Oktober 2023
Autor:in des Beitrags
Daniel
Principle Consultant
Business Consulting
Veröffentlicht am
04.10.2023 von Daniel
Aktualisiert am
04.10.2023 von Daniel
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Microsoft 365 -DSGVO-konform implementieren

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

In diesem Blogbeitrag erkläre ich Ihnen, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger einsetzen möchten. Microsoft 365 ist eine Cloud-basierte Plattform, die verschiedene Anwendungen und Dienste für die digitale Zusammenarbeit und Kommunikation bietet.

Hierbei werden personenbezogene Daten verarbeitet, die unter den Schutz der Datenschutz-Grundverordnung (DSGVO) fallen. Daher müssen Sie als Sozialdatenträger einige Anforderungen erfüllen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gewährleisten.

Verarbeitung personenbezogener Daten mit Microsoft 365

Die cloudbasierte Version von Microsoft 365 ist für Bürotätigkeiten ein etablierter Standard. Bei Datenschützern steht die Plattform jedoch immer wieder in der Kritik. Grund hierfür: Microsoft 365 ist mit den vorgegebenen Datenschutzkonfigurationen hierzulande nicht DSGVO-konform.

Denn personenbezogene Daten können in Drittstaaten übermittelt werden, die sich nicht am europäischen Datenschutz orientieren. Unternehmen sind deshalb angehalten, selbst risikominimierende organisatorische und technische Vorkehrungen zu treffen, um Daten zu schützen und Bußgelder zu vermeiden.

Datentransfer in die USA: Neues EU-US Data Privacy Framework

Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Mit dem Beschluss haben Unternehmen ab sofort mehr Rechtssicherheit für den Datentransfer in die USA. Er legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, vergleichbar mit dem der Europäischen Union. Damit dient der Beschluss als Grundlage für Datenübermittelungen an zertifizierte US-Unternehmen, ohne dass weitere angemessene Garantien (wie z.B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.

Datenschützer kritisieren jedoch den dritten Versuch der EU-Kommission, ein stabiles Abkommen zum Datentransfer zwischen der EU und den USA zu erreichen. Das Datenschutzabkommen sei lediglich eine Kopie des gescheiterten Privacy Shields, weshalb zu erwarten ist, dass der EuGH das Abkommen wieder zu Fall bringt.

Alle Informationen zum EU-US Data Privacy Framework finden Sie hier: Neuer Angemessenheitsbeschluss für den Datenverkehr EU-US (provectus.de)

Rechtsgutachten zur Risikoabwägung bei der Verarbeitung personenbezogener Daten

Um potentielle Risiken, die mit der Übermittlung von personenbezogenen Daten an Microsoft einhergehen, zu identifizieren, empfiehlt es sich, ein Rechtsgutachten zur Risikoabwägung einzuholen.

Diese können sich beispielsweise aus der Möglichkeit eines unberechtigten Zugriffs oder einer rechtswidrigen Verwendung der Daten durch Microsoft oder Dritte ergeben. Ein Rechtsgutachten unterstützt Sie dabei, diese Risiken zu bewerten und zu minimieren.

Das Anzeigeverfahren beim Bundesamt für soziale Sicherung

Bevor Sozialdatenträger Microsoft 365 implementieren, muss ein Anzeigeverfahren beim Bundesamt für soziale Sicherung (BAS) durchgeführt werden. Das Anzeigeverfahren dient dazu, das BAS über die geplante Datenverarbeitung zu informieren und eine Genehmigung dafür zu erhalten. Hierfür sind unter anderem Angaben zu den verarbeiteten Datenkategorien, den betroffenen Personenkreisen, den Zwecken der Verarbeitung, den Rechtsgrundlagen, den technischen und organisatorischen Maßnahmen und den Empfängern der Daten erforderlich.

Der Einsatz von Microsoft 365 bei Sozialdatenträgern birgt einige datenschutzrechtliche Herausforderungen. Deshalb sollten Unternehmen potentielle Risiken abwägen und die notwendigen technischen und organisatorischen Maßnahmen ergreifen. Damit können sie einen datenschutzkonformen Einsatz von Microsoft 365 sicherstellen und von den Vorteilen der digitalen Transformation profitieren.

Sie möchten mehr infos?

Wir sind für Sie da.

Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?

DANIEL WINTERMEIER | Principal Consultant

+49 89 71040920

daniel@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Blogbeitrag

KI Ready Nürtingen

Wir sind dabei und freuen uns auf den spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Blogbeitrag

Supportende für Microsoft Office 2016 und 2019

Unternehmen, die aktuell Office 2016 oder Office 2019 einsetzen, sollten sich auf das bevorstehende Supportende vorbereiten und rechtzeitig die nächsten Schritte einleiten.
Weiterlesen
Blogbeitrag

Supportende für Skype for Business 2015 und 2019

Durch das Supportende für Skype for Business 2015 und 2019 sind Unternehmen Sicherheits- und Compliancerisiken ausgesetzt – Handeln Sie Jetzt um Risiken zu vermeiden.
Weiterlesen
Blogbeitrag

NetScaler: Neues Verhalten bei Pooled-Lizenzablauf 

Seit Version 14.1 Build 38.x führt das Ablaufen einer Pooled Lizenz direkt zur Deaktivierung des NetScalers – ohne Grace Period und mit Risiko von Konfigurationsverlust.
Weiterlesen
Echt Ich

Echt Ich Luisa

In ECHT ICH erfahrt ihr mehr über Luisa, ihren Arbeitsalltag, ihre Hobbys und warum sie bei Provectus „ECHT SIE“ sein kann.
Weiterlesen
Whitepaper

Whitepaper – eDialogPRO

Regulatorische Anforderungen von FinVermV und MiFID II effizient umsetzen und gleichzeitig das Kundenerlebnis verbessern – praxisnahe Lösungen und innovative Ansätze
Weiterlesen
Blogbeitrag

Supportende für Microsoft Exchange 2016 & 2019

Durch das Supportende für Exchange Server 2016 und 2019 sind Unternehmen Sicherheits- und Compliancerisiken ausgesetzt. Unser Experte erklärt, was nun zu tun ist.
Weiterlesen
Blogbeitrag

Citrix: Fehler bei LTSR 2402 Cumulative Update 2 (CU2)

Das LTSR 2402 CU2-Update enthält fehlerhafte Signaturen, die zu Funktionsausfällen und Sicherheitswarnungen führen können. Citrix arbeitet an einer Lösung – erfahren Sie mehr über den Workaround und empfohlene Maßnahmen.
Weiterlesen
Blogbeitrag

Microsoft vollendet die EU Data Boundary

Microsoft hat die EU Data Boundary vollständig umgesetzt, wodurch personenbezogene Daten europäischer Kunden standardmäßig innerhalb der EU gespeichert und verarbeitet werden. Alle Detail erfahren Sie von unserem Experten Danny.
Weiterlesen
Whitepaper

Whitepaper – Der AI Act der EU

Der neue AI Act der EU stellt klare Regeln für den Einsatz von Künstlicher Intelligenz auf. Wir erklären auf was sich Unternehmen, die KI entwickeln oder nutzen, jetzt einstellen müssen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter