Word, PowerPoint, Excel, Outlook und Teams – die Anwendungen von Microsoft haben sich in den letzten Jahren mehr und mehr in die Cloud verlagert. Das so entstandene “Microsoft 365” bietet neben vielen weiteren Vorteilen der Cloud nun auch praktische Kollaborationsmöglichkeiten. Gleichzeitig stellen sich jedoch – insbesondere beim Einsatz durch öffentliche Stellen – zahlreiche datenschutzrechtliche Fragen, denn in sämtlichen Anwendungen werden personenbezogene Daten verarbeitet. Auch für öffentliche Stellen und Einrichtungen, wie Schulen, Universitäten und Behörden, ist ein datenschutzkonformer Einsatz von Microsoft 365 jedoch möglich, wie Beispiele aus der Praxis zeigen: So kommt das niederländische Justizministerium in einer kürzlich veröffentlichten Datenschutzfolgenabschätzung für Universitäten zu dem Ergebnis, dass nach Umsetzung bestimmter Maßnahmen keine “hohen Risiken für die Datenverarbeitung bestehen”. Und auch die Bayerische Justiz setzt für die Durchführung von Videoverhandlungen auf Microsoft Teams.
Insofern ist der Fokus bei einer datenschutzkonformen Nutzung von Microsoft 365 weniger auf das “ob”, sondern vielmehr auf das “wie” zu legen. Hierzu möchten wir Ihnen im Folgenden fünf Tipps zum datenschutzkonformen Einsatz von Microsoft 365 durch öffentliche Stellen geben, die wir in zahlreichen Umsetzungsprojekten und im engen Austausch mit Microsoft und den Datenschutzaufsichtsbehörden gewonnen haben:
1. Durchführung einer Datenschutzfolgenabschätzung
Eine datenschutzkonforme Nutzung von Microsoft 365 durch öffentliche Stellen erfordert in aller Regel eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO. Mit dieser sollen Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen mit sich bringen, vor der Einführung näher untersucht und durch Abhilfemaßnahmen reduziert werden.
2. Identifizierung der Verarbeitungsvorgänge und der jeweiligen Zwecke der Verarbeitung
Die jeweiligen Einsatzzwecke von Microsoft 365 innerhalb der öffentlichen Stelle sollten über die Festlegung von “Nutzungsszenarien” bestimmt werden. Beispielsweise lassen sich im Rahmen der Lehre an einer Universität oder Schule verschiedene Szenarien wie Vorlesungen bzw. Unterricht, Seminare, Gruppenarbeiten, Prüfungen u.v.m. unterscheiden. Hier gilt es, die im Rahmen der jeweiligen Szenarien betroffenen Personengruppen auszumachen – also beispielsweise Schüler, Mitarbeiter, Lehrkräfte – und über Datenkategorien die jeweils konkret betroffenen personenbezogenen Daten zu ermitteln. Neben den praktischen Nutzungsszenarien sollte dabei zugleich auch ein Überblick über die Verträge und Lizenzen mit Microsoft gewonnen und zudem geprüft werden, ob ein Abschluss weiterer (datenschutzrechtlicher) Zusatzvereinbarungen erforderlich ist.
3. Identifizierung der Rechtsgrundlagen für die Verarbeitungszwecke
Auf dem vorausgegangenen Schritt aufbauend sind die jeweiligen Rechtsgrundlagen für die einzelnen Zwecke der Verarbeitung zu identifizieren. Denn eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 S. 1 lit. a) – f) DSGVO erfüllt ist. Bei der Zuordnung der Rechtsgrundlagen sollte dabei auf eine möglichst genaue Differenzierung zwischen den einzelnen Zwecken geachtet werden.
4. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
Auf Grundlage der Einsatzzwecke sollten außerdem die Risiken für die betroffenen Personen abgewogen werden. Risiken in öffentlichen Einrichtungen können beispielsweise die (versehentliche) Offenlegung personenbezogener Daten oder der rechtswidrige Zugriff auf personenbezogene Daten durch Dritte sein. Hierbei ist auch ein besonderes Augenmerk auf die einzelnen betroffenen Personengruppen zu richten: So werden an Schulen etwa personenbezogene Daten von Minderjährigen verarbeitet, die eine besonders schützenswerte Personengruppe darstellen. Auch bei Justizbehörden ist mit Blick auf die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten eine besondere Risikoabwägung vorzunehmen.
5. Abhilfemaßnahmen zur Bewältigung der Risiken
Sind die jeweiligen Risiken identifiziert, gilt es, geeignete Abhilfemaßnahmen zu implementieren. Diese können sowohl technischer als auch organisatorischer Natur sein. Als technische Abhilfemaßnahme kommt beispielsweise die Nutzung von speziellen, von Microsoft zur Verfügung gestellten Funktionen wie “Customer Lockbox” oder “Hold Your Own Key” in Betracht. Auch ein Berechtigungskonzept, mit welchem die Zugriffsberechtigungen aller Nutzer auf Daten innerhalb einer Einrichtung gesteuert wird, kann in Microsoft 365 technisch umgesetzt werden. Neben weiteren organisatorischen Maßnahmen wie Richtlinien im Umgang mit Microsoft 365 und Mitarbeiterschulungen sollte zur Datenminimierung und Speicherbegrenzung zudem ein Löschkonzept erstellt werden.
Fazit
Ein datenschutzkonformer Einsatz von Microsoft 365 ist aufgrund der technischen Struktur und zahlreichen rechtlichen Vorgaben komplex – mit einer Datenschutzfolgenabschätzung und geeigneten technischen und organisatorischen Maßnahmen zur Reduzierung von Risiken im Rahmen der vorgesehenen Nutzungsszenarien im Ergebnis jedoch auch für öffentliche Stellen möglich.