DSK: M365 ist nicht datenschutzkonform einsetzbar. Stimmt das?

Verfasst von Tim Haas

Der Dienst Microsoft 365 kann von Unternehmen, Behörden und Schulen angeblich nicht rechtskonform eingesetzt werden. Zu diesem Schluss kommt eine aktuelle Datenschutzbewertung, die die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 104. Datenschutzkonferenz verabschiedet haben. Müssen jetzt alle wieder zurück auf die Server?

kurz auf den Punkt: 

Microsoft 365 ist datenschutzkonform einsetzbar. Und zwar in genau wie bisher mit einer Datenschutz-Folgeabschätzung.

Hier haben wir einige Informationen zusammengetragen.

Begründung: Die Datenschutzaufsichtsbehörden nehmen stellenweise eine problematische und technologiefeindliche Auslegung der DSGVO vor. Die Extrempostionen der Behörden betreffen dabei nicht nur den Einsatz von Microsoft 365, sondern drohen die Digitalisierung und den Einsatz moderner Coud-Technologie in Unternehmen und öffentlichen Stellen insgesamt zu behindern. Das ist auch ein massives Problem für europäische Anbieter.

Anbei die fachliche Bewertung eines Fachanwalts:

Auf­sichts­be­hör­den und Micro­soft äußern sich. Am 25. Novem­ber 2022, hat die Daten­schutz­kon­fe­renz (DSK), das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der, eine Stel­lung­nah­me zu Micro­soft 365 ver­öf­fent­licht. Die Stel­lung­nah­me ist das Ergeb­nis einer Rei­he von gemein­sa­men ...

https://www.reuschlaw.de/news/datenschutz-bei-microsoft-365/

Stellungname von Microsoft:

Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK. Heute haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken zu der Vereinbarkeit von Microsoft 365 (M365) mit den Datenschutzgesetzen in Deutschland und der EU geäußert.

https://news.microsoft.com/de-de/microsoft-erfuellt-und-uebertrifft-europaeische-datenschutzgesetze/

Zudem hat Microsoft zum Jahreswechsel damit begonne den letzten wirklichen Vorbehalt der deutschen Behörden gegenüber dem Dienst zu verändert. Es gibt eine europäische Cloud Grenze gegenüber den Vereinigten Staaten. Bisher konnten theoretisch US-amerikanische Behörden auf EU-Daten zugreifen. Dies ist seit dem Jahreswechsel nichtmehr wie bisher möglich

Ein wichtiger Schritt im Rahmen unseres Versprechens, passgenaue Technologien für Europa zu entwickeln. Heute Morgen kündigte Microsofts Präsident und Chief Legal Officer, Brad Smith, die Einrichtung einer EU-Datengrenze („EU Data Boundary“) für die Microsoft Cloud an – ein Schritt, mit dem wir über unsere bestehenden Verpflichtungen zur Datenresidenz hinausgehen werden.

https://www.microsoft.com/de-de/berlin/artikel/unsere-neue-eu-datengrenze-fuer-die-microsoft-cloud.aspx

Unsere neue EU-Datengrenze für die Microsoft Cloud


Die Grundlage für den konformen Betrieb von M365 ist die Datenschutz-Folgeabschätzung (DSFA) In diesem Dokument werden Risiko abzuwägen, die für eine Person besteht, eine gewisse Technologie zu verwenden. Da M365 in Bezug auf Datensicherheit (Schutz vor Datenverlust, Schutz vor Informationsdiebstahl und Sicherung der Unternehmensfortführung) handfeste Vorteile hat gegenüber einer lokal mit begrenzten Mitteln (Budget. Methoden und Kompetenz) betrieben IT fällt die Abwägung vergleichsweise leicht. Microsoft versucht in diesen Compliance-Themen eine Vorreiterrolle einzunehmen. Die Liste der verbrieften Validierung ist beeindruckend.

Erfahren Sie, wie Microsoft-Produkte und -Dienste Ihre Organisation bei der Einhaltung gesetzlicher Compliancestandards unterstützen.

https://learn.microsoft.com/de-de/compliance/regulatory/offering-home?view=o365-worldwide

Complianceangebote für Microsoft 365, Azure und andere Microsoft-Dienste.

Eine Übersicht für die IT auch in Deuschland relevante Zertifikate: 

  • IT-Grundschutz (BSI)

  • EN 301 549

  • ENISA IAF (ENISA Information Assurance Framework)

  • DSGVO

  • Cloud Computing Compliance Controls Catalog (C5)

  • ISO/IEC 27001:2013 Information Security Management Standards

  • ISO/IEC