Compliance in der praktischen Umsetzung

Datenschutz in Microsoft Office 365 und Microsoft Azure

30.11.2017
Von  und Markus Heins  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Sowohl das Cloud-Angebot von „Microsoft Office 365“ als auch die Hybrid Cloud „Microsoft Azure“ geben den Anwendern viele Möglichkeiten, einige der neuen europäischen Dokumentationsanforderungen der DSGVO einzuhalten.

Die europäische Datenschutz-Grundverordnung (DSGVO) steht vor der Tür und stellt viele Unternehmen vor die Herausforderung, die neuen datenschutzrechtlichen Vorgaben effektiv zu erfüllen. Als nützliche und zugleich relativ kostengünstige Unterstützung zur Erfüllung der Datenschutz-Compliance kommen die neuen Compliance-Funktionen von Microsoft in Betracht.

Microsoft bietet für die Cloud-Dienste Microsoft Office 365 und Microsoft Azure die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.
Microsoft bietet für die Cloud-Dienste Microsoft Office 365 und Microsoft Azure die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.
Foto: dennizn - shutterstock.com

Rechtmäßige Auftragsverarbeitung

Zu dem Leistungsumfang von Office 365 gehören bekanntlich die Online-Versionen von Word, Excel und PowerPoint, welche es den Anwender erlauben, über unterschiedliche Endgeräte auf ihre Dokumente zuzugreifen. Hierbei liegen die Daten nicht mehr nur auf den hauseigenen Rechnern, sondern in der Cloud auf den Microsoft Servern.

Dasselbe gilt auch für die Microsoft Cloud-Computing-Plattform Azure. Insofern fungiert Microsoft als Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter. Indem die Online Dienste durch verschiedene datenschutzspezifische Verfahren verifiziert und zertifiziert sind, können die Unternehmen als verantwortliche Stelle ihrer datenschutzrechtlichen Rechenschaftspflicht in Bezug auf die Auftragsverarbeitung nachkommen.

Ferner informiert Microsoft in seinen Nutzungsbedingungen über die Prozesse und Datenverarbeitungen seiner Anwendungen. Dem Grunde nach erfüllt Microsoft damit die europäischen datenschutzrechtlichen Anforderungen an einen Auftragsverarbeiter. Denn die Nutzungsbedingungen können zusammen mit der Lizenzvereinbarung die gesetzlich geforderte Vertragsgrundlage einer Auftragsverarbeitung darstellen. Mit diesem Paket bietet Microsoft auch die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.

Betroffenenrechte: Auskunft, Sperrung und Löschung

Mit der DSGVO werden die bisher bestehenden Rechte der betroffenen Personen deutlich erweitert. Die Grundlage der Betroffenenrechte bildet das allgemeine Auskunftsrecht. Das verantwortliche Unternehmen muss dem Betroffenen auf Anfrage eine Bestätigung übermitteln, ob es ihn betreffende Daten verarbeitet oder nicht. In einem zweiten Schritt kann der Betroffene darüber Auskunft verlangen, welche personenbezogenen Daten genau von der verantwortlichen Stelle verarbeitet werden.

Die damit eingeholten Informationen bilden in der Regel die Basis für die Ausübung weiterer Betroffenenrechte. Hierzu zählen die bekannten Rechte auf Berichtigung und Löschung, sowie die neu eingeführten Rechte auf Einschränkung der Verarbeitung (Sperrung), auf Datenübertragbarkeit (Datenportabilität) und auf Vergessenwerden.

Lesetipp: Autokäufer sorgen sich um die Sicherheit ihrer Daten

Diese Auskunftsverlangen und Ansprüche der Betroffenen stellen die verantwortlichen Unternehmen oft vor größere Schwierigkeiten, da sie zunächst überprüfen müssen, welche Daten sich wo befinden und ob überhaupt ein Personenbezug vorliegt. Hier können etwa die "Data Loss Prevention Policies" für Office 365 hilfreich sein, mit denen sich prinzipiell alle vertraulichen Informationen innerhalb der Anwendungen identifizieren lassen.

Darüber hinaus ist es mit der Klassifikations-Funktion von Microsoft Azure möglich, sämtliche Daten automatisch auf personenbezogene Inhalte überprüfen zu lassen. Um die damit ermittelten personenbezogenen Daten dem Betroffenen auf Verlangen in einem gängigen elektronischen Format zur Verfügung zu stellen (Recht auf Datenübertragbarkeit), können die allgemeinen Export- und Download-Funktionen der Microsoft Anwendungen genutzt werden.

Sofern die Betroffenen von ihrem Recht auf Einschränkung der Verarbeitung Gebrauch machen, können die verantwortlichen Unternehmen im Rahmen der Anwendungen auch Sperrvermerke setzen. Ein Sperrvermerk kann einen Zugriff auf die jeweiligen personenbezogenen Daten für bestimmte Zwecke unmöglich machen. Hinsichtlich der Löschung von Daten muss der Verantwortliche jedoch weiterhin selbst tätig werden.

Inhalt dieses Artikels