Das Data Privacy Framework & Microsoft 365

Das Data Privacy Framework & Microsoft 365

Das Data Privacy Framework (DPF) bietet einen strukturierten Rahmen für den Datenschutz bei der Nutzung von Microsoft 365 und ähnlichen Diensten. Doch trotz dieser Rahmenbedingungen gibt es erhebliche Kritikpunkte seitens der Datenschutzbehörden. Insbesondere die EU-Kommission hat bei der Verwendung von Microsoft 365 gegen wichtige Datenschutzvorschriften verstoßen, wie der Europäische Datenschutzbeauftragte (EDSB) feststellte. Warum das Data Privacy Framework allein nicht ausreicht und welche Maßnahmen Unternehmen ergreifen sollten, um den Datenschutz bei der Nutzung von Microsoft 365 zu verbessern.

Das Data Privacy Framework (DPF): Keine Garantie für Datenschutz

Das Data Privacy Framework (DPF) hat zweifellos dazu beigetragen, den Datenschutz bei der Verwendung von Microsoft 365 zu verbessern. Dennoch zeigt eine aktuelle Entscheidung des Europäischen Datenschutzbeauftragten (EDSB), dass das DPF allein nicht ausreicht, um alle Datenschutzanforderungen zu erfüllen.

Nach einer Untersuchung stellte der EDSB fest, dass die Europäische Kommission bei der Nutzung von Microsoft 365 gegen mehrere wichtige Datenschutzvorschriften verstoßen hat. Dies wirft ein Licht auf die Tatsache, dass Datenschutz mehr ist als nur die Übermittlung von Daten. Auch als Unternehmen ist es wichtig zu verstehen, wo die Schwachstellen bei der Nutzung von M365 liegen können.

Ein zentraler Kritikpunkt des EDSB war die unzureichende Spezifikation seitens der EU-Kommission darüber, welche Arten von personenbezogenen Daten zu welchen expliziten und festgelegten Zwecken bei der Nutzung von Microsoft 365 erhoben werden sollen.

Es liegt in der Verantwortung der Organe, Einrichtungen, Ämter und Agenturen der EU, sicherzustellen, dass jegliche Verarbeitung personenbezogener Daten, die außerhalb und innerhalb der EU/des EWR, auch im Zusammenhang mit cloud-basierten Diensten, erfolgt, von strengen Datenschutzgarantien und -maßnahmen begleitet wird.

Kritikpunkte der Datenschützer

Die Datenschutzkonferenz (DSK) und andere Datenschutzbehörden haben ebenfalls Kritik an der Nutzung von Microsoft 365 geäußert. Insbesondere bemängelten sie den mangelnden Nachweis darüber, dass Microsoft 365 datenschutzkonform betrieben werden kann.

Die DSK erklärte, dass der von Microsoft bereitgestellte „Datenschutznachtrag vom 15. September 2022“ nicht ausreicht, um nachzuweisen, dass Microsoft 365 den Anforderungen des Datenschutzes entspricht. Solange Microsoft keine ausreichende Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für eigene Zwecke herstellt und deren Rechtmäßigkeit nicht belegt, kann dieser Nachweis nicht erbracht werden.

Ein weiterer Kritikpunkt der Datenschützer war der Mangel an Transparenz seitens Microsoft. Insbesondere wurde bemängelt, dass bei der Nutzung der neuen Version des E-Mailprogramms Outlook für Windows, als Teil von Microsoft 365, Microsoft einen vollständigen Zugriff auf das Postfach ermöglicht. Die Datenschutzaufsicht von NRW wies darauf hin, dass die geführte Korrespondenz inklusive möglicher Anhänge in der Cloud gespeichert und von Microsoft verarbeitet wird, ohne dass klar ist, zu welchen konkreten Zwecken dies geschieht.

Maßnahmen für Unternehmen aus Datenschutzsicht

Gemäß der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen, die Microsoft 365 nutzen, dafür verantwortlich, die Einhaltung des Datenschutzes sicherzustellen und dies nachzuweisen.

Die Datenschutzbehörden empfehlen Unternehmen daher, folgende Maßnahmen zu ergreifen:

  1. Transparenz sicherstellen:
    Unternehmen müssen sicherstellen, dass Microsoft 365 transparent und rechtmäßig verwendet wird. Dazu gehört auch, dass Microsoft keine personenbezogenen Daten für eigene Zwecke verwendet, ohne hierüber transparent zu informieren.
  2. Minimierung der verarbeiteten Daten:
    Unternehmen sollten Maßnahmen ergreifen, um die Menge an verarbeiteten personenbezogenen Daten zu minimieren. Eine Möglichkeit hierzu ist die Verwendung pseudonymer Mailadressen/Accounts für die Beschäftigten.
  3. Vertragliche Anpassungen mit Microsoft:
    Der Auftragsverarbeitungsvertrag mit Microsoft muss sicherstellen, dass personenbezogene Daten rechtmäßig verarbeitet werden. Hierbei sind möglicherweise vertragliche Anpassungen erforderlich.
  4. Alternative Lösungen in Betracht ziehen:
    Unternehmen sollten prüfen, ob alternative Lösungen in Betracht kommen, die den Datenschutz beim Einsatz von Microsoft 365 verbessern können. Dazu gehört beispielsweise der Betrieb von Microsoft 365 auf eigenen IT-Strukturen („On-Premises-Lösung“) oder die Verwendung von vorkonfigurierten Terminal-Clients zur Verringerung der Übermittlung personenbezogener Daten.

Es wird deutlich, dass es nicht ausreicht, sich allein auf das Data Privacy Framework zu verlassen, um den Datenschutz bei der Nutzung von Microsoft 365 zu gewährleisten. Vielmehr ist es erforderlich, dass Unternehmen zusätzliche Maßnahmen ergreifen, um die Transparenz und Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Hierbei sind die Unternehmen, die Microsoft 365 einsetzen wollen, in der Pflicht, da sie die Verantwortlichen nach der DSGVO sind.

Facebook
LinkedIn
Twitter
XING
Email

Jüngste Beiträge

Kategorien
Schlagwörter
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!

Privatsphäre-Einstellungen

Entscheiden Sie, welche Cookies Sie zulassen möchten. Sie können diese Einstellungen jederzeit ändern. Dies kann jedoch dazu führen, dass einige Funktionen nicht mehr zur Verfügung stehen. Informationen zum Löschen der Cookies finden Sie in der Hilfe Ihres Browsers. ERFAHREN SIE MEHR ÜBER DIE VON UNS VERWENDETEN COOKIES.

Mit dem Schieberegler können Sie verschiedene Arten von Cookies aktivieren oder deaktivieren:

  • alles blockieren
  • Wesentliches
  • Funktionalität
  • Analytik
  • Werbung

Diese Website wird

Diese Website wird nicht

  • Remember which cookies group you accepted
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Merken Sie sich Ihre Login-Daten
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Speichern & Schließen