Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

08. November 2022

Datenschutz-Folgenabschätzung bei Microsoft 365 – nötig oder nicht?

DP+
Wie in vielen anderen Fällen auch sind in bezug auf Microsoft 365 pauschale Aussagen zur Datenschutz-Folgenabschätzung nicht sinnvoll
Bild: iStock.com / Jean-Luc-Ichard
5,00 (2)
Kritiker behaupten, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Ist der Verantwortliche anderer Meinung, so muss er den rechtskonformen Einsatz per Datenschutz-Folgenabschätzung nachweisen. Doch ist eine DSFA bei Microsoft 365 in jedem Fall verpflichtend?
„Die Cloud ist unsicher“, „US-Geheimdienste lesen alles mit“ und „Cloud-Dienste sind risikoreiche Datenverarbeitungen“ – solche Aussagen sind immer wieder zu lesen, v.a. wenn es um Microsoft 365 geht. Im Ergebnis könnten Verantwortliche Microsoft 365 nicht datenschutzkonform nutzen. Der Gegenbeweis sei nur über eine Datenschutz-Folgenabschätzung (DSFA) möglich.

Das klingt auf den ersten Blick plausibel. Doch muss jeder, der Microsoft 365 einsetzt, eine DSFA durchführen? Wir stellen häufige Aussagen rund um Microsoft 365 auf den Prüfstand.

Aussage 1: Eine DSFA ist bei Microsoft 365 immer Pflicht

Die Datenschutz-Grundverordnung (DSGVO) bestimmt gemäß Art. 35 Abs. 1, dass eine DSFA verpflichtend ist, wenn die Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. In der Regel besteht ein hohes Risiko

  • bei einer systematischen und umfassenden Bewertung, insbesondere beim Profiling,
  • bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 und 10 DSGVO oder
  • bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Beispiele für ein hohes Risiko

Diese Fallbeispiele sind keinesfalls abschließend. Die Art.-29-Datenschutzgruppe, der Vorläufer des Europäischen Datenschutzausschusses (EDSA), hat darüber hinaus neun Kriterien entwickelt, die für ein hohes Risiko sprechen. Ein hohes Risiko ist anzunehmen

  • bei einer Verarbeitung vertraulicher oder höchst persönlicher Daten,
  • bei schutzbe…
Kristin Benedikt
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kristin Benedikt
Kristin Benedikt
Kristin Benedikt ist Richterin und Datenschutzbeauftragte am Verwaltungsgericht Regensburg. Zuvor leitete sie den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.