• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Schnelle Hilfe bei Datenschutzproblemen
Microsoft 365 Datenschutzkonform

Microsoft 365 datenschutzkonform nutzen: ein umfassender Leitfaden

Microsoft 365 ist eine der meistgenutzten Cloud-Lösungen für Unternehmen und bietet eine Vielzahl an Online-Diensten. Doch wie steht es um die Datenschutzkonformität dieser Plattform?

Unternehmen und Organisationen, die Microsoft 365 einsetzen, stehen vor der Herausforderung, die Lösung im Einklang mit der Datenschutzgrundverordnung (DSGVO) zu nutzen. In diesem Ratgeber klären wir, welche Maßnahmen erforderlich sind, um Microsoft 365 datenschutzkonform einzusetzen.

Inhaltsverzeichnis:

Datenschutzrechtliche Herausforderungen bei Microsoft 365

Microsoft 365 umfasst zahlreiche Online-Dienste, die personenbezogene Daten verarbeiten.
Dabei ergeben sich verschiedene datenschutzrechtliche Herausforderungen.

Datenübermittlung in Drittländer

Eines der größten Probleme bei der Nutzung von Microsoft 365 ist die Datenübermittlung in Drittländer, insbesondere in die USA. Da Microsoft als US-Unternehmen unter den Cloud-Act fällt, können US-Behörden theoretisch auf Daten zugreifen, die in Microsofts Cloud-Diensten gespeichert sind – auch wenn sich diese physisch in der EU befinden. Dies steht im Konflikt mit der DSGVO, die strenge Vorgaben für den Transfer personenbezogener Daten in unsichere Drittländer macht.

Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) wurde das Privacy-Shield-Abkommen für ungültig erklärt. Unternehmen mussten nun auf Standardvertragsklauseln (SCCs) oder andere geeignete Schutzmaßnahmen zurückgreifen, um eine rechtssichere Datenverarbeitung zu gewährleisten. Mit dem Data privacy framework wurde dann eine neue Vereinbarung getroffen, welche Abhilfe zu den Kritikpunkten des Schrems-II-Urteils schaffte. Nach Prüfung durch die EU-Kommission wurde ein Angemessenheitsbeschluss erlassen, welcher nunmehr wieder einen Transfer personenbezogener Daten in die USA ermöglicht. Voraussetzung ist hierbei jedoch, dass die datenempfangende Stelle in den USA im Rahmen des Data-privacy-frameworks entsprechend registriert ist. Allerdings sind auch diese Schutzmechanismen nicht unumstritten, sodass weitere Sicherheitsvorkehrungen erforderlich sind.

Unklare Verantwortlichkeiten

Ein weiteres Problem besteht darin, dass die Verantwortlichkeiten zwischen Microsoft und den Unternehmen, die Microsoft 365 nutzen, nicht immer eindeutig geregelt sind. Microsoft tritt sowohl als Auftragsverarbeiter als auch als gemeinsam Verantwortlicher auf, was zu Unsicherheiten führt. Unternehmen müssen daher explizit festlegen, welche Datenverarbeitungsprozesse von Microsoft übernommen werden und welche sie selbst verantworten.

Hierbei ist es unerlässlich, einen Auftragsverarbeitungsvertrag (AVV) mit Microsoft abzuschließen, um die Datenverarbeitung rechtskonform zu gestalten. Unternehmen sollten sich genau mit den Vertragsbedingungen auseinandersetzen und überprüfen, ob die Microsoft-Dienste den Anforderungen der DSGVO entsprechen.

Telemetrie- und Diagnosedaten

Microsoft 365 erhebt automatisch eine Vielzahl von Telemetrie- und Diagnosedaten, um die Systemleistung zu optimieren und Fehler zu identifizieren. Diese Datenerhebung kann jedoch problematisch sein, da nicht immer transparent ist, welche Informationen genau erfasst und an Microsoft übermittelt werden.

Unternehmen haben die Möglichkeit, die Erfassung dieser Daten in den Datenschutzeinstellungen von Microsoft 365 einzuschränken. Allerdings gibt es keine vollständige Deaktivierungsoption, sodass immer ein gewisses Risiko der unkontrollierten Datenübertragung besteht. Um DSGVO-konform zu bleiben, sollten Unternehmen genau prüfen, welche Daten verarbeitet werden und ob dies mit ihren internen Datenschutzrichtlinien vereinbar ist.

Nutzung von Cloud-Diensten und Zugriff durch Dritte

Microsoft 365 ist eine Cloud-basierte Lösung, was bedeutet, dass sämtliche Daten über das Internet gespeichert, verarbeitet und abgerufen werden. Dies birgt gewisse Risiken, insbesondere wenn Drittanbieter-Apps oder externe Integrationen genutzt werden. Solche Anwendungen können Zugriff auf sensible Unternehmensdaten erhalten, was zu Datenschutzverstößen führen kann. Unternehmen sollten daher:

  • Drittanbieter-Integrationen sorgfältig prüfen, bevor sie aktiviert werden.
  • Berechtigungen regelmäßig kontrollieren und einschränken.
  • Zero-Trust-Sicherheitsmodelle implementieren, um unautorisierte Zugriffe zu verhindern.

Datenschutz Seminare für Einsteiger und Fortgeschrittene

Ein Mann steht an einem Whiteboard und erklärt lächelnd

Die Datenschutzexperten der KEDUA GmbH bietet für Einsteiger und Fortgeschrittene entsprechende Datenschutzseminare an.

Nicht nur gesetzliche Richtlinien, sondern auch umfangreiche branchen- und bereichsspezifische Informationen gilt es beim Thema Datenschutz zu kennen. Vom Grundlagenseminar bis hin zum tief greifenden Aufbauseminar ermöglichen wir Ihnen zahlreiches Datenschutz-Wissen.

Fehlende Transparenz und Kontrollmöglichkeiten

Viele Unternehmen kritisieren, dass Microsoft nicht genügend Transparenz über die Speicherung und Nutzung von Daten bietet. Auch wenn Microsoft regelmäßig Transparenzberichte veröffentlicht, bleibt unklar, in welchem Umfang staatliche Behörden tatsächlich auf Unternehmensdaten zugreifen können.

Ein weiteres Problem besteht darin, dass Unternehmen oft nur eingeschränkte Kontrollmöglichkeiten über ihre Daten haben. Zwar bietet Microsoft verschiedene Datenschutz- und Sicherheitsfeatures, aber nicht alle lassen sich in vollem Umfang anpassen oder abschalten. Unternehmen müssen daher individuelle Zusatzmaßnahmen treffen, um ihre Daten bestmöglich zu schützen.

Schwierigkeiten bei der Umsetzung technischer und organisatorischer Maßnahmen

Die DSGVO verlangt von Unternehmen, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten. Dies kann bei der Nutzung von Microsoft 365 herausfordernd sein, da einige der erforderlichen Datenschutzmaßnahmen nicht standardmäßig in der Plattform enthalten sind. Unternehmen müssen zusätzliche Lösungen implementieren, darunter:

  • Ende-zu-Ende-Verschlüsselung für sensible Daten
  • strikte Zugriffskontrollen und Mehrfaktor-Authentifizierung
  • regelmäßige Datenschutz-Audits und interne Compliance-Prüfungen

Ist Microsoft 365 datenschutzkonform nutzbar?

Die Frage, ob Microsoft 365 datenschutzkonform genutzt werden kann, lässt sich nicht pauschal beantworten. Es kommt darauf an, welche Maßnahmen getroffen werden, um die Einhaltung der Datenschutzvorgaben zu gewährleisten. Microsoft hat in den letzten Jahren verschiedene Maßnahmen ergriffen, um die Datenschutzkonformität zu verbessern, darunter:

  • europäische Cloud-Standorte: Microsoft bietet die Speicherung von Daten innerhalb der EU an.
  • Anpassung der Vertragsbedingungen: Nach dem Schrems-II-Urteil wurden Anpassungen an den Standardvertragsklauseln vorgenommen.
  • Transparenzberichte: Microsoft informiert regelmäßig über Datenzugriffe durch staatliche Stellen.

Wichtige Schritte zur Datenschutzkonformität von Microsoft 365

1) Auftragsverarbeitungsvertrag (AVV) abschließen

Ein AVV mit Microsoft ist unerlässlich, um die rechtlichen Anforderungen der DSGVO zu erfüllen. Dieser regelt die Verarbeitung personenbezogener Daten und enthält Verpflichtungen von Microsoft als Auftragsverarbeiter. Unternehmen sollten sich mit den Vertragsinhalten vertraut machen und prüfen, ob alle relevanten Datenschutzanforderungen berücksichtigt sind.

2) Datenschutzfreundliche Voreinstellungen nutzen

Unternehmen sollten die Konfigurationsmöglichkeiten von Microsoft 365 voll ausschöpfen, um Datenschutzrisiken zu minimieren. Dazu gehören:

  • Minimierung der Telemetrie-Daten: Unternehmen können in den Einstellungen festlegen, dass nur erforderliche Diagnosedaten übertragen werden.
  • Einschränkung des Benutzertrackings: Die Nutzung von Analyse- und Tracking-Tools durch Microsoft kann in vielen Bereichen deaktiviert oder eingeschränkt werden.
  • Sicherung der Kommunikation: Der Einsatz von Verschlüsselungstechnologien wie Microsoft Information Protection kann den Schutz sensibler Daten erhöhen.
  • Anpassung der Freigabeeinstellungen: Unternehmen sollten prüfen, wer auf Dokumente und Inhalte zugreifen kann, um unbefugten Datenzugriff zu verhindern.

3) Speicherung der Daten in der EU sicherstellen

Microsoft bietet inzwischen Möglichkeiten zur ausschließlichen Speicherung von Daten in der EU an. Unternehmen sollten sicherstellen, dass alle geschäftskritischen und personenbezogenen Daten nicht in außerhalb der EU befindlichen Rechenzentren gespeichert werden. Dies kann in den Microsoft-365-Einstellungen konfiguriert werden.

4) Datenschutz-Folgenabschätzung (DSFA) durchführen

Eine Datenschutz-Folgenabschätzung ist erforderlich, um mögliche Risiken der Nutzung von Microsoft 365 zu identifizieren und angemessene Schutzmaßnahmen zu definieren. Unternehmen sollten auch nach einer erfolgreich abgeschlossenen DSFA die Implementierung der eingesetzten Dienste regelmäßig überprüfen und an neue technische oder regulatorische Anforderungen anpassen. Dazu gehören:

  • Identifikation aller betroffenen personenbezogenen Daten
  • Bewertung der potenziellen Risiken
  • Ableitung konkreter Schutzmaßnahmen

5) Schulungen für Mitarbeitende anbieten

Ein weiterer essenzieller Bestandteil der Datenschutzkonformität ist die Schulung der Mitarbeitenden zum sicheren Umgang mit Daten. Unternehmen sollten sicherstellen, dass alle Nutzenden von Microsoft 365 hinsichtlich Datenschutzrichtlinien und -maßnahmen geschult werden und für Datenschutzrisiken sensibilisiert sind. Eine gut informierte Belegschaft kann Datenschutzverstöße verhindern und die Einhaltung der DSGVO-Anforderungen erleichtern.

Alternative Datenschutzmaßnahmen

Open-Source-Alternativen

Eine Alternative zu Microsoft 365 sind Open-Source-Lösungen wie Nextcloud, die eine datenschutzfreundliche Kontrolle über Unternehmensdaten ermöglichen. Diese Lösungen erlauben es, sämtliche Daten auf eigenen Servern zu speichern und so vollständige Hoheit über die Verarbeitung personenbezogener Daten zu behalten.

