Wie Unternehmen Microsoft 365 DSGVO-konform nutzen
Durch die Kommerzialisierung des Internets Mitte der 1990er-Jahre entstand ein online global vernetzter Markt und die Digitalisierung von Unternehmensprozessen bekam Rückenwind. In der Folge stieg die Komplexität der Geschäftswelt kontinuierlich an, so dass Unternehmen inzwischen tagtäglich immer größere Datenmengen anlegen, bearbeiten und speichern müssen. Gepaart mit den sich zunehmend wandelnden Anforderungen an die Arbeitsumgebung – auch schon vor der Corona-Pandemie – war die Verlagerung in die Cloud für viele die logische Konsequenz, um beispielsweise Vorteile hinsichtlich Verfügbarkeit, Stabilität des Betriebs oder des Aufwands eigener Softwareentwicklung zu haben. Konkret:
In der Cloud steht Unternehmen der individuell benötigte Speicherplatz, die gewünschte Prozessorleistung oder auch auf spezifische Bedürfnisse zugeschnittene Software zur Verfügung, was den Bedarf an eigener IT-Infrastruktur reduziert. Zudem können mehrere Personen gleichzeitig auf die dort gesammelten Daten zugreifen. Dies ermöglicht eine kollaborative, wesentlich effizientere und auch schnellere Arbeitsweise. Cloudlösungen sind nicht nur flexibel, sie realisieren darüber hinaus ein zeit- und ortsunabhängiges Arbeiten.
Kein Schema F
Es gibt nicht „den einen Weg“ in die Cloud. Jedes Unternehmen für sich steht vor der gleichermaßen interessanten wie herausfordernden Aufgabe, auf Basis der eigenen Ist-Situation und des gewünschten Soll-Zustands eine individuelle Cloud-Strategie zu definieren. Eine Lösung für die erfolgreiche Migration in die Cloud bietet Microsoft 365, eine dynamische Software-as-a-Service-Umgebung, welche über eine vielfältige, sich kontinuierlich weiterentwickelnde Toolbox verfügt. Die eigenen Werkzeuge lassen sich individuell zusammenstellen und es ist möglich, das Abonnement monatlich je nach Bedarf flexibel zu skalieren – egal, ob neue Mitarbeitende anfangen, sich das Lizenzmodell einiger Nutzer ändert oder jemand das Unternehmen verlässt. Daneben bietet Microsoft 365 immer Zugriff auf die aktuellen Software-Versionen und gewährleistet eine fast durchgehende Verfügbarkeit.
Trotz dieser offensichtlich positiven Aspekte – die sich hier beliebig fortsetzen ließen – gibt es kritische Stimmen Das wichtigste Gut eines Unternehmens sind schließlich seine Daten. Diese „einfach so“ einem amerikanischen Software-Giganten zu überlassen, ruft Skepsis hervor. Futter bieten zahlreiche Mythen, die sich um die Eigenschaften der Tools ranken, wie beispielsweise „Delve ist eine Datenkrake!“ Diese und andere falsche Annahmen halten sich selbst vier Jahre nach Einführung der Datenschutzgrundverordnung (DSGVO) durch die Europäische Union und trotz zahlreicher technischer sowie vertraglicher Anpassungen seitens Microsoft hartnäckig. Ein Grund dafür ist sicher die kritische Haltung von vielen Landesdatenschutzbeauftragten gegenüber cloudbasierten Onlinediensten amerikanischer Großkonzerne im Allgemeinen und gegenüber Microsoft 365 Applikationen im Besonderen.
Ein Resultat: Unsicherheiten oder gar vehemente Widerstände bei der Einführung der Software oder deren Erweiterungen in einigen Unternehmen. Das führt zu Verzögerungen in Projekten und damit zu einem „Nicht-Heben“ der Benefits, die eigentlich erreicht werden sollen.
Synergien nutzen
Mal ehrlich: Ebenso wenig wie es „den einen Weg“ in die Cloud gibt, gibt es auch nicht „die eine, allgemeingültige Lösung“ für den Schutz personenbezogener Daten in Unternehmensprozessen. Zielführend ist der Blick über den eigenen Tellerrand. Eine Anlaufstelle zum Austausch mit Gleichgesinnten ist das Microsoft Business User Forum e.V. (mbuf). 2004 gegründet zum Diskurs verschiedener gemeinsamer Fragestellungen, vernetzt der Verband inzwischen IT-Entscheider aus gut 200 mittelständischen deutschsprachigen Unternehmen untereinander und ermöglicht einen konstruktiv kritischen Dialog mit Microsoft. mbuf vertritt dabei die Interessen der Wirtschaft sowie der öffentlichen Verwaltung gegenüber dem Software-Hersteller und fördert den intensiven Informationsaustausch unter den Mitgliedern und mit Microsoft. Ziel ist es unter anderem, durch Wissenstransfer praktische Hilfe zu konkreten Aufgabenstellungen zu geben. So auch beim Thema Datenschutzgrundverordnung (DSGVO), wo das Wissen der Community genutzt wurde, um gemeinsam mit Microsoft einen unternehmensübergreifenden Leitfaden speziell für Microsoft 365 zu entwickeln. Die in dem Schrems II-Urteil des Europäischen Gerichtshofs durch fehlende vergleichbare Schutzstandards explizit als unwirksam und somit rechtswidrig definierte Datenübermittlung an die USA auf Grundlage der Privacy Shield-Übereinkunft warf bei vielen IT-Verantwortlichen Fragen auf. In einem eigens gegründeten Arbeitskreis DSGVO diskutierten die Teilnehmenden der mbuf Community nach einer Auftaktveranstaltung ab Juni 2021 die Nutzung der Cloudprodukte und die Auswirkung des Urteils auf den jeweils individuellen Datentransfer der Mitgliedsunternehmen. Aus den konsolidierten Erfahrungsberichten entwickelte der Arbeitskreis gemeinsam mit Experten der Microsoft Deutschland GmbH eine Handlungsempfehlung und identifizierte die relevanten Fragestellungen, um zu mehr Rechtssicherheit im Umgang mit Microsoft 365 zu gelangen.
Sobald Unternehmen personenbezogene Daten in ihren Prozessen verarbeiten, müssen sie nach der DSGVO deren Schutz sicherstellen und nachweisen, dass sie umsichtig mit ihnen umgehen. Hierzu ist es notwendig, eine Bewertung der Verarbeitungstätigkeiten durchzuführen, eine sogenannte Datenschutz-Folgenabschätzung. Diese ist von jedem Unternehmen immer dann entlang der eigenen Prozesse durchzuführen, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. Die erarbeiteten Fragestellungen zu vertraglichen Regelungen und sicheren Verfahren zur Verschlüsselung in Verbindung mit einem guten Verständnis, welche Daten wie und wo verarbeitet werden, helfen Ihnen, am Ende für den eigenen Prozess eine DSGVO-konforme Nutzung von Microsoft 365 belegen zu können.
| Fragenkatalog herunterladen |
Laden Sie sich hier den Fragenkatalog herunter und lassen Sie sich auf die beschriebene Methodik ein! Die Beantwortung ist höchst individuell. Haben Sie die adressierten Fragen für Ihr Unternehmen gewissenhaft beantwortet, steht einer belastbaren Datenschutz-Folgenabschätzung nichts im Weg.
Anhaltender Wandel
Die Frage, wie die Arbeitswelt der Zukunft aussehen wird, kann heute niemand mit Sicherheit beantworten. Nach zwei Jahren mit dem Change-Booster Covid-19 lässt sich festhalten, dass der Einsatz von Cloud-Lösungen dezentrales Arbeiten erst ermöglicht. Es ist anzunehmen, dass mit zunehmendem globalen Networking auch eine Vernetzung der verschiedenen Cloudsysteme einhergeht und eine Art „Megacloud“ entstehen wird. Je stärker die Digitalisierung unser Leben durchdringt, desto mehr rückt auch der Datenschutz in den Fokus. In der Folge wird es künftig kaum noch digitalisierte Geschäftsprozesse geben, bei denen nicht mit präzise und verbindlich geklärt werden muss, welche Daten für welche Zwecke verwendet werden dürfen und wer die Daten-Hoheit (Data Governance) besitzt. Es ist also an der Zeit, sich mit diesem „new normal“ anzufreunden.
Oder zögern Sie, weil Sie nicht sicher sind, ob Microsoft als amerikanischer IT-Konzern vertrauenswürdig ist? Dann bietet sich durch mbuf eine Chance, in den direkten, konstruktiv kritischen Austausch mit Microsoft einzusteigen. Als Teilnehmende des Arbeitskreises DSGVO haben Sie beispielsweise Zugriff auf weiterführende Dokumente, wie zum Datenfluss bei Microsoft Teams oder Forms. Oder Sie steigen über eine der derzeit elf, thematisch breit gefächerten Arbeitsgruppen der mbuf Community tiefer in sicherheitstechnische, organisatorische oder vertragliche Fragestellungen ein. So können zu den kritischsten Punkten eigene Eindrücke gewonnen und gemeinsam weitere Anforderungen für Dokumentationen an Microsoft formuliert werden.
Eine Kooperation von Microsoft Deutschland und dem Microsoft Business User Forum.
