Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

30. November 2020

Office 365: Das haben die Aufsichtsbehörden geprüft

DP+
Office 365: Das haben die Aufsichtsbehörden geprüft
Bild: iStock.com / lcva2
5,00 (2)
Software datenschutzkonform einsetzen
„Ist Produkt X datenschutzkonform?“ Gerade bei den am weitesten verbreiteten Produkten, zu denen auch die Office-Familie von Microsoft gehört, ist dies eine Frage, die wohl jeden behördlichen oder betrieblichen DSB schon einmal umgetrieben hat.

Diese Frage ist aber oft gar nicht so leicht und v.a. nicht eindeutig zu beantworten. Die deutschen Datenschutzaufsichtsbehörden haben sich nun jüngst im Rahmen der Datenschutzkonferenz (DSK), also des Zusammenschlusses der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, zum Nutzungsvertrag von Office 365 geäußert und weitere Prüfungen nach Nachbesserungsgesprächen mit dem Hersteller des Produkts angekündigt.

Fokus auf die vertragliche Ausgestaltung

Den teils auch außerhalb der Fachpresse bereits vorab thematisierten Beratungen über den datenschutzgerechten Einsatz von Office 365 lagen Untersuchungen ihres „Arbeitskreises Verwaltung“ zugrunde.

Für diesen Arbeitskreis (AK) hatte das Thema Office 365 vor dem Hintergrund zahlreicher Beratungsanfragen des öffentlichen Bereichs, insbesondere aus Bildungseinrichtungen, hohe Priorität – und das gilt angesichts der Digitalisierungserfordernisse unter den Bedingungen der Pandemie weiterhin.

Dabei hat der Arbeitskreis entschieden, den Fokus zunächst auf die vertragliche Ausgestaltung der Auftragsverarbeitung zu legen. Das ist ein etabliertes, effizientes Vorgehensmodell: Gibt es dabei schon Probleme, erübrigen sich teils umfangreiche Untersuchungen zu Datenflüssen und technischen/organisatorischen Schutzmaßnahmen.

Dabei stellen sich im Vorfeld allerdings zwei interessante Fragen zu vermeintlichen Selbstverständlichkeiten:

  • Sind die deutschen Aufsichtsbehörden zuständig?
  • Dürfen die Aufsichtsbehörden Produkte prüfen statt Verarbeitungstätigkeiten?

Sind die deutschen Aufsichtsbehörden überhau…

Andreas Sachs
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andreas Sachs
Andreas Sachs ist Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Darüber hinaus leitet er das Referat Technischer Datenschutz und IT-Sicherheit beim BayLDA.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.