In diesem Blogbeitrag erkläre ich Ihnen, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger einsetzen möchten. Microsoft 365 ist eine Cloud-basierte Plattform, die verschiedene Anwendungen und Dienste für die digitale Zusammenarbeit und Kommunikation bietet.
Hierbei werden personenbezogene Daten verarbeitet, die unter den Schutz der Datenschutz-Grundverordnung (DSGVO) fallen. Daher müssen Sie als Sozialdatenträger einige Anforderungen erfüllen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gewährleisten.
Die cloudbasierte Version von Microsoft 365 ist für Bürotätigkeiten ein etablierter Standard. Bei Datenschützern steht die Plattform jedoch immer wieder in der Kritik. Grund hierfür: Microsoft 365 ist mit den vorgegebenen Datenschutzkonfigurationen hierzulande nicht DSGVO-konform.
Denn personenbezogene Daten können in Drittstaaten übermittelt werden, die sich nicht am europäischen Datenschutz orientieren. Unternehmen sind deshalb angehalten, selbst risikominimierende organisatorische und technische Vorkehrungen zu treffen, um Daten zu schützen und Bußgelder zu vermeiden.
Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Mit dem Beschluss haben Unternehmen ab sofort mehr Rechtssicherheit für den Datentransfer in die USA. Er legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, vergleichbar mit dem der Europäischen Union. Damit dient der Beschluss als Grundlage für Datenübermittelungen an zertifizierte US-Unternehmen, ohne dass weitere angemessene Garantien (wie z.B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.
Datenschützer kritisieren jedoch den dritten Versuch der EU-Kommission, ein stabiles Abkommen zum Datentransfer zwischen der EU und den USA zu erreichen. Das Datenschutzabkommen sei lediglich eine Kopie des gescheiterten Privacy Shields, weshalb zu erwarten ist, dass der EuGH das Abkommen wieder zu Fall bringt.
Alle Informationen zum EU-US Data Privacy Framework finden Sie hier: Neuer Angemessenheitsbeschluss für den Datenverkehr EU-US (provectus.de)
Um potentielle Risiken, die mit der Übermittlung von personenbezogenen Daten an Microsoft einhergehen, zu identifizieren, empfiehlt es sich, ein Rechtsgutachten zur Risikoabwägung einzuholen.
Diese können sich beispielsweise aus der Möglichkeit eines unberechtigten Zugriffs oder einer rechtswidrigen Verwendung der Daten durch Microsoft oder Dritte ergeben. Ein Rechtsgutachten unterstützt Sie dabei, diese Risiken zu bewerten und zu minimieren.
Bevor Sozialdatenträger Microsoft 365 implementieren, muss ein Anzeigeverfahren beim Bundesamt für soziale Sicherung (BAS) durchgeführt werden. Das Anzeigeverfahren dient dazu, das BAS über die geplante Datenverarbeitung zu informieren und eine Genehmigung dafür zu erhalten. Hierfür sind unter anderem Angaben zu den verarbeiteten Datenkategorien, den betroffenen Personenkreisen, den Zwecken der Verarbeitung, den Rechtsgrundlagen, den technischen und organisatorischen Maßnahmen und den Empfängern der Daten erforderlich.
Der Einsatz von Microsoft 365 bei Sozialdatenträgern birgt einige datenschutzrechtliche Herausforderungen. Deshalb sollten Unternehmen potentielle Risiken abwägen und die notwendigen technischen und organisatorischen Maßnahmen ergreifen. Damit können sie einen datenschutzkonformen Einsatz von Microsoft 365 sicherstellen und von den Vorteilen der digitalen Transformation profitieren.
Wir sind für Sie da.
Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?
DANIEL WINTERMEIER | Principal Consultant
