Sowohl das Cloud-Angebot von Microsoft Office 365 als auch die Hybrid Cloud Microsoft Azure geben den Anwendern viele Möglichkeiten, einige der neuen europäischen Dokumentationsanforderungen der DSGVO einzuhalten. [...]
Die europäische Datenschutz-Grundverordnung (DSGVO) steht vor der Tür und stellt viele Unternehmen vor die Herausforderung, die neuen datenschutzrechtlichen Vorgaben effektiv zu erfüllen. Als nützliche und zugleich relativ kostengünstige Unterstützung zur Erfüllung der Datenschutz-Compliance kommen die neuen Compliance-Funktionen von Microsoft in Betracht.
Rechtmäßige Auftragsverarbeitung
Zu dem Leistungsumfang von Office 365 gehören bekanntlich die Online-Versionen von Word, Excel und PowerPoint, welche es den Anwender erlauben, über unterschiedliche Endgeräte auf ihre Dokumente zuzugreifen. Hierbei liegen die Daten nicht mehr nur auf den hauseigenen Rechnern, sondern in der Cloud auf den Microsoft Servern.
Zu dem Leistungsumfang von Office 365 gehören bekanntlich die Online-Versionen von Word, Excel und PowerPoint, welche es den Anwender erlauben, über unterschiedliche Endgeräte auf ihre Dokumente zuzugreifen. Hierbei liegen die Daten nicht mehr nur auf den hauseigenen Rechnern, sondern in der Cloud auf den Microsoft Servern.
Dasselbe gilt auch für die Microsoft Cloud-Computing-Plattform Azure. Insofern fungiert Microsoft als Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter. Indem die Online Dienste durch verschiedene datenschutzspezifische Verfahren verifiziert und zertifiziert sind, können die Unternehmen als verantwortliche Stelle ihrer datenschutzrechtlichen Rechenschaftspflicht in Bezug auf die Auftragsverarbeitung nachkommen.
Ferner informiert Microsoft in seinen Nutzungsbedingungen über die Prozesse und Datenverarbeitungen seiner Anwendungen. Dem Grunde nach erfüllt Microsoft damit die europäischen datenschutzrechtlichen Anforderungen an einen Auftragsverarbeiter. Denn die Nutzungsbedingungen können zusammen mit der Lizenzvereinbarung die gesetzlich geforderte Vertragsgrundlage einer Auftragsverarbeitung darstellen. Mit diesem Paket bietet Microsoft auch die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.
Betroffenenrechte: Auskunft, Sperrung und Löschung
Mit der DSGVO werden die bisher bestehenden Rechte der betroffenen Personen deutlich erweitert. Die Grundlage der Betroffenenrechte bildet das allgemeine Auskunftsrecht. Das verantwortliche Unternehmen muss dem Betroffenen auf Anfrage eine Bestätigung übermitteln, ob es ihn betreffende Daten verarbeitet oder nicht. In einem zweiten Schritt kann der Betroffene darüber Auskunft verlangen, welche personenbezogenen Daten genau von der verantwortlichen Stelle verarbeitet werden.
Mit der DSGVO werden die bisher bestehenden Rechte der betroffenen Personen deutlich erweitert. Die Grundlage der Betroffenenrechte bildet das allgemeine Auskunftsrecht. Das verantwortliche Unternehmen muss dem Betroffenen auf Anfrage eine Bestätigung übermitteln, ob es ihn betreffende Daten verarbeitet oder nicht. In einem zweiten Schritt kann der Betroffene darüber Auskunft verlangen, welche personenbezogenen Daten genau von der verantwortlichen Stelle verarbeitet werden.
Die damit eingeholten Informationen bilden in der Regel die Basis für die Ausübung weiterer Betroffenenrechte. Hierzu zählen die bekannten Rechte auf Berichtigung und Löschung, sowie die neu eingeführten Rechte auf Einschränkung der Verarbeitung (Sperrung), auf Datenübertragbarkeit (Datenportabilität) und auf Vergessenwerden.
Diese Auskunftsverlangen und Ansprüche der Betroffenen stellen die verantwortlichen Unternehmen oft vor größere Schwierigkeiten, da sie zunächst überprüfen müssen, welche Daten sich wo befinden und ob überhaupt ein Personenbezug vorliegt. Hier können etwa die „Data Loss Prevention Policies“ für Office 365 hilfreich sein, mit denen sich prinzipiell alle vertraulichen Informationen innerhalb der Anwendungen identifizieren lassen.
Darüber hinaus ist es mit der Klassifikations-Funktion von Microsoft Azure möglich, sämtliche Daten automatisch auf personenbezogene Inhalte überprüfen zu lassen. Um die damit ermittelten personenbezogenen Daten dem Betroffenen auf Verlangen in einem gängigen elektronischen Format zur Verfügung zu stellen (Recht auf Datenübertragbarkeit), können die allgemeinen Export- und Download-Funktionen der Microsoft Anwendungen genutzt werden.
Sofern die Betroffenen von ihrem Recht auf Einschränkung der Verarbeitung Gebrauch machen, können die verantwortlichen Unternehmen im Rahmen der Anwendungen auch Sperrvermerke setzen. Ein Sperrvermerk kann einen Zugriff auf die jeweiligen personenbezogenen Daten für bestimmte Zwecke unmöglich machen. Hinsichtlich der Löschung von Daten muss der Verantwortliche jedoch weiterhin selbst tätig werden.
Verzeichnis von Verarbeitungstätigkeiten
Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem sie eine Übersicht aller laufenden Datenverarbeitungstätigkeiten ihres Unternehmens aufstellen. Eine gute Grundlage für die Erstellung dieser Verzeichnisse sind die mittels der Office Anwendungen erstellbaren Reports. Hierbei erhält man eine Übersicht sämtlicher genutzter Services in „Office 365“. Eine ausführlichere Auflistung kann mittels des Tools „Free Office 365 Reporting Tool“ erstellt werden. Bei Microsoft Azure kann direkt im Azure Portal unter dem Punkt „Dashboard -> All Resources“ eine Übersicht eingesehen werden. Die so ermittelten Informationen müssen allerdings weiter aufbereitet und konkretisiert werden, um die Verarbeitungstätigkeiten im Sinne der DSGVO ordnungsgemäß aufzulisten.
Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem sie eine Übersicht aller laufenden Datenverarbeitungstätigkeiten ihres Unternehmens aufstellen. Eine gute Grundlage für die Erstellung dieser Verzeichnisse sind die mittels der Office Anwendungen erstellbaren Reports. Hierbei erhält man eine Übersicht sämtlicher genutzter Services in „Office 365“. Eine ausführlichere Auflistung kann mittels des Tools „Free Office 365 Reporting Tool“ erstellt werden. Bei Microsoft Azure kann direkt im Azure Portal unter dem Punkt „Dashboard -> All Resources“ eine Übersicht eingesehen werden. Die so ermittelten Informationen müssen allerdings weiter aufbereitet und konkretisiert werden, um die Verarbeitungstätigkeiten im Sinne der DSGVO ordnungsgemäß aufzulisten.
Einhaltung technisch organisatorischer Maßnahmen
Zur Sicherstellung eines angemessenes Schutzniveau und damit zur Minimierung des Risikos für die personenbezogenen Daten der betroffenen Personen sind die Verantwortlichen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen für die jeweilige Datenverarbeitung zu treffen. Microsoft sagt bei Nutzung des Dienstes „Office 365 Deutschland“ zu, dass sowohl die Datenhaltung als auch die Bereitstellung der Dienste selbst ausschließlich auf Servern in der Bundesrepublik Deutschland erfolgt und Microsoft keine Möglichkeit hat, auf die Daten zuzugreifen.
Zur Sicherstellung eines angemessenes Schutzniveau und damit zur Minimierung des Risikos für die personenbezogenen Daten der betroffenen Personen sind die Verantwortlichen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen für die jeweilige Datenverarbeitung zu treffen. Microsoft sagt bei Nutzung des Dienstes „Office 365 Deutschland“ zu, dass sowohl die Datenhaltung als auch die Bereitstellung der Dienste selbst ausschließlich auf Servern in der Bundesrepublik Deutschland erfolgt und Microsoft keine Möglichkeit hat, auf die Daten zuzugreifen.
Datenschutz-Folgenabschätzung
Mit der DSGVO wird unter anderem auch die Datenschutz-Folgenabschätzung eingeführt. Eine Datenschutz-Folgenabschätzung ist immer dann zwingend erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Mit der Folgenabschätzung sollen die Auswirkungen der Datenverarbeitung überprüft werden.
Mit der DSGVO wird unter anderem auch die Datenschutz-Folgenabschätzung eingeführt. Eine Datenschutz-Folgenabschätzung ist immer dann zwingend erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Mit der Folgenabschätzung sollen die Auswirkungen der Datenverarbeitung überprüft werden.
Das Kriterium „hohes Risiko“ wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Die Artikel-29-Datenschutzgruppe – ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz – schlägt als Daumenregel folgendes vor: Erst wenn bei einer Datenverarbeitung, mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. „Datenverarbeitung in großem Umfang“, „Datentransfer außerhalb der EU“ etc.) erfüllt sind, sei ein „hohes Risiko“ im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutz-Folgenabschätzung durchzuführen.
Als Hilfestellung für die Durchführung einer Datenschutz-Folgenabschätzung im Rahmen der DSGVO können sowohl das „Standard Datenschutzmodell“ von den deutschen Datenschutzaufsichtsbehörden als auch die international existierenden ISO-Normen herangezogen werden. Indem die Microsoft Anwendungen nach den Vorgaben der ISO 27001 und ISO 27018 verifiziert sind und deren Gewährleistungsziele größtenteils mit den Zielen der Datenschutz-Folgenabschätzung korrelieren, ist damit bereits eine erste Basis für die Durchführung einer Folgenabschätzung geschaffen.
Fazit
Insgesamt stellen die Funktionen der Microsoft Anwendungen eine gute Ausgangsposition dar, die strengen europäischen Datenschutzvorgaben der DSGVO zu erfüllen. Bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 bleibt für die verantwortlichen Unternehmen nicht mehr viel Zeit die neuen Vorgaben umzusetzen. Sämtliche Datenverarbeitungstätigkeiten sollten anhand eines Maßnahmenplanes überprüft und die notwendigen Maßnahmen eingeleitet werden.
Insgesamt stellen die Funktionen der Microsoft Anwendungen eine gute Ausgangsposition dar, die strengen europäischen Datenschutzvorgaben der DSGVO zu erfüllen. Bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 bleibt für die verantwortlichen Unternehmen nicht mehr viel Zeit die neuen Vorgaben umzusetzen. Sämtliche Datenverarbeitungstätigkeiten sollten anhand eines Maßnahmenplanes überprüft und die notwendigen Maßnahmen eingeleitet werden.
* Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH.
Be the first to comment