Vielfach stoße ich bei Projekten auf große Skepsis, ja sogar Angst etwas falsch zu machen, wenn es um Datenschutz und persönliche Daten geht. Plötzlich stehen Begriffe wie DSGVO, Cloud Act und Schrems II im Raum. Gerade bei der Verwendung von Microsoft-Lösungen werde ich dann immer gefragt, ob ein Einsatz überhaupt noch möglich ist. Die Antwort lautet hier, dass unter Beachtung der Rahmenbedingungen dies natürlich möglich ist.

Die Datenschutz-Grundverordnung (DSGVO)

Doch der Reihe nach: Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), die vorschreibt, wie eine Organisation mit personenbezogenen Daten umgehen soll. Wenn Ihr Unternehmen etwas an Bürger/innen der Europäischen Union verkauft, Dienstleistungen für diese erbringt oder diese beschäftigt, hat die DSGVO Auswirkungen auf Sie.

Weitere Informationen: Microsoft Cloud – DSGVO-Übersicht – Privatsphäre schützen

Schrems II

Seit 2018 schützt die Datenschutz-Grundverordnung (DSGVO) der EU personenbezogene Daten umfassend vor missbräuchlicher Nutzung, regelt das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Insbesondere für die Übertragung personenbezogener Daten in Länder außerhalb der EU, die keinen „angemessenen“ Datenschutz bieten, sieht die DSGVO strenge Regelungen vor. Diese wurden durch das Schrems-II-Urteil des EuGH und die Handlungsempfehlungen des Europäischen Datenschutzausschusses noch weiter verschärft.

Cloud Act

Unter bestimmten Umständen werden Cloud-Anbieter von Regierungsbehörden im Rahmen strafrechtlicher Ermittlungen aber aufgefordert, ihnen relevante Informationen aus den in ihren Rechenzentren gespeicherten Daten zur Verfügung zu stellen. Im März 2018 hat dazu der US-Kongress den Clarifying Lawful Overseas Use of Data Act („CLOUD Act“) ratifiziert. Das Gesetz regelt die Herausgabe von Daten an amerikanische Behörden, auch wenn diese Daten nicht in den USA gespeichert sind, sondern zum Beispiel auf Servern innerhalb der Europäischen Union liegen.

Microsoft erkennt das legitime Interesse von Strafverfolgungsbehörden an, im Rahmen rechtsstaatlicher Ermittlungen auf relevante Informationen zuzugreifen. Bei der Verfolgung etwa von organisierter Kriminalität oder Terrorismus haben Behörden sowohl in den USA als auch in Europa ein berechtigtes Interesse daran, diese Daten schnell zu erhalten.

Allerdings gewähren wir keiner staatlichen Stelle direkten, indirekten, pauschalen oder uneingeschränkten Zugriff auf die Daten unserer Kunden. Sollte Microsoft eine behördliche Aufforderung zur Herausgabe von Daten erhalten, werden den Behörden diese Daten nicht zur Verfügung gestellt, sondern die anfordernde Behörde wird direkt an den Kunden verwiesen. Sollte die Behörde dennoch die Herausgabe von gespeicherten Inhaltsdaten von Microsoft  verlangen, werden wird Microsoft die Legitimation der verlangten Herausgabe umfassend rechtlich prüfen und, nur wenn sie berechtigt ist, der Aufforderung nachkommen.

Weitere Informationen: Schrems-II: So schützt Microsoft Kundendaten | News Center Microsoft

 

Neue Standardvertragsklauseln der EU

Am 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln veröffentlicht, die Unternehmen dabei helfen sollen, personenbezogene Daten rechtmäßig aus der EU in Nicht-EU-Länder zu übertragen, die keinen „angemessenen“ Datenschutz bieten, wie er nach EU-Recht erforderlich ist. Dazu gehören auch die USA.

Microsoft begrüßt die neuen Standardvertragsklauseln als positive Entwicklung, da sie die Breite der Datenströme in der heutigen digitalen Wirtschaft angemessen abbilden. Auf Basis der neuen Standardvertragsklauseln können Unternehmen weiter Microsoft-Dienste nutzen, um Datentransfers rechtskonform durchzuführen. Microsoft hat die neuen Standardvertragsklauseln bereits abgeschlossen und diese in dem am 15. September 2021 veröffentlichten neuen DPA berücksichtigt.

Weitere Informationen: European Union Model Clauses – Microsoft Compliance | Microsoft Docs

Prüflisten zur sicheren Abarbeitung

Microsoft hat verschiedene Prüflisten veröffentlicht, mit denen die Projektverantwortlichen eine Hilfestellung bei der Umsetzung der DSGVO erhalten.

Prüflisten zu den Verantwortlichkeiten für die DSGVO – Microsoft GDPR | Microsoft Docs

Prüflisten zu den Verantwortlichkeiten werden als komfortable Möglichkeit für den Zugriff auf Informationen bereitgestellt, die Sie bei Verwendung von Microsoft-Produkten und -Diensten zur Unterstützung der DSGVO unter Umständen benötigen. Die Prüfliste enthält potenzielle Verpflichtungen, die Sie im Rahmen der DSGVO möglicherweise erfüllen müssen, und verweist auf Informationen, die Sie zur Unterstützung der Compliance Ihrer Organisation verwenden können.

Es gibt einen spezifischen Leitfaden für vier Microsoft-Produkt- und Dienstfamilien:

Sie können die Elemente in dieser Checkliste mit dem Compliance-Manager verwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.

Die Prüflisten umfassen die vier grundlegenden Kategorien von Überlegungen für ein Datenschutzprogramm zur Unterstützung der DSGVO. Diese sind nachstehend aufgeführt, zusammen mit Beispielanforderungen.

  1. Bedingungen für Datensammlung und -verarbeitung:
    • Wann wird Zustimmung eingeholt?
    • Identifizieren und Dokumentieren des Zwecks
    • Datenschutz-Folgenabschätzung
  2. Rechte betroffener Personen
    • Ermitteln von Informationen für PII-Prinzipale (Betroffene)
    • Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung
  3. Datenschutz als Konzept und Standard
    • Beschränken der Datensammlung
    • Einhalten von Identifizierungsebenen
    • Temporäre Dateien
  4. Datenschutz und Sicherheit
    • Grundlegendes zur Organisation und zum Kontext
    • Planung
    • Richtlinien zur Informationssicherheit

Fazit

Die Implementierung der neuen Standardvertragsklauseln und die über diese Regelungen hinausgehenden Selbstverpflichtungen von Microsoft für den Schutz von Kundendaten bedeuten, dass Kunden auch weiterhin rechtskonform Microsoft-Dienste nutzen können.

 

Lassen Sie sich von uns beraten

Als langjähriger Strategy Lead Modern Workplace (Microsoft 365, Office, Teams) bei Microsoft kenne ich das Potential und die Anwendungsmöglichkeiten. Als unabhängiger Berater kann ich Ihnen nun praxiserprobte & kostengünstige Lösungen anbieten.

Mehr Informationen zu unserer Beratung finden Sie hier: https://dtpa.tech/leistungen/agile-projekte/

Mit über 150 erfolgreich abgeschlossenen Projekten können wir auf reichhaltige Erfahrung zurückgreifen und auch für Sie die richtige Vorgehensweise bieten.

Vereinbaren Sie ein unverbindliches Beratungsgespräch (gerne auch als Videokonferenz) per eMail unter martin.arnold@dtpa.tech oder per Handy 01573/3706464, um Ihre Möglichkeiten zu diskutieren.