Compliance in der praktischen Umsetzung

Datenschutz in Microsoft Office 365 und Microsoft Azure

30.11.2017
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Markus Heins ist Wirtschaftsjurist für Medienrecht und Medienwirtschaft bei der Luther Rechtsanwaltsgesellschaft in Köln. 

Verzeichnis von Verarbeitungstätigkeiten

Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem sie eine Übersicht aller laufenden Datenverarbeitungstätigkeiten ihres Unternehmens aufstellen. Eine gute Grundlage für die Erstellung dieser Verzeichnisse sind die mittels der Office Anwendungen erstellbaren Reports. Hierbei erhält man eine Übersicht sämtlicher genutzter Services in "Office 365". Eine ausführlichere Auflistung kann mittels des Tools "Free Office 365 Reporting Tool" erstellt werden. Bei Microsoft Azure kann direkt im Azure Portal unter dem Punkt "Dashboard -> All Resources" eine Übersicht eingesehen werden. Die so ermittelten Informationen müssen allerdings weiter aufbereitet und konkretisiert werden, um die Verarbeitungstätigkeiten im Sinne der DSGVO ordnungsgemäß aufzulisten.

Einhaltung technisch organisatorischer Maßnahmen

Zur Sicherstellung eines angemessenes Schutzniveau und damit zur Minimierung des Risikos für die personenbezogenen Daten der betroffenen Personen sind die Verantwortlichen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen für die jeweilige Datenverarbeitung zu treffen. Microsoft sagt bei Nutzung des Dienstes "Office 365 Deutschland" zu, dass sowohl die Datenhaltung als auch die Bereitstellung der Dienste selbst ausschließlich auf Servern in der Bundesrepublik Deutschland erfolgt und Microsoft keine Möglichkeit hat, auf die Daten zuzugreifen.

Lesetipp: Persönliche Daten: Keine Verpflichtung zur Herausgabe

Datenschutz-Folgenabschätzung

Mit der DSGVO wird unter anderem auch die Datenschutz-Folgenabschätzung eingeführt. Eine Datenschutz-Folgenabschätzung ist immer dann zwingend erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Mit der Folgenabschätzung sollen die Auswirkungen der Datenverarbeitung überprüft werden.

Das Kriterium "hohes Risiko" wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Die Artikel-29-Datenschutzgruppe - ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz - schlägt als Daumenregel folgendes vor: Erst wenn bei einer Datenverarbeitung, mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.) erfüllt sind, sei ein "hohes Risiko" im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutz-Folgenabschätzung durchzuführen.

Als Hilfestellung für die Durchführung einer Datenschutz-Folgenabschätzung im Rahmen der DSGVO können sowohl das "Standard Datenschutzmodell" von den deutschen Datenschutzaufsichtsbehörden als auch die international existierenden ISO-Normen herangezogen werden. Indem die Microsoft Anwendungen nach den Vorgaben der ISO 27001 und ISO 27018 verifiziert sind und deren Gewährleistungsziele größtenteils mit den Zielen der Datenschutz-Folgenabschätzung korrelieren, ist damit bereits eine erste Basis für die Durchführung einer Folgenabschätzung geschaffen.

Fazit

Insgesamt stellen die Funktionen der Microsoft Anwendungen eine gute Ausgangsposition dar, die strengen europäischen Datenschutzvorgaben der DSGVO zu erfüllen. Bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 bleibt für die verantwortlichen Unternehmen nicht mehr viel Zeit die neuen Vorgaben umzusetzen. Sämtliche Datenverarbeitungstätigkeiten sollten anhand eines Maßnahmenplanes überprüft und die notwendigen Maßnahmen eingeleitet werden.