Verzeichnis von Verarbeitungstätigkeiten
Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem sie eine Übersicht aller laufenden Datenverarbeitungstätigkeiten ihres Unternehmens aufstellen. Eine gute Grundlage für die Erstellung dieser Verzeichnisse sind die mittels der Office Anwendungen erstellbaren Reports. Hierbei erhält man eine Übersicht sämtlicher genutzter Services in "Office 365". Eine ausführlichere Auflistung kann mittels des Tools "Free Office 365 Reporting Tool" erstellt werden. Bei Microsoft Azure kann direkt im Azure Portal unter dem Punkt "Dashboard -> All Resources" eine Übersicht eingesehen werden. Die so ermittelten Informationen müssen allerdings weiter aufbereitet und konkretisiert werden, um die Verarbeitungstätigkeiten im Sinne der DSGVO ordnungsgemäß aufzulisten.
Einhaltung technisch organisatorischer Maßnahmen
Zur Sicherstellung eines angemessenes Schutzniveau und damit zur Minimierung des Risikos für die personenbezogenen Daten der betroffenen Personen sind die Verantwortlichen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen für die jeweilige Datenverarbeitung zu treffen. Microsoft sagt bei Nutzung des Dienstes "Office 365 Deutschland" zu, dass sowohl die Datenhaltung als auch die Bereitstellung der Dienste selbst ausschließlich auf Servern in der Bundesrepublik Deutschland erfolgt und Microsoft keine Möglichkeit hat, auf die Daten zuzugreifen.
Lesetipp: Persönliche Daten: Keine Verpflichtung zur Herausgabe
Datenschutz-Folgenabschätzung
Mit der DSGVO wird unter anderem auch die Datenschutz-Folgenabschätzung eingeführt. Eine Datenschutz-Folgenabschätzung ist immer dann zwingend erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Mit der Folgenabschätzung sollen die Auswirkungen der Datenverarbeitung überprüft werden.
Das Kriterium "hohes Risiko" wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Die Artikel-29-Datenschutzgruppe - ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz - schlägt als Daumenregel folgendes vor: Erst wenn bei einer Datenverarbeitung, mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.) erfüllt sind, sei ein "hohes Risiko" im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutz-Folgenabschätzung durchzuführen.
Als Hilfestellung für die Durchführung einer Datenschutz-Folgenabschätzung im Rahmen der DSGVO können sowohl das "Standard Datenschutzmodell" von den deutschen Datenschutzaufsichtsbehörden als auch die international existierenden ISO-Normen herangezogen werden. Indem die Microsoft Anwendungen nach den Vorgaben der ISO 27001 und ISO 27018 verifiziert sind und deren Gewährleistungsziele größtenteils mit den Zielen der Datenschutz-Folgenabschätzung korrelieren, ist damit bereits eine erste Basis für die Durchführung einer Folgenabschätzung geschaffen.
Fazit
Insgesamt stellen die Funktionen der Microsoft Anwendungen eine gute Ausgangsposition dar, die strengen europäischen Datenschutzvorgaben der DSGVO zu erfüllen. Bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 bleibt für die verantwortlichen Unternehmen nicht mehr viel Zeit die neuen Vorgaben umzusetzen. Sämtliche Datenverarbeitungstätigkeiten sollten anhand eines Maßnahmenplanes überprüft und die notwendigen Maßnahmen eingeleitet werden.