Datenschutzkonformer Einsatz von Microsoft 365
Microsoft 365 gehört sowohl für den gewerblichen als auch den öffentlichen Bereich derzeit zu den wichtigsten Software-Angeboten. Zweifel daran, ob der Einsatz der Online-Tools in Unternehmen und insbesondere im Gesundheitswesen überhaupt rechtskonform, d.h. im Einklang mit der Datenschutz-Grundverordnung (DSGVO) möglich ist, bestehen schon lange. Anfang Oktober 2020 bezog die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) Stellung: Auf Basis der von ihr ausgewerteten Unterlagen sei “kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich”. Im Rahmen seiner Untersuchung bewertete der “Arbeitskreis Verwaltung” der DSK die dem Einsatz des Produkts zugrunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum) aus dem Januar 2020, die seitdem bereits zweimal überarbeitet wurden. Eine technische Überprüfung der Prozesse sowie der an Microsoft tatsächlich übermittelten Daten fand laut vorliegenden Informationen jedoch nicht statt. Auch sei keine förmliche Anhörung von Microsoft zu den Bewertungen erfolgt, wie es zu einem fairen, rechtsstaatlichen Verfahren gehöre, heißt es in den Medien.
Die DSK kritisiert, dass Microsoft in den Nutzungsbedingungen nicht ausreichend darstellt, welche dem Risiko angemessenen technischen und organisatorischen Maßnahmen getroffen werden, um die Verarbeitung von Nutzerdaten zu schützen. Außerdem bezieht die DSK in ihre Abwägung den sog. Cloud-Act ein. Dieses US-Gesetz gestattet Ermittlungsbehörden wie dem FBI, auf personenbezogene Daten zuzugreifen, die US-Provider wie Microsoft in europäischen Rechenzentren speichern. Microsoft verwies in der untersuchten Datenschutzerklärung für Onlinedienste lediglich darauf, dass “verarbeitete Daten außerhalb der Weisung des Kunden auch offengelegt werden können, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben wird”. Diese Information ist für die DSK nicht hinreichend.
“Lösungen für einen rechtskonformen Einsatz erarbeiten, anstatt blockieren”
Microsoft 365 ist aus der Arbeitswelt nicht mehr wegzudenken. Bedingt durch die Covid19-Pandemie und Homeschooling beschäftigt sich nahezu jede Schule damit. Vielenorts ist Microsoft 365 bereits im Einsatz und es wird teilweise im Nachhinein datenschutzrechtlich bewertet, ob der vollumfängliche Einsatz von Microsoft 365 aus der Cloud und insbesondere die Nutzung von Teams unter bestimmten Umständen (bspw. bei der Übermittlung von Sozialdaten) möglich ist. Das ist zwar das falsche Vorgehen erst zu starten und dann zu prüfen, doch zeigt es auch, dass Innovation die Unternehmen antreibt. Daher muss es möglich sein, Ansätze und Lösungen für einen rechtskonformen Einsatz zu diskutieren, anstatt pauschal zu blockieren. Denn daraus entstehen andere Risiken, wie Schatten IT oder Work-arounds mittels anderer teilweise noch bedenklicherer Tools.
Die AuraSec GmbH ist von vielen Akteuren des Gesundheitswesens beauftragt worden, den rechtskonformen Einsatz von Microsoft 365 im Gesundheitswesen zu prüfen. Darunter Universitätskliniken, Gesetzliche Krankenkassen, Medizinische Dienste etc., die auf die Nutzung von insbesondere Teams nicht verzichten möchten. Die Datenschutzexperten der AuraSec haben die technischen Prozesse und die Nutzungs- und Datenschutzbedingungen geprüft und daraufhin den Kontakt zu Microsoft gesucht. Mit fachanwaltlicher Unterstützung wurde ein Fragenkatalog formuliert, der das Fundament für einen datenschutzkonformen Einsatz von Microsoft 365 definiert. Microsoft zeigte sich im Rahmen eines Lösungsworkshops kooperativ an einem darauf aufbauenden Sicherheitskonzept mitzuarbeiten und die nötigen Antworten in belastbarer Form zu liefern. Dieses wird dann den involvierten Behörden zur Genehmigung vorgelegt. Es wird die Voraussetzungen, Maßnahmen, Einstellungen und auch Grenzen des datenschutztechnisch Machbaren definieren. Für die praktische Umsetzung wird daraus ein Prüfkatalog abgeleitet, der die nötigen Meilensteine für die Umsetzung aufzeigen wird.
Möchten auch Sie Microsoft 365 rechtskonform einsetzen und wissen nicht wie? Kontaktieren Sie uns – wir unterstützen Sie gerne bei der Erstellung eines Datenschutzkonzepts, der technischen Konfiguration und die auch in der Abstimmung mit Microsoft sowie der jeweiligen Datenschutz-Aufsicht.
Wünschen Sie ein erstes unverbindliches Gespräch?
Vereinbaren Sie mit uns einen Termin für ein unverbindliches, rund 30-minütiges Beratungsgespräch:
Telefon: 030 408173352
E-Mail: info@aurasec.de