Datenschutz-Folgenabschätzung bei Microsoft 365

24. August 2022

Microsoft 365 hat sich in den vergangenen Jahren zu einer Software entwickelt, die aus vielen Betrieben nicht mehr wegzudenken ist. Insbesondere im Rahmen der Pandemie haben zahlreiche Firmen verstärkt die Möglichkeiten von Home-Office genutzt, wodurch die Nutzung von Microsoft 365 als beliebtes Tool für die Gestaltung eines Modern Workspace weiter gestiegen ist. Moderne Bürosoftware wie Microsoft 365 bietet Unternehmen viele Vorteile. Die Zusammenarbeit von Mitarbeitern kann effizienter gestaltet, mobiles Arbeiten ermöglicht und der IT-Aufwand, wie das Einspielen von Updates oder die Absicherung der Systeme, minimiert werden.

Gleichwohl führt der Einsatz von Microsoft 365 auch zu rechtlichen Bedenken, denn die Datenschutzaufsichtsbehörden sehen den Einsatz von Microsoft 365 als problematisch an. Noch im April 2022 hat sich die Aufsichtsbehörde Baden-Württemberg kritisch geäußert und den Einsatz von Microsoft 365 an Schulen untersagt. Unternehmen seien in der Verpflichtung, den datenschutzkonformen Einsatz nachzuweisen und täten gut daran, alle hierfür erforderlichen Unterlagen vorzuhalten.

Mithilfe einer Datenschutz-Folgenabschätzung (DSFA) kann der datenschutzkonforme Einsatz von Microsoft 365 ggf. nachgewiesen werden. In diesem Blogbeitrag werden wir die Vorgehensweise im Detail vorstellen.

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO gesetzlich verankert. Eine DSFA als Risikobewertung für die Rechte und Freiheiten betroffener Personen stellt sicher, dass relevante datenschutzrechtliche Risiken identifiziert, bewertet und notwendige risikominimierende Maßnahmen geplant und gesteuert werden.

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Gem. Art. 35 DSGVO ist eine DSFA unter anderem dann erforderlich, wenn Verarbeitungen in großem Umfang oder von sensiblen Daten vorgenommen werden. Mit dem Einsatz von Microsoft 365 dürfte diese Schwelle schnell erreicht sein. Lizenzbestandteile wie Teams oder Exchange Online für die Mailkommunikation generieren eine Vielzahl von Funktions- und Diagnosedaten. Hinzu kommen Inhaltsdaten, die durch das Unternehmen selbst hinzugefügt werden. Die Erhebung dieser Diagnosedaten ist schon seit längerem Gegenstand kritischer Berichterstattung im datenschutzrechtlichen Kontext, da Microsoft nicht ausreichend transparent darstellt, zu welchen Zwecken die Daten erhoben und verarbeitet werden.

Zusätzlich wird der Einsatz von Microsoft 365 durch das im Juli 2020 ergangene Schrems-II-Urteil des EuGH verkompliziert, da eine Datenübertragung in die USA nicht ausgeschlossen werden kann. Auch wenn die Daten auf den Servern innerhalb der EU gespeichert werden, ist das Risiko des US-Zugriffs durch den sog. CLOUD-Act nicht auszuschließen.

Da der Einsatz von Microsoft 365 mit datenschutzrechtlichen Unsicherheiten verbunden ist und die Datenschutzaufsichtsbehörden bisher keine einheitliche Empfehlung abgeben haben, ist der beste Weg für einen datenschutzkonformen Einsatz die Durchführung einer Datenschutz-Folgenabschätzung. Aufgrund der wirtschaftlichen Abhängigkeit sind viele Unternehmen auf den Einsatz von Microsoft 365 oder ähnliche Dienste angewiesen. Entscheiden sich Unternehmen daher trotz kritischer Stimmen der Aufsichtsbehörden für einen Einsatz solcher Software, sind diese gut beraten, die rechtskonforme Verwendung durch eine Datenschutz-Folgenabschätzung nachweisen zu können.

Datenschutz-Folgenabschätzung durchführen

Bevor du mit der Datenschutz-Folgenabschätzung zu Microsoft 365 startest, solltest du mithilfe einer Schwellenwertanalyse feststellen, ob eine DSFA notwendig ist. Kommst du zu dem Schluss, dass für den datenschutzkonformen Einsatz von M365 eine DSFA notwendig ist, sollte diese in vier Schritten durchgeführt werden:

Schritt 1: Verarbeitungstätigkeiten

Im ersten Schritt schaust du dir die eingesetzten bzw. geplanten Microsoft-Tools an und ermitteln die zugehörigen Verarbeitungstätigkeiten. Das Vorgehen ist hier ähnlich zu der Erstellung eines Verarbeitungsverzeichnisses, das aus der alltäglichen Datenschutzpraxis bekannt ist. Bestimme die geplanten Verarbeitungen, ermittle die zugehörigen Datensätze sowie die betroffenen Personen und ergänze die passenden Rechtsgrundlagen.

Schritt 2: Ermittlung der Zwecke und Verhältnismäßigkeitsprüfung

Schaue dir anschließend die Zwecke und die Verhältnismäßigkeit der einzelnen Verarbeitungsvorgänge an. Weshalb sind die Verarbeitungen notwendig und gibt es ggf. ein milderes Mittel, mit dem der Zweck ebenfalls erreicht werden kann? Diese Überlegungen helfen im weiteren Verlauf der DSFA, wenn es in der Risikobewertung um die Frage geht, wie die Gewichtung der schutzwürdigen Interessen ausfallen muss.

Schritt 3: Risikoanalyse

Nun folgt das Herzstück der DSFA. Im Rahmen der Risikoanalyse wird das Bruttorisiko für jede einzelne Verarbeitung unter Berücksichtigung der zuvor durchgeführten Verhältnismäßigkeitsprüfung bewertet. Mithilfe einer festgelegten Risikomatrix und anhand der datenschutzrechtlichen Schutzziele werden potenzielle Risiken ermittelt und anschließend evaluiert. Erarbeite anschließend auf Basis der verfügbaren Ressourcen und Voraussetzungen im Unternehmen geeignete Schutzmaßnahmen, die die ermittelten Risiken bestmöglich eindämmen. Schlussendlich muss eine Restrisikobewertung unter Berücksichtigung der geplanten Schutzmaßnahmen stattfinden. Diese ist die Basis der Entscheidung für oder gegen den Einsatz einzelner Tools oder der gesamten Software. 

Schritt 4: Implementierung der Schutzmaßnahmen

Zu guter Letzt müssen die ermittelten Schutzmaßnahmen natürlich umgesetzt werden.

Neben der eigentlichen Durchführung der einzelnen Schritte ist eine ausführliche Dokumentation der getätigten Überlegungen obligatorisch, um der geforderten Rechenschaftspflicht auf geeignete Weise nachzukommen.

Eine Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, für den datenschutzkonformen Einsatz von Microsoft 365. Wir unterstützen dich gerne bei der gesamten Umsetzung der Folgenabschätzung und beraten dich hinsichtlich geeigneter risikominimierender Maßnahmen.

Wenn du Fragen oder Anregungen zu diesem Blogbeitrag hast, melde dich gerne. Wenn dir der Beitrag gefallen hat, dann abonniere gerne unseren Blog.

Anja Wardthuysen

Datenschutzbeauftragte
Anja Wardthuysen ist interne und externe Datenschutzbeauftragte. Als Master of Laws im Bereich Informationsrecht berät sie Kunden und Kollegen an der Schnittstelle zwischen Recht und Praxis im digitalen Umfeld. Der datenschutzkonforme Einsatz moderner Lösungen und deren initiale datenschutzkonforme Gestaltung (Stichwort: Privacy by Design) sind ihre Motivation. Nach der Arbeit hält sie sich mit Krafttraining und Yoga fit und versorgt am Wochenende die Tiere einer Alpakafarm.