Hybrid-Lösungen mit On-Premise-Speicherung

Einige Unternehmen entscheiden sich für Hybrid-Lösungen, bei denen sensible Daten auf lokalen Servern gespeichert und weniger kritische Prozesse in der Cloud verarbeitet werden. Diese Option bietet eine erhöhte Kontrolle über personenbezogene Daten und minimiert Risiken der Datenübermittlung in Drittländer.

Drittanbieter-Tools zur Datenverschlüsselung

Um Datenschutz und Sicherheit weiter zu optimieren, können Drittanbieter-Tools zur Datenverschlüsselung genutzt werden. Diese ermöglichen es, Daten zu verschlüsseln, bevor sie in der Cloud gespeichert oder übermittelt werden, sodass selbst im Falle eines Datenlecks keine sensiblen Informationen preisgegeben werden.

Externe Datenschutzprüfungen

Regelmäßige Prüfungen durch externe Datenschutzbeauftragtekönnen helfen, Sicherheitslücken zu erkennen und Compliance-Prozesse zu optimieren. Unternehmen sollten in regelmäßigen Abständen Audits durchführen lassen, um sicherzustellen, dass sie den neuesten Datenschutzvorgaben entsprechen.

Zero-Trust-Modelle

Das Zero-Trust-Prinzip bedeutet, dass keine Nutzenden oder Systeme automatisch als vertrauenswürdig gelten. Unternehmen sollten sicherstellen, dass nur berechtigte Personen Zugriff auf sensible Daten erhalten. Dies kann durch strikte Zugriffskontrollen, Mehrfaktorauthentifizierung und Netzwerksegmentierung erreicht werden.

Fazit: Ist Microsoft 365 DSGVO-konform?

Die Datenschutzkonformität von Microsoft 365 ist kein Selbstläufer.
Unternehmen müssen selbst aktiv werden und technische sowie organisatorische Maßnahmen ergreifen, um die DSGVO-Anforderungen zu erfüllen.
Wer Microsoft 365 mit den richtigen Einstellungen und Vereinbarungen nutzt, kann das Risiko minimieren und eine datenschutzkonforme Nutzung sicherstellen.

zwei Geschäftsmännerarme die sich die Hand geben
Partnerschaftliche Zusammenarbeit

Sie haben weitere Fragen oder benötigen Hilfe?

Unsere Datenschutz-Experten unterstützen Sie, geben Hilfestellung und bieten maßgeschneiderte, individuelle Lösungen für Ihr Unternehmen. Wir kümmern uns um Ihren Datenschutz – von der einfachen Beratung, bis hin zur Erstellung eines Datenschutz-Managementkonzeptes.

FAQ

ÄHNLICHE BEITRÄGE

  • Datenschutz im Homeoffice

    Rechtsrahmen und Verantwortlichkeit Governance: Richtlinien, Zuständigkeiten, Nachweisführung Risikoanalyse des Datenschutzes im Homeoffice TOM im Homeoffice Datenschutz Seminare für Einsteiger und Fortgeschrittene FAQ

    Weiterlesen →

  • Microsoft 365 datenschutzkonform nutzen: ein umfassender Leitfaden

    Inhaltsverzeichnis: Datenschutzrechtliche Herausforderungen bei Microsoft 365 Microsoft 365 umfasst zahlreiche Online-Dienste, die personenbezogene Daten verarbeiten. Dabei ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Datenübermittlung in Drittländer Unklare […]

    Weiterlesen →

  • Mitteilung an den Betriebsrat

    Die Zusammenarbeit mit dem Betriebsrat ist ein zentrales Element in vielen Unternehmen. Arbeitgeber haben nach dem Betriebsverfassungsgesetz (BetrVG) bestimmte Informations- und Mitteilungspflichten gegenüber dem Betriebsrat, […]

    Weiterlesen →