Oktober 2023
Autor:in des Beitrags
Daniel
Principle Consultant
Business Consulting
Veröffentlicht am
04.10.2023 von Daniel
Aktualisiert am
04.10.2023 von Daniel
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Microsoft 365 -DSGVO-konform implementieren

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

In diesem Blogbeitrag erkläre ich Ihnen, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger einsetzen möchten. Microsoft 365 ist eine Cloud-basierte Plattform, die verschiedene Anwendungen und Dienste für die digitale Zusammenarbeit und Kommunikation bietet.

Hierbei werden personenbezogene Daten verarbeitet, die unter den Schutz der Datenschutz-Grundverordnung (DSGVO) fallen. Daher müssen Sie als Sozialdatenträger einige Anforderungen erfüllen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gewährleisten.

Verarbeitung personenbezogener Daten mit Microsoft 365

Die cloudbasierte Version von Microsoft 365 ist für Bürotätigkeiten ein etablierter Standard. Bei Datenschützern steht die Plattform jedoch immer wieder in der Kritik. Grund hierfür: Microsoft 365 ist mit den vorgegebenen Datenschutzkonfigurationen hierzulande nicht DSGVO-konform.

Denn personenbezogene Daten können in Drittstaaten übermittelt werden, die sich nicht am europäischen Datenschutz orientieren. Unternehmen sind deshalb angehalten, selbst risikominimierende organisatorische und technische Vorkehrungen zu treffen, um Daten zu schützen und Bußgelder zu vermeiden.

Datentransfer in die USA: Neues EU-US Data Privacy Framework

Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Mit dem Beschluss haben Unternehmen ab sofort mehr Rechtssicherheit für den Datentransfer in die USA. Er legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, vergleichbar mit dem der Europäischen Union. Damit dient der Beschluss als Grundlage für Datenübermittelungen an zertifizierte US-Unternehmen, ohne dass weitere angemessene Garantien (wie z.B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.

Datenschützer kritisieren jedoch den dritten Versuch der EU-Kommission, ein stabiles Abkommen zum Datentransfer zwischen der EU und den USA zu erreichen. Das Datenschutzabkommen sei lediglich eine Kopie des gescheiterten Privacy Shields, weshalb zu erwarten ist, dass der EuGH das Abkommen wieder zu Fall bringt.

Alle Informationen zum EU-US Data Privacy Framework finden Sie hier: Neuer Angemessenheitsbeschluss für den Datenverkehr EU-US (provectus.de)

Rechtsgutachten zur Risikoabwägung bei der Verarbeitung personenbezogener Daten

Um potentielle Risiken, die mit der Übermittlung von personenbezogenen Daten an Microsoft einhergehen, zu identifizieren, empfiehlt es sich, ein Rechtsgutachten zur Risikoabwägung einzuholen.

Diese können sich beispielsweise aus der Möglichkeit eines unberechtigten Zugriffs oder einer rechtswidrigen Verwendung der Daten durch Microsoft oder Dritte ergeben. Ein Rechtsgutachten unterstützt Sie dabei, diese Risiken zu bewerten und zu minimieren.

Das Anzeigeverfahren beim Bundesamt für soziale Sicherung

Bevor Sozialdatenträger Microsoft 365 implementieren, muss ein Anzeigeverfahren beim Bundesamt für soziale Sicherung (BAS) durchgeführt werden. Das Anzeigeverfahren dient dazu, das BAS über die geplante Datenverarbeitung zu informieren und eine Genehmigung dafür zu erhalten. Hierfür sind unter anderem Angaben zu den verarbeiteten Datenkategorien, den betroffenen Personenkreisen, den Zwecken der Verarbeitung, den Rechtsgrundlagen, den technischen und organisatorischen Maßnahmen und den Empfängern der Daten erforderlich.

Der Einsatz von Microsoft 365 bei Sozialdatenträgern birgt einige datenschutzrechtliche Herausforderungen. Deshalb sollten Unternehmen potentielle Risiken abwägen und die notwendigen technischen und organisatorischen Maßnahmen ergreifen. Damit können sie einen datenschutzkonformen Einsatz von Microsoft 365 sicherstellen und von den Vorteilen der digitalen Transformation profitieren.

Sie möchten mehr infos?

Wir sind für Sie da.

Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?

DANIEL WINTERMEIER | Principal Consultant

+49 89 71040920

daniel@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Blogbeitrag

Citrix Long-Term Service Release 2402, jetzt mit CU1 Bug-Fix

In diesem Blog erfahren Sie, welche Mehrwerte das Citrix LTSR 2402 mitbringt und welcher Bug mit CU1 gefixt wurde.
Weiterlesen
Blogbeitrag

Änderungen bei der Lizenzüberwachung und Telemetrie von NetScaler und NetScaler-Console

Im letzten Jahr hat die Cloud Software Group im Bereich von Citrix die Erfassung von Telemetriedaten eingeführt. Ähnliches folgt nun auch im Bereich der NetScaler. Wär erklären, was jetzt zu tun ist!
Weiterlesen
Webinar

Webinar: Muss es denn immer gleich KI sein?

Kostenloses Webinar für IT-Entscheider*innen: Steigerung der Effizienz, Produktivität und Mitarbeiterzufriedenheit, im Spannungsfeld zwischen New Work, KI und Prozessautomatisierung.
Weiterlesen
Blogbeitrag

Wie Sie mit einem geregelten Prozess für Evergreening die Vorteile von Microsoft 365 optimal nutzen können

Wir zeigen, wie Sie mit Evergrenning Änderungen in Microsoft 365 optimal für Ihr Unternehmen nutzen können.
Weiterlesen
Blogbeitrag

Datenexfiltration in M365 mit Entra ID Conditional Access blockieren

In diesem Artikel taucht unser Experte in die Funktionen aus Conditional Access ein: “app enforced restrictions” und „Conditional Access App Control“ (CAAC).
Weiterlesen
Blogbeitrag

Startschuss für eine neue Geschäftsführung

Wir erweitern die Geschäftsführung und stellen unser neues Führungstrio vor.
Weiterlesen
Echt Ich

Echt Ich Christian

In ECHT ICH erfahrt ihr mehr über Christian, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus “ECHT ER” sein kann.
Weiterlesen
Blogbeitrag

M365 Compliance Whitepaper

In unserem Whitepaper nehmen wir die Bereiche Datenschutz und Compliance unter die Lupe und geben Ihnen wertvolle Handlungsempfehlungen.
Weiterlesen
Blogbeitrag

Microsoft Power Platform – ja oder nein?

Erfahren Sie, wie Sie die Vorteile und Risiken der Microsoft Power Platform abwägen und die beste Lösung für Ihre Anforderungen finden.
Weiterlesen
Blogbeitrag

M365 Compliance Quick-Assessment

Mit unserem Quick Assessment können Sie einige der typischen Fallstricke zu beleuchten im Themenkomplex „Compliance und Datenschutz und M365″.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter