Ein großer Schritt für die IT in der öffentlichen Verwaltung: Das Land Niedersachsen hat kürzlich mit Microsoft einen Vertrag über den Einsatz von Microsoft Teams abgeschlossen, der die Bedenken der zuständigen Datenschutzaufsichtsbehörde ausräumt. Die erzielten Ergebnisse dienen als Blaupause für die Nutzung von Microsoft Teams durch öffentliche Stellen. Allerdings müssen Verantwortliche einige Voraussetzungen erfüllen.
Voraussetzungen für den Einsatz von Microsoft Teams
Schritt 1: Datenschutz-Folgenabschätzung
Voraussetzung für die Nutzung von Microsoft Teams in öffentlichen Verwaltung ist die Durchführung einer individuellen Datenschutz-Folgenabschätzung (DSFA). In der DSFA müssen unter anderem die Nutzungsszenarien für Microsoft Teams sowie mögliche Risiken und Abhilfemaßnahmen beschrieben werden.
Schritt 2: EU Data Boundary
Entscheidend für die datenschutzkonforme Nutzung von Microsoft Teams in Niedersachsen war die Entscheidung von Microsoft, die Daten ausschließlich in Europa zu verarbeiten (EU Data Boundary). Werden weiterhin Daten in Drittländer übermittelt, muss der Verantwortliche die datenschutzrechtliche Zulässigkeit in einem Transfer Impact Assessment (TIA) bewerten.
Schritt 3: Datenminimierung
Verantwortliche müssen durch Maßnahmen wie Dienstanweisungen und Konfigurationseinstellungen sicherstellen, dass die Datenverarbeitung auf das für die Nutzung von Microsoft Teams erforderliche Maß beschränkt wird.
Schritt 4: Datenschutzmaßnahmen
Verantwortliche müssen durch technische und organisatorische Maßnahmen (TOM) ein angemessenes Datenschutzniveau gewährleisten und die Wirksamkeit der Maßnahmen regelmäßig überprüfen.
Schritt 5: Data Protection Addendum
Bestehen nach der Prüfung und Umsetzung der anderen Schritte noch datenschutzrechtliche Bedenken, können Verantwortliche das niedersächsische Data Protection Addendum (DPA) bei Microsoft anfordern. Da mit der Datenschutz-Grundverordnung (DSGVO) eine Vollharmonisierung des Datenschutzrechts erfolgt ist, dürfte das angepasste DPA auch die Datenschutzbeauftragten des Bundes und der anderen Länder überzeugen.
360° Unterstützung
Wir beraten umfassend zur datenschutzkonformen Nutzung von Microsoft 365 durch öffentliche Stellen und unterstützen Sie gerne mit einer datenschutzrechtlichen Beratung bei der Einführung von Microsoft Teams.