5 Tipps für den daten­schutz­kon­for­men Ein­satz von Micro­soft 365 durch öffent­li­che Stellen

Word, Power­Point, Excel, Out­look und Teams – die Anwen­dun­gen von Micro­soft haben sich in den letz­ten Jah­ren mehr und mehr in die Cloud ver­la­gert. Das so ent­stan­de­ne “Micro­soft 365” bie­tet neben vie­len wei­te­ren Vor­tei­len der Cloud nun auch prak­ti­sche Kol­la­bo­ra­ti­ons­mög­lich­kei­ten. Gleich­zei­tig stel­len sich jedoch – ins­be­son­de­re beim Ein­satz durch öffent­li­che Stel­len – zahl­rei­che daten­schutz­recht­li­che Fra­gen, denn in sämt­li­chen Anwen­dun­gen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Auch für öffent­li­che Stel­len und Ein­rich­tun­gen, wie Schu­len, Uni­ver­si­tä­ten und Behör­den, ist ein daten­schutz­kon­for­mer Ein­satz von Micro­soft 365 jedoch mög­lich, wie Bei­spie­le aus der Pra­xis zei­gen: So kommt das nie­der­län­di­sche Jus­tiz­mi­nis­te­ri­um in einer kürz­lich ver­öf­fent­lich­ten Daten­schutz­fol­gen­ab­schät­zung für Uni­ver­si­tä­ten zu dem Ergeb­nis, dass nach Umset­zung bestimm­ter Maß­nah­men kei­ne “hohen Risi­ken für die Daten­ver­ar­bei­tung bestehen”. Und auch die Baye­ri­sche Jus­tiz setzt für die Durch­füh­rung von Video­ver­hand­lun­gen auf Micro­soft Teams.

Inso­fern ist der Fokus bei einer daten­schutz­kon­for­men Nut­zung von Micro­soft 365 weni­ger auf das “ob”, son­dern viel­mehr auf das “wie” zu legen. Hier­zu möch­ten wir Ihnen im Fol­gen­den fünf Tipps zum daten­schutz­kon­for­men Ein­satz von Micro­soft 365 durch öffent­li­che Stel­len geben, die wir in zahl­rei­chen Umset­zungs­pro­jek­ten und im engen Aus­tausch mit Micro­soft und den Daten­schutz­auf­sichts­be­hör­den gewon­nen haben:

1. Durch­füh­rung einer Datenschutzfolgenabschätzung

Eine daten­schutz­kon­for­me Nut­zung von Micro­soft 365 durch öffent­li­che Stel­len erfor­dert in aller Regel eine Daten­schutz­fol­gen­ab­schät­zung nach Art. 35 DSGVO. Mit die­ser sol­len Ver­ar­bei­tungs­vor­gän­ge, die vor­aus­sicht­lich ein hohes Risi­ko für die per­sön­li­chen Rech­te und Frei­hei­ten natür­li­cher Per­so­nen mit sich brin­gen, vor der Ein­füh­rung näher unter­sucht und durch Abhil­fe­maß­nah­men redu­ziert werden.

2. Iden­ti­fi­zie­rung der Ver­ar­bei­tungs­vor­gän­ge und der jewei­li­gen Zwe­cke der Verarbeitung

Die jewei­li­gen Ein­satz­zwe­cke von Micro­soft 365 inner­halb der öffent­li­chen Stel­le soll­ten über die Fest­le­gung von “Nut­zungs­sze­na­ri­en” bestimmt wer­den. Bei­spiels­wei­se las­sen sich im Rah­men der Leh­re an einer Uni­ver­si­tät oder Schu­le ver­schie­de­ne Sze­na­ri­en wie Vor­le­sun­gen bzw. Unter­richt, Semi­na­re, Grup­pen­ar­bei­ten, Prü­fun­gen u.v.m. unter­schei­den. Hier gilt es, die im Rah­men der jewei­li­gen Sze­na­ri­en betrof­fe­nen Per­so­nen­grup­pen aus­zu­ma­chen – also bei­spiels­wei­se Schü­ler, Mit­ar­bei­ter, Lehr­kräf­te – und über Daten­ka­te­go­rien die jeweils kon­kret betrof­fe­nen per­so­nen­be­zo­ge­nen Daten zu ermit­teln. Neben den prak­ti­schen Nut­zungs­sze­na­ri­en soll­te dabei zugleich auch ein Über­blick über die Ver­trä­ge und Lizen­zen mit Micro­soft gewon­nen und zudem geprüft wer­den, ob ein Abschluss wei­te­rer (daten­schutz­recht­li­cher) Zusatz­ver­ein­ba­run­gen erfor­der­lich ist.

3. Iden­ti­fi­zie­rung der Rechts­grund­la­gen für die Verarbeitungszwecke

Auf dem vor­aus­ge­gan­ge­nen Schritt auf­bau­end sind die jewei­li­gen Rechts­grund­la­gen für die ein­zel­nen Zwe­cke der Ver­ar­bei­tung zu iden­ti­fi­zie­ren. Denn eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist nur recht­mä­ßig, wenn min­des­tens eine der Bedin­gun­gen des Art. 6 Abs. 1 S. 1 lit. a) – f) DSGVO erfüllt ist. Bei der Zuord­nung der Rechts­grund­la­gen soll­te dabei auf eine mög­lichst genaue Dif­fe­ren­zie­rung zwi­schen den ein­zel­nen Zwe­cken geach­tet werden.

4. Bewer­tung der Risi­ken für die Rech­te und Frei­hei­ten der betrof­fe­nen Personen

Auf Grund­la­ge der Ein­satz­zwe­cke soll­ten außer­dem die Risi­ken für die betrof­fe­nen Per­so­nen abge­wo­gen wer­den. Risi­ken in öffent­li­chen Ein­rich­tun­gen kön­nen bei­spiels­wei­se die (ver­se­hent­li­che) Offen­le­gung per­so­nen­be­zo­ge­ner Daten oder der rechts­wid­ri­ge Zugriff auf per­so­nen­be­zo­ge­ne Daten durch Drit­te sein. Hier­bei ist auch ein beson­de­res Augen­merk auf die ein­zel­nen betrof­fe­nen Per­so­nen­grup­pen zu rich­ten: So wer­den an Schu­len etwa per­so­nen­be­zo­ge­ne Daten von Min­der­jäh­ri­gen ver­ar­bei­tet, die eine beson­ders schüt­zens­wer­te Per­so­nen­grup­pe dar­stel­len. Auch bei Jus­tiz­be­hör­den ist mit Blick auf die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten eine beson­de­re Risi­ko­ab­wä­gung vorzunehmen.

5. Abhil­fe­maß­nah­men zur Bewäl­ti­gung der Risiken

Sind die jewei­li­gen Risi­ken iden­ti­fi­ziert, gilt es, geeig­ne­te Abhil­fe­maß­nah­men zu imple­men­tie­ren. Die­se kön­nen sowohl tech­ni­scher als auch orga­ni­sa­to­ri­scher Natur sein. Als tech­ni­sche Abhil­fe­maß­nah­me kommt bei­spiels­wei­se die Nut­zung von spe­zi­el­len, von Micro­soft zur Ver­fü­gung gestell­ten Funk­tio­nen wie “Cus­to­mer Lock­box” oder “Hold Your Own Key” in Betracht. Auch ein Berech­ti­gungs­kon­zept, mit wel­chem die Zugriffs­be­rech­ti­gun­gen aller Nut­zer auf Daten inner­halb einer Ein­rich­tung gesteu­ert wird, kann in Micro­soft 365 tech­nisch umge­setzt wer­den. Neben wei­te­ren orga­ni­sa­to­ri­schen Maß­nah­men wie Richt­li­ni­en im Umgang mit Micro­soft 365 und Mit­ar­bei­ter­schu­lun­gen soll­te zur Daten­mi­ni­mie­rung und Spei­cher­be­gren­zung zudem ein Lösch­kon­zept erstellt werden.

Fazit

Ein daten­schutz­kon­for­mer Ein­satz von Micro­soft 365 ist auf­grund der tech­ni­schen Struk­tur und zahl­rei­chen recht­li­chen Vor­ga­ben kom­plex – mit einer Daten­schutz­fol­gen­ab­schät­zung und geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Redu­zie­rung von Risi­ken im Rah­men der vor­ge­se­he­nen Nut­zungs­sze­na­ri­en im Ergeb­nis jedoch auch für öffent­li­che Stel­len möglich.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.