In diesem Blogbeitrag erkläre ich Ihnen, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger einsetzen möchten. Microsoft 365 ist eine Cloud-basierte Plattform, die verschiedene Anwendungen und Dienste für die digitale Zusammenarbeit und Kommunikation bietet. Hierbei werden personenbezogene Daten verarbeitet, die unter den Schutz der Datenschutz-Grundverordnung (DSGVO) fallen. Daher müssen Sie als Sozialdatenträger einige Anforderungen erfüllen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gewährleisten.
Verarbeitung personenbezogener Daten mit Microsoft 365
Die cloudbasierte Version von Microsoft 365 ist für Bürotätigkeiten ein etablierter Standard. Bei Datenschützern steht die Plattform jedoch immer wieder in der Kritik. Grund hierfür: Microsoft 365 ist mit den vorgegebenen Datenschutzkonfigurationen hierzulande nicht DSGVO-konform, da personenbezogene Daten in Drittstaaten übermittelt werden können, die sich nicht am europäischen Datenschutz orientieren. Unternehmen sind deshalb angehalten, selbst risikominimierende organisatorische und technische Vorkehrungen zu treffen, um Daten zu schützen und Bußgelder zu vermeiden.
Datentransfer in die USA: Neues EU-US Data Privacy Framework
Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Mit dem Beschluss haben Unternehmen ab sofort mehr Rechtssicherheit für den Datentransfer in die USA. Er legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, vergleichbar mit dem der Europäischen Union. Damit dient der Beschluss als Grundlage für Datenübermittelungen an zertifizierte US-Unternehmen, ohne dass weitere angemessene Garantien (wie z.B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.
Datenschützer kritisieren jedoch den dritten Versuch der EU-Kommission, ein stabiles Abkommen zum Datentransfer zwischen der EU und den USA zu erreichen. Das Datenschutzabkommen sei lediglich eine Kopie des gescheiterten Privacy Shields, weshalb zu erwarten ist, dass der EuGH das Abkommen wieder zu Fall bringt.
Alle Informationen zum EU-US Data Privacy Framework finden Sie hier: Neuer Angemessenheitsbeschluss für den Datenverkehr EU-US (provectus.de)
Rechtsgutachten zur Risikoabwägung bei der Verarbeitung personenbezogener Daten
Um potentielle Risiken, die mit der Übermittlung von personenbezogenen Daten an Microsoft einhergehen, zu identifizieren, empfiehlt es sich, ein Rechtsgutachten zur Risikoabwägung einzuholen. Diese können sich beispielsweise aus der Möglichkeit eines unberechtigten Zugriffs oder einer rechtswidrigen Verwendung der Daten durch Microsoft oder Dritte ergeben. Ein Rechtsgutachten unterstützt Sie dabei, diese Risiken zu bewerten und zu minimieren.
Das Anzeigeverfahren beim Bundesamt für soziale Sicherung
Bevor Sozialdatenträger Microsoft 365 implementieren, muss ein Anzeigeverfahren beim Bundesamt für soziale Sicherung (BAS) durchgeführt werden. Das Anzeigeverfahren dient dazu, das BAS über die geplante Datenverarbeitung zu informieren und eine Genehmigung dafür zu erhalten. Hierfür sind unter anderem Angaben zu den verarbeiteten Datenkategorien, den betroffenen Personenkreisen, den Zwecken der Verarbeitung, den Rechtsgrundlagen, den technischen und organisatorischen Maßnahmen und den Empfängern der Daten erforderlich.
Der Einsatz von Microsoft 365 bei Sozialdatenträgern birgt einige datenschutzrechtliche Herausforderungen. Deshalb sollten Unternehmen potentielle Risiken abwägen und die notwendigen technischen und organisatorischen Maßnahmen ergreifen. Damit können sie einen datenschutzkonformen Einsatz von Microsoft 365 sicherstellen und von den Vorteilen der digitalen Transformation profitieren.
Sie wollen mehr Infos?
WIR SIND FÜR SIE DA.
Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?
Ihr Ansprechpartner
Daniel wintermeier
IHR Ansprechpartner
