Zahlreiche deutsche Unternehmen nutzen die Cloud-Angebote von US-Giganten wie Microsoft, Google & Co. Immer wieder sind diese Cloud-Dienste in den Medien, da Datenschützer eine Missachtung der Datenschutzrichtlinien der EU fürchten. Schließlich unterliegen die Cloud-Anbieter den US-Amerikanischen Gesetzen, nicht denen der EU. Da die US-Amerikanischen Datenschutzgesetze allerdings nicht den Ansprüchen der EU entsprechen, hat der EuGH im Juli letzten Jahres erneut ein Abkommen zwischen EU und USA gekippt. Aber was bedeutet das nun für die Verwendung von Cloud-Diensten wie Microsoft 365? Microsoft selbst tut bereits heute freiwillig viel für den Datenschutz - so kündigte das Unternehmen zum Beispiel auf der Microsoft Build 2021 am 6. Mai 2021 an, eine EU-Datengrenze für die Cloud-Lösungen zu implementieren. Was der Cloud-Anbieter außerdem für den Datenschutz macht und wie ihr Microsoft 365 weiterhin ohne Bedenken im Unternehmen einsetzten könnt, erfahrt ihr in diesem Artikel.
Diese Ängste haben Unternehmen in Bezug auf den Microsoft 365 Datenschutz in Deutschland
Für viele Unternehmen ist das Thema Datenschutz eines der wichtigsten, aber gleichzeitig unbeliebtesten Themen. Die Daten der Mitarbeiter, der Kunden und der Geschäftspartner gilt es zu schützen und sicher zu verwahren. Was passiert allerdings, wenn zahlreiche wichtige Daten in der Cloud eines amerikanischen Anbieters gespeichert werden? Kann die Sicherheit gewährleistet werden? Viele Unternehmen machen sich gleich über mehrere Punkte Sorgen.
Persönliche Rechte: Die Gesetze zum Thema Datenschutz sind in den USA nicht so streng wie in der EU. Viele Unternehmen fürchten, dass die personenbezogenen Daten ihrer Mitarbeiter, Kunden oder Partner mit den USA geteilt und dort zur Erstellung von Nutzerprofilen verwendet werden. Dabei könnte es um das einfache Sammeln von Informationen oder die Verwendung zu Marketingzwecken gehen.
Sensible Daten: Jedes Unternehmen arbeitet mit sensiblen Daten. Steuerliche und rechtliche Daten von Kunden oder Geschäftspartnern und Bankdaten können vielfach missbraucht werden. Bei schlechtem Schutz könnten sie in die falschen Hände gelangen und für kriminelle Aktionen verwendet werden. Hier geht es aber auch um sensible Verträge und das Thema Wettbewerb mit anderen Unternehmen weltweit.
Angst vor Bußgeldern: Im letzten Herbst gingen vermehrt Nachrichten in Deutschland um, dass Microsoft 365 in Deutschland laut der Datenschutzkonferenz (DSK) nicht datenschutzkonform verwendet werden kann. Dazu hieß es, es fehle die Rechtsgrundlage für das Sammeln der Telemetrie-Diagnosedaten, Details zur genauen Tätigkeit und eine konkrete Versicherung, dass der US-Zugriff auf Daten ausgeschlossen ist. Unternehmen fürchten deshalb nicht nur Risiken im Datenschutz selbst, sondern auch Bußgelder, weil die Software nicht datenschutzkonform verwendet werden kann.
Das unternimmt Microsoft in Hinsicht auf den Datenschutz
Microsoft selbst reagiert schon seit längerer Zeit auf die Sorgen der EU und der Datenschutzbehörden zum Thema Datenschutz. Nur weil kein rechtlicher Rahmen zwischen der EU und den USA geschlossen werden kann, sollten Dienstleister sich dennoch an die geltenden Regelungen halten – so Microsofts Einstellung. Dementsprechend tut der Dienstleister einiges für den Datenschutz.
Datenschutz nach DSGVO
Die DSGVO wird durch Microsoft eigenmächtig eingehalten – nicht nur für Kunden in der EU, sondern auf der ganzen Welt. Dabei stellt der Dienstleister Art. 28 in den Vordergrund: eine Auftragsdatenvereinbarung, die zeigt, dass Kundendaten vom Auftragsverarbeiter nur zur Bereitstellung der vereinbarten Dienste und zu Zwecken, die damit vereinbar sind, verwendet werden dürfen. Daraus ergibt sich, dass Daten nicht für Werbezwecke verwendet werden dürfen und dass keine Infos aus den Daten abgeleitet werden dürfen.
Speicherung und Datenhaltung in deutschen Rechenzentren
Microsoft hat 2 Rechenzentren in Deutschland errichtet. Diese Rechenzentren gelten als Erweiterung des globalen Cloud-Service-Angebots von Microsoft. Damit soll die Datenhaltung in Deutschland mit den Vorteilen einer globalen Cloud-Lösung wie Microsoft Office 365 verbunden werden. Hat ein Unternehmen den Geschäftssitz in Deutschland, werden die Daten in den deutschen Rechenzentren gespeichert.
Erweiterte Datenschutzoptionen für mehr Kontrolle
Sicherlich kennt ihr alle die Oberfläche, die nach dem Absturz eines Microsoft Office Programms erscheint: „Möchten Sie die Daten zur Fehlerdiagnose an den Anbieter übermitteln?“ Hier bietet Microsoft die Möglichkeit, diese Frage mit nein zu beantworten.
Wozu werden Diagnosedaten überhaupt verwendet? Sie sollen Abstürze analysieren, Schadsoftware erkennen und Probleme beheben – aber auch die Bearbeitungsvorschläge in manchen Programmen verbessern. Sie sind lernende Systeme, die von Daten leben und sich dadurch verbessern, weshalb Microsofts Dienste auf Daten angewiesen sind. Der Diagnosedaten-Viewer zeigt zudem an, welche Daten wirklich ausgetauscht werden.
EU-Datengrenze
Auf der Microsoft Build gab das Unternehmen am 6. Mai dieses Jahres bekannt, ab Ende 2022 die EU-Datengrenze umzusetzen. Das bedeutet, dass die Speicherung und Verarbeitung von Cloud-Daten aus der EU ab diesem Zeitpunkt ausschließlich in der EU erfolgt. Implementiert wird dieses Feature dementsprechend bei den Cloud-Diensten Microsoft 365, Azure und Dynamics 365. Dadurch sollen die Sorgen vor einem Datentransfer mit den USA endgültig zerschlagen werden.
Datenschutz-Folgenabschätzung für den rechtskonformen Einsatz
Wer Microsoft 365 rechtskonform nutzen möchte, muss selbst aktiv werden und die Forderungen der EU-DSGVO umsetzen. Zu den Pflichten jedes Unternehmens zählt deshalb die Datenschutz-Folgenabschätzung (DSFA). Ein Vorabcheck überprüft, zu welchen Zwecken die Software genutzt werden soll und gibt bei jedem Kunden, der Daten in großem Umfang verarbeitet, die Information aus, dass eine DSFA durchgeführt werden muss. Da bereits die Nutzung von Outlook etc. dafür sorgt, dass Kunden- und Partnerdaten in großem Umfang verarbeitet werden, ist nahezu jedes Unternehmen zu einer DSFA verpflichtet. Das ist zwar zusätzlicher Aufwand, bringt aber auch einige Vorteile mit sich:
Datenverarbeitungsprozesse werden übersichtlich dokumentiert, potenzielle Probleme werden identifiziert, Datenschutzvorfälle und entsprechende Bußgelder können vermieden werden. Folgende Punkte muss eine DSFA umfassen:
- Beschreibung der Datenverarbeitungsvorgänge
- Definition der Zwecke, Notwendigkeit und Verhältnismäßigkeit der Vorgänge
- Durchführung einer Risikoanalyse
- Festlegen von Abhilfemaßnahmen
- Ermittlung des Restrisikos
Interner Datenschutz – Was Unternehmen in Deutschland für mehr Datenschutz bei Microsoft 365 tun können
Als Microsoft Cloud-Partner setzen wir uns regelmäßig mit dem Thema Datenschutz auseinander und sind besonders an einem datenschutzkonformen Einsatz interessiert. Unsere Aufgabe ist dabei jedoch nicht nur das Informieren über datenschutzrechtliche Themen, sondern auch das Aufklären und Sensibilisieren der Nutzer. Microsoft setzt freiwillig die von der EU geforderten Maßnahmen zum Datenschutz aus der DSGVO um. Durch die Datengrenze wird außerdem der Datentransfer zwischen der EU und den USA gestoppt, um mögliche Sicherheitsrisiken zu minimieren.
Jedoch nützt der beste Datenschutz seitens der Cloud-Betreiber nichts, wenn der Datenschutz nicht auch intern im Unternehmen umgesetzt wird. Klebezettel mit Passwörtern an den Bildschirmen oder ein Sammel-Mailkonto, auf das jeder Mitarbeiter zugreifen kann, sorgen nicht für den nötigen Datenschutz. Die Sicherheit der Daten beginnt im eigenen Unternehmen. Deshalb ist es so wichtig, dass alle Mitarbeiter die Notwendigkeit erkennen und die richtigen Maßnahmen umsetzen. Schulungen für die Mitarbeiter können für eben dieses Wissen sorgen, Best Practices vermitteln und dafür sorgen, dass interne Datenschutzrisiken minimiert werden. Schließlich sollte nicht nur die verwendete Software dafür sorgen, dass die hohen Datenschutzstandards der EU eingehalten werden, sondern auch die Unternehmen, die sie verwenden.
