{"id":3301,"date":"2025-02-25T21:16:26","date_gmt":"2025-02-25T20:16:26","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=3301"},"modified":"2025-02-25T21:16:26","modified_gmt":"2025-02-25T20:16:26","slug":"kein-uneingeschraenkter-einsatz-von-microsoft-365","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/kein-uneingeschraenkter-einsatz-von-microsoft-365\/","title":{"rendered":"Kein uneingeschr\u00e4nkter Einsatz von Microsoft 365"},"content":{"rendered":"<p><strong>So viel ist klar: Microsoft 365 (kurz MS 365) kann derzeit mit den von Microsoft bereitgestellten Vertragsdokumenten nicht vollumf\u00e4nglich datenschutzkonform genutzt werden. Unternehmen, die die Software in ihrem Unternehmen einsetzen wollen, m\u00fcssen sich bewusst dar\u00fcber sein, dass sie zuvor einige Herausforderungen zu bew\u00e4ltigen haben. Welche das sind und wie Ihnen begegnet werden kann, haben wir f\u00fcr Sie nachfolgend zusammengefasst.<\/strong><\/p>\n<p>Nach eigenen Angaben kann man mit Microsoft 365 \u201eAu\u00dfergew\u00f6hnliches\u201c erreichen. Das Softwarepaket mit \u00fcber 20 separaten und kombinierbaren Diensten und Apps soll Sie und Ihre MitarbeiterInnen bei Ihrer t\u00e4glichen Arbeit im Unternehmen m\u00f6glichst optimal und einfach unterst\u00fctzen. Wenn Sie das Angebot f\u00fcr MS 365 aus wirtschaftlichen und nutzungsfreundlichen Gesichtspunkten \u00fcberzeugt, m\u00fcssen Sie die Software in einem n\u00e4chsten Schritt auch auf den datenschutzrechtlichen Pr\u00fcfstand stellen.<\/p>\n<p>Mit Abschluss des Lizenzvertrages mit Microsoft wird gleichzeitig ein sog. Datenschutznachtrag (von Microsoft und im Folgenden \u201eDPA\u201c \u2013 Data Protection Addendum genannt) vereinbart. Dies stellt im Sinne der DSGVO den sog. Auftragsverarbeitungsvertrag dar. Microsoft verarbeitet also mit den Diensten von MS 365 Daten (und eben auch personenbezogene Daten) in Ihrem Auftrag. Datenschutzrechtlich bleibt das einsetzende Unternehmen Verantwortlicher f\u00fcr den Einsatz und im Fall von Schutzverletzungen mit den sich daraus ergebenen Rechtsbehelfen, Haftungen und Schadenersatzanforderungen der Betroffenen und m\u00f6glichen Sanktionen.<\/p>\n<h3>Was sagen deutsche Datenschutzbeh\u00f6rden zu MS 365?<\/h3>\n<p>Mit Microsoft 365, insbesondere mit dem DPA, befassen sich Datenschutzbeh\u00f6rden und -gremien nun schon seit mehreren Jahren und haben einige Kritikpunkte herausgestellt, die zum Teil eine rechtskonforme Nutzung von MS 365 im Unternehmen unm\u00f6glich erscheinen lassen.<\/p>\n<p>Die gewichtigsten Punkte, die sehr hohe (Haftungs-)risiken bergen k\u00f6nnen, sind:<\/p>\n<ul>\n<li>die Nutzung von personenbezogenen Daten durch Microsoft zu eigenen Gesch\u00e4ftszwecken und<\/li>\n<li>widerspr\u00fcchliche Angaben zum Weisungsrecht des Verantwortlichen im DPA.<\/li>\n<\/ul>\n<p>Weiterhin werden folgende Inhalte des DPA als unzureichend oder kl\u00e4rungsbed\u00fcrftig beschrieben:<\/p>\n<ul>\n<li>die Eingrenzung des Vertragsgegenstandes, des Zwecks der einzelnen Verarbeitungen und der Art der verarbeiteten personenbezogenen Daten bzw. Datenkategorien,<\/li>\n<li>die Regelungen zur Datenl\u00f6schung,<\/li>\n<li>die Nachvollziehbarkeit der Umsetzung von technischen und organisatorischen Ma\u00dfnahmen und<\/li>\n<li>die bereitgestellten Informationen \u00fcber von Microsoft eingesetzte Unterauftragnehmer.<\/li>\n<\/ul>\n<p>Nach aktuellen Stellungnahmen und Handreichungen sind die datenschutzrechtlichen Defizite bei der Nutzung von MS 365 gr\u00f6\u00dftenteils nur mit \u00c4nderungen und Zusatzvereinbarungen zu den von Microsoft bereitgestellten Vertragsdokumenten zu beseitigen. Diese reichen von klarstellenden Erg\u00e4nzungen des DPA bis hin zu konkreten Vorgaben, die Microsoft dazu zwingen, bestimmte Datenverarbeitungen einzuschr\u00e4nken oder gar zu untersagen.<\/p>\n<p>Es gibt dazu eine von einigen Aufsichtsbeh\u00f6rden erstellte <a href=\"https:\/\/www.lfd.niedersachsen.de\/download\/199434\" target=\"_blank\" rel=\"noopener\">Handreichung f\u00fcr den Einsatz von \u201eMicrosoft 365\u201c<\/a> mit Stand vom 24.08.2023.<\/p>\n<p>Microsoft r\u00e4umt zwar grunds\u00e4tzlich die M\u00f6glichkeit ein, zus\u00e4tzliche Vereinbarungen mit Kunden abzuschlie\u00dfen. Fraglich ist allerdings, ob Microsoft tats\u00e4chlich individuellen Vertragsanpassungen insofern zustimmt, als dass sie zu einer datenschutzrechtlich vertretbaren Nutzung von MS 365 f\u00fchren. Bisher liegen uns zur Bereitschaft von Microsoft, auf Vertragsverhandlungen einzugehen, aber noch keine Erfahrungsberichte von Kunden vor.<\/p>\n<h3>Was ist sonst noch beim Einsatz von MS 365 zu beachten?<\/h3>\n<p>Abgesehen von den notwendigen Vertragsanpassungen sind weitere datenschutzrechtliche Ma\u00dfnahmen zu ergreifen und insbesondere zu dokumentieren. Nachfolgend eine Auswahl:<\/p>\n<ul>\n<li>Vor dem Einsatz von MS 365 ist ggf. eine Datenschutz-Folgenabsch\u00e4tzung (DSFA) in Abh\u00e4ngigkeit der Zwecke, des Verarbeitungsumfangs, der m\u00f6glichen Verarbeitung von besonders sensiblen Daten gesetzlich erforderlich. Diese hilft auch dabei, herauszustellen, welche Anwendungen von MS 365 tats\u00e4chlich und in welchem Umfang f\u00fcr den individuellen Bedarf n\u00fctzlich sind.<\/li>\n<li>MS 365 bietet in einem gewissen Umfang die M\u00f6glichkeit, die automatische Daten\u00fcbermittlung von Diagnose- und Nutzungsdaten an Microsoft zu reduzieren. Diese datenschutzfreundlichen Einstellungen sollten unbedingt vorgenommen werden. Da Microsoft regelm\u00e4\u00dfig seine Produkte aktualisiert, m\u00fcssen diese Einstellungen auch regelm\u00e4\u00dfig \u00fcberpr\u00fcft und ggf. nachjustiert werden. Sofern m\u00f6glich, sollten selbstverst\u00e4ndlich auch weitere (eigene) technische und organisatorische Ma\u00dfnahmen gepr\u00fcft und eingesetzt werden.<\/li>\n<li>Weiterhin kann der MS Exchange Server innerhalb des eigenen Unternehmensnetzwerks statt in der Cloud gehostet werden. Damit entf\u00e4llt die Datenverarbeitung auf den Servern von Microsoft und es besteht Sicherheit \u00fcber den Ort der Datenhaltung.<\/li>\n<li>Sie m\u00fcssen selbstverst\u00e4ndlich auch f\u00fcr die Datenverarbeitung mit MS 365 Datenschutzinformationen f\u00fcr betroffene Personen erstellen und an geeigneter Stelle zur Verf\u00fcgung stellen.<\/li>\n<li>S\u00e4mtliche Verarbeitungen von personenbezogenen Daten mit MS 365 sind in das Verzeichnis der Verarbeitungst\u00e4tigkeiten einzutragen.<\/li>\n<li>Erstellen Sie im besten Fall ein L\u00f6schkonzept oder erweitern Sie Ihr bestehendes in Bezug auf die Verarbeitungen im Zusammenhang mit MS 365.<\/li>\n<\/ul>\n<h3>Fazit<\/h3>\n<p>Unternehmen sollten m\u00f6glichst vor dem Einsatz von MS 365 Aufwand und Nutzen der Anwendungen kritisch abw\u00e4gen und unbedingt den Datenschutzbeauftragten in die Entscheidungsfindung mit einbeziehen.<\/p>\n<p>Wenn Sie sich daf\u00fcr entscheiden oder bereits entschieden haben, MS 365 in Ihrem Unternehmen einzusetzen, sollten Sie sich des m\u00f6glichen Risikos bewusst sein. Die Datenschutzbeh\u00f6rden sehen die Verwendung von MS 365 jedenfalls sehr kritisch und sind die ersten Anlaufstellen f\u00fcr Beschwerden und die zust\u00e4ndigen Aufsichtsbeh\u00f6rden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>So viel ist klar: Microsoft 365 (kurz MS 365) kann derzeit mit den von Microsoft bereitgestellten Vertragsdokumenten nicht vollumf\u00e4nglich datenschutzkonform genutzt werden. Unternehmen, die die Software in ihrem Unternehmen einsetzen wollen, m\u00fcssen sich bewusst dar\u00fcber sein, dass sie zuvor einige Herausforderungen zu bew\u00e4ltigen haben. Welche das sind und wie Ihnen begegnet werden kann, haben wir [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":3302,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-3301","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=3301"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3301\/revisions"}],"predecessor-version":[{"id":3303,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3301\/revisions\/3303"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/3302"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=3301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=3301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=3301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}