David gegen Goliath? Oder Microsoft vs. DSGVO?
Die europäischen Datenschutzbehörden stehen dem Einsatz von Microsoft 365 kritisch gegenüber. Es geht zum Einen um den Datentransfer in die USA. Dieser ist seit dem Wegfall des Privacy Shields aufgrund des Schrems II Urteils legal nur mehr erschwert möglich.
Der zweite Kritikpunkt ist die Verarbeitung von Telemetrie- und Diagnosedaten. Denn diese Daten sind zum Teil personenbezogen und bestimmte Datensätze werden von Microsoft als notwendig eingestuft. Eine Übermittlung dieser Daten kann daher nicht von den IT-Administationen deaktiviert werden.
Aus ComplianceIT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. mehr erfahren Sicht ist eine weitere Frage bisher noch nicht final geklärt. Hierzu liegen auch unterschiedliche Auffassungen der europäischen Datenschutzbehörden vor: Besteht mit Microsoft eine gemeinsame Verantwortlichkeit für die Übermittlung der Diagnosedaten?
Die Datenschutzkonferenz in Deutschland als auch die Datenschutzbehörde NRW gehen derzeit von einer alleinigen Verantwortlichkeit von Microsoft aus. Hingegen kam das niederländische Justizministerium in einem Gutachten zum Ergebnis einer gemeinsamen Verantwortlichkeit – dies jedoch auf Basis der “alten” Microsoft Products and Services Data Protection Addendum (Anhang).
Und dies ist zugleich auch ein gutes Stichwort: Denn erst im September 2022 hat Microsoft dieses Addendum überarbeitet. Es wurde auf Kritikpunkte aus DSGVO-Sicht eingegangen.
Und nun zu den Auswirkungen auf europäische Unternehmen …
Ein Großteil der Unternehmen nutzt die Microsoft 365 Anwendungen. Gerade auch während der Pandemie stiegen die Anforderungen an ortsunabhängiges und kollaboratives Arbeiten. Nach unserer Ansicht gibt es derzeit keine gleichwertigen Alternativen im Corporate Bereich. Aus diesem Grund nutzt auch der Großteil der Unternehmen Microsoft Anwendungen.
Und genau deswegen ist es für jedes Unternehmen unerlässlich, die Pflichten beim Einsatz von Microsoft 365 zu kennen:
?? Prozesse in einem Verarbeitungsverzeichnis pflegen
?? Änderungen der Prozesse prüfen
?? Informationspflichten umsetzen
?? Abschluss des Addendums
?? Datenschutzbeauftragten frühzeitig informieren – und wenn Dein Unternehmen noch keinen DSB hat, melde Dich per DM
(Aufzählung nicht abschließend.)
Kooperationspost von Cloud Gestalt und SCALELINE
