Mailprogramm, Textverarbeitung, Tabellenkalkulation, Präsentations-, Datenbanksoftware und vieles mehr – Microsoft 365 (ehemals Office 365) ist ein Allrounder. Die Cloud-basierte Produktivitätsplattform wird von Unternehmen auf der ganzen Welt eingesetzt, um Arbeitsabläufe zu verbessern und die Produktivität von Mitarbeitenden zu steigern. Mehrwert scheint hier vorprogrammiert. Doch während die Software viele Vorteile bietet, steht sie gleichzeitig immer wieder hinsichtlich des Datenschutzes und der Einhaltung der DSGVO in der Kritik. Inwieweit wird Microsoft den europäischen Datenschutzstandards gerecht und welche Maßnahmen sollten Unternehmen ergreifen, um die Compliance zu gewährleisten?
Die Datenschutzgrundverordnung (DSGVO) ist eine europäische Verordnung, die im Mai 2018 in Kraft getreten ist und den Schutz personenbezogener Daten regelt. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob die Firma in der EU ansässig ist oder nicht.
Microsoft hat in den vergangenen Jahren erhebliche Anstrengungen unternommen, um den Datenschutz und die Einhaltung der DSGVO zu gewährleisten. Dazu gehören unter anderem die Einführung von Datenschutz-Tools, die Verbesserung der Datenschutzbestimmungen und die Implementierung von Sicherheitsmaßnahmen wie die Verschlüsselung von Daten und Zwei-Faktor-Authentifizierung. Dennoch steht Microsoft bei Datenschutzbeauftragten immer wieder bezüglich Transparenz und fehlerhafter Datenverarbeitung in der Kritik.
Ein Datenschutz-Grundproblem bei Microsoft 365 bestand z. B. bisher darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.
Pünktlich zum neuen Jahr hat Microsoft jedoch am 1. Januar eine überarbeitete Version seines Auftragsverarbeitungsvertrags veröffentlicht. Mit dem Datenschutznachtrag in Form des „Microsoft Products and Services Data Protection Addendum“ (DPA) setzt der US-Konzern das Versprechen der bereits Mitte 2021 angekündigten „EU-Datengrenze“ offiziell um. Dabei handelt es sich darum, Transfers persönlicher Informationen von Kunden aus der EU in die USA möglichst zu vermeiden.
Datenschutzbeauftragte äußern trotzdem weiterhin Bedenken über die mangelnde Transparenz von Microsoft. Unternehmen sind angehalten, eigenständig risikominimierende Maßnahmen sowie datenschutzfreundliche Voreinstellungen vorzunehmen, um die Compliance sicherzustellen.
Compliance-Maßnahmen in Unternehmen
Unternehmen müssen sorgfältig prüfen, welche Daten sie in der Cloud der Software speichern und wie sie darauf zugreifen, damit sie den Anforderungen der DSGVO entsprechen.
Eine Möglichkeit, Compliance bei der Nutzung mit Microsoft 365 zu gewährleisten, besteht darin, eine Datenschutz-Folgenabschätzung durchzuführen, um potenzielle Risiken im Zusammenhang mit der Speicherung und Verarbeitung von Daten in der Cloud zu identifizieren. Eine solche Abschätzung ist laut DSGVO für Unternehmen verpflichtend, wenn ihre Datenverarbeitungsprozesse ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen.
Darüber hinaus sollten Unternehmen die Einwilligung der betroffenen Personen für die Verarbeitung ihrer Daten einholen. Es ist zusätzlich wichtig, Mitarbeitende in der Nutzung von Microsoft 365 zu schulen, um Fehler bei der Datenverarbeitung zu vermeiden.
Fazit:
Obwohl Microsoft 365 eine Reihe von Funktionen bietet, die dazu beitragen, die Anforderungen der DSGVO zu erfüllen, sollten Unternehmen jedoch sicherstellen, dass sie ihre eigenen Datenschutz-Compliance-Anforderungen einhalten, indem sie die geeigneten Sicherheits- und Datenschutzmaßnahmen implementieren und gewährleisten, dass sie alle notwendigen Verträge zur Auftragsverarbeitung unterzeichnen. Zur Unterstützung dieser Prozesse können externe Experten hinzugezogen werden. Microsoft steht aber weiter in der Pflicht, 100 Prozent Compliance herzustellen und für Sicherheit der Anwendenden zu sorgen.
Sie benötigen Beratung zum Einsatz von Microsoft 365? Dann nehmen Sie gerne Kontakt zu unseren Experten auf: https://www.netclusive.de/kontakt