlagen, den technischen und organisatorischen Maßnahmen und den Empfängern der Daten erforderlich.

Der Einsatz von Microsoft 365 bei Sozialdatenträgern birgt einige datenschutzrechtliche Herausforderungen. Deshalb sollten Unternehmen potentielle Risiken abwägen und die notwendigen technischen und organisatorischen Maßnahmen ergreifen. Damit können sie einen datenschutzkonformen Einsatz von Microsoft 365 sicherstellen und von den Vorteilen der digitalen Transformation profitieren.

Sie möchten mehr infos?

Wir sind für Sie da.

Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?

DANIEL WINTERMEIER | Principal Consultant

+49 89 71040920

daniel@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Whitepaper

Whitepaper – KI-ready

In unserem Whitepaper erhalten Sie einen Überblick über die Herausforderungen, welche die Künstlicher Intelligenz mit sich bringt.
Weiterlesen
Blogbeitrag

Bereitstellung Elastic Stack und Anbindung der NetScaler Syslogs

In diesem Teil steht der Elastic Stack auf dem Plan – Kibana, Elasticsearch und Logstash stehen in den Startlöchern.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution

Wir sind dabei und freuen uns auf den spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Blogbeitrag

KI-Nutzungsrichtlinie: So nutzen Sie KI sicher und compliant

Erfahren Sie, wie Sie eine KI-Nutzungsrichtlinie erstellen können, und Ihre Daten und die Daten Ihrer Kunden zu schützen.
Weiterlesen
Blogbeitrag

Voraussetzungen für den effizienten Einsatz von KI im Unternehmen

Erhalten Sie einen Überblick über die wichtigsten Voraussetzungen, die Sie erfüllen müssen, um KI in Ihrem Unternehmen einzuführen.
Weiterlesen
Echt Ich

Echt Ich Katharina

In ECHT ICH erfahrt ihr mehr über Katharina, ihren Arbeitsalltag, ihre Hobbys und warum sie bei Provectus “ECHT Sie” sein kann.
Weiterlesen
Blogbeitrag

New Teams VDI

Mit der neuen Teams-Version hat sich nicht nur das Design geändert, sondern auch die Installationsroutine. Wir klären auf!
Weiterlesen
Blogbeitrag

KI statt Excel

Entdecken Sie die Vorteile von cloud-basierten Datenbanken und KI-gestützten Datenflüssen für die Automatisierung Ihrer Geschäftsprozesse.
Weiterlesen
Blogbeitrag

KI im Unternehmen einführen: Muss es denn gleich Microsoft 365 Copilot sein?

In diesem Beitrag erhalten Sie von uns einige Orientierungshilfen, damit Sie eine KI-Strategie für Ihr Unternehmen entwickeln können.
Weiterlesen
Blogbeitrag

Verfahren für Single Sign-on

Julian Sperling erläutert alle Kernkonzepte des SSO mit Entra ID und zeigt, wann man sie benötigt.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter