Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum ĂŒberschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern. EuropĂ€ische Datenschutzbehörden arbeiten sich seit Jahren an den DatenschutzerklĂ€rungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersĂ€chsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zustĂ€ndigen Datenschutzbehörde befĂŒrchten zu mĂŒssen. I, Episode 118 beschĂ€ftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. DafĂŒr haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten fĂŒr genau diese Thematik hinzugezogen. Jurist Olaf berĂ€t mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten. ZunĂ€chst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgefĂŒhrten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abflieĂen, die Verwendung von Telemetriedaten ungenĂŒgend geklĂ€rt ist, die IT-Sicherheit nicht ausfĂŒhrlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschlieĂend darstellt. Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklĂ€rt auĂerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstĂŒnden allerdings gerade mit der allmĂ€hlichen EinfĂŒhrung der KI-Copiloten in die Produkte.
Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum ĂŒberschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern.
EuropĂ€ische Datenschutzbehörden arbeiten sich seit Jahren an den DatenschutzerklĂ€rungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersĂ€chsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zustĂ€ndigen Datenschutzbehörde befĂŒrchten zu mĂŒssen.
I, Episode 118 beschĂ€ftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. DafĂŒr haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten fĂŒr genau diese Thematik hinzugezogen. Jurist Olaf berĂ€t mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten.
ZunĂ€chst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgefĂŒhrten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abflieĂen, die Verwendung von Telemetriedaten ungenĂŒgend geklĂ€rt ist, die IT-Sicherheit nicht ausfĂŒhrlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschlieĂend darstellt.
Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklĂ€rt auĂerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstĂŒnden allerdings gerade mit der allmĂ€hlichen EinfĂŒhrung der KI-Copiloten in die Produkte.