Aktuelle Infos zu Microsoft 365

Liebe Leser des Ratgebers „Datenschutz im Unternehmen – Praktisch umgesetzt mit SharePoint Online und Microsoft Teams“,

ich danke Ihnen herzlich für Ihr Interesse an meinem Buch. Microsoft 365, früher Office 365 steht immer wieder in der Kritik von Datenschutz-Behörden und Datenschutz-Aktivisten. Auf dieser Webseite finden Sie Informationen über den aktuellen Stand der Diskussion.


1. Schreiben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit an einen Verantwortlichen

Wenn Sie ein solches Schreiben von Ihrer zuständigen Aufsichtsbehörde erhalten, kommen Sie bitte auf mich oder einen anderen Datenschutzbeauftragten zu. 

Beachten Sie, dass die Frist für die Beantwortung 4 Wochen beträgt!

  1. Nutzt Ihr Unternehmen Office 365 (Microsoft 365) 

Antwort: Ja.

Hinweis: Sofern Sie Microsoft (Office) 365 einsetzen: Ermitteln Sie zunächst, welche Produkte überhaupt Sie einsetzen und welche Verarbeitungstätigkeiten davon betroffen sind (z.B. Windows, Exchange / Outlook, Office-Produkte, Virenschutz, Browser, Skype, Sharepoint, Teams, Yammer, Delve, MyAnalytics usw.). Diese Informationen benötigen wir, um bei Frage 11 auch ein korrektes Verzeichnis von Verarbeitungstätigkeiten senden zu können.

  1. Welche personenbezogenen Daten werden dort eingefügt? 

Antwort: Namen, Vornamen, Personalstammdaten, Kommunikationsdaten (Telefon, E-Mail-Adressen), Bewerberdaten.

(Hinweis: ggfls. noch vervollständigen, individualisieren)

  1. Zu welchen Zwecken geschieht die Nutzung von Office 365?

Antwort: Verwaltung und Organisation von externen und internen Geschäftsprozessen. Sicheres Speichern und Dokumentieren von Informationen aller Art, Kommunikation intern und extern.

  1. Aufgrund welcher Rechtsgrundlage (erster Stufe) geschieht die Nutzung von Office 365?

Antwort: Im Regelfall ist die Rechtsgrundlage Artikel 6 Abs. 1 lit. f) bei einzelnen Verarbeitungsverfahren auch Artikel 6 Abs. 1 lit. b). Bei Personaldaten stützen wir uns auf den §26 BDSG. Näheres finden Sie im Verzeichnis, vgl. Frage 11.

  1. Seit wann werden diese Verarbeitungen vorgenommen? 

Antwort: Seit 2016 (Office 365).

  1. Werden die Daten nach Ziff. 2 in die USA oder andere Staaten außerhalb des Europäischen Wirtschaftsraum übermittelt? 

Antwort: Nein, die Cloud-Server befinden sich innerhalt der EU. 

  1. Auf welche rechtlichen Vorkehrungen im Sinne des Kapitel V der DSGVO werden die Drittstaatenübermittlungen nach Ziff. 5 gestützt? 

Antwort: Auf die Standarddatenschutzklauseln – Art. 46 Abs. 2 c DS-GVO. Dazu bestätigt uns Microsoft als Auftragsverarbeiter geeignete Garantien zum Schutz der Rechte von betroffenen Personen sollte es zu verpflichtenden Datenübertragungen an US-Sicherheitsbehörden geben (Cloud Act) hier verpflichtet sich Microsoft dazu, verschuldensunabhängig, Betroffene von allen Schäden freizustellen. Zudem wird Microsoft grundsätzlich alle rechtlichen Mittel ausschöpfen, um eine Datenweitergabe an US-Behörden zu verhindern. 

  1. Für den Fall, das die Standardvertragsklauseln der Europäischen Kommission genutzt werden: Welche zusätzlichen Maßnahmen im Sinne der o.g. Entscheidung des Europäischen Gerichtshofs haben Sie unternommen?

Antwort: Technische Maßnahmen sind Verschlüsselung der gespeicherten Daten, wo es möglich ist, z.B. im Archiv. Der Auftragsverarbeiter hat keinen privaten Schlüssel, kann verschlüsselte Daten also nicht lesen oder im Klartext weitergeben.

  1. Bitte nennen Sie auch vorbereitende Schritte im Hinblick auf ggfs. noch nicht vollständig umgesetzte Maßnahmen nach Ziff. 7. 

Antwort: Über unseren Datenschutzbeauftragten sind wir in engem Austausch mit Microsoft und werden technische Maßnahmen und softwareseitige Einstellungen auf Administrationsebene stets umsetzen bzw. aktualisieren.

  1. Für den Fall, dass die Umstellung auf andere Systeme geplant ist, teilen Sie uns bitte die erwogenen Lösungen und den Stand der Umsetzung mit

Antwort: Wir haben verschiedene Systeme geprüft. Für unsere Arbeit sind nur andere US-Anbieter geeignet, die aus unserer Sicht bezüglich Daten- und IT-Sicherheit ein höheres Risiko darstellen, als Microsoft-Systeme.

  1. Bitte lassen Sie uns die den Einsatz von Office 365 betreffenden Teile Ihres Verzeichnisses der Verarbeitungstätigkeiten zukommen. 

Antwort: Die betreffenden Teile finden Sie in der Anlage (Hinweis: Kunden von Barth Datenschutz GmbH haben das entsprechende Verfahren im Musterverzeichnis bereits hinterlegt).

2. „Datenschutzbeauftragter: Behörden sollen unverzüglich auf Microsoft verzichten!“

Ein Artikel aus der Fachzeitschrift Heise online vom 18.03.2021

3. Anpassung der Datenschutzinformationen nach Artikel 13 DSGVO bei Verwendung von Microsoft Teams

Durchführung von Online-Besprechungen und Online-Schulungen mit Microsoft Teams

  1. Beschreibung und Umfang der Datenverarbeitung 

Wir nutzen für die Durchführung der Online-Schulungen Microsoft Teams des Anbieters Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA 

  1. Rechtsgrundlage für die Datenverarbeitung 

Die Nutzung des Dienstes ist zur Erbringung unserer Leistungen oder vorvertraglicher Handlungen erforderlich. Hierin liegt auch unser Interesse an der Datenverarbeitung gemäß Art. 6 Abs. 1 lit f) DSGVO. Wenn die Leistungserbringung bereits vertraglich geregelt ist, lautet die Rechtsgrundlage Art. 6. Abs. 1 lit b) DSGVO 

  1. Weitere Informationen zur Datenverarbeitung 

Das angemessene Datenschutzniveau bei der Microsoft Corporation ist durch folgende Maßnahmen garantiert: 

  1. a) Weisungsgebundene Regelungen durch einen Auftragsverarbeitungsvertrag nach Artikel 28 der DSGVO und dokumentierten technischen und organisatorischen Maßnahmen 
  2. b) Standardvertragsklausen mit erweiterten Garantien durch Microsoft 

Weitere Informationen erhalten Sie direkt vom Anbieter.

Hinweise zur Datenübertragung in die USA: Es ist nicht auszuschließen, dass personenbezogene Daten in die USA übermittelt werden, obwohl die EU-Kommission nicht generell ein der EU angemessenes Datenschutzniveau für die USA festgestellt hat. Ihre Daten können dem Zugriff von Sicherheitsbehörden unterliegen, ohne dass angemessene Rechtsbehelfe bestehen. Microsoft hat deshalb im November 2020 die Standardvertragsklauseln um wichtige Garantien erweitert. Näheres dazu finden Sie hier.


Gehen Sie auf Nummer sicher und buchen Sie Ihre Datenschutz-Betreuung zum Einstiegspreis und betrachten Sie das Thema Datenschutz als erledigt.

Die kostengünstige Lösung für nur 99,00 € monatlich *

  • Beibehaltung gewohnter Geschäftsprozesse

  • Zuverlässige und individuelle Beratung

  • Vermeidung unkalkulierbarer Risiken

  • Klarheit im Umgang mit Aussagen von Datenschutz-Behörden 

* zzgl. einmaliger Einrichtung à 99,00 € 

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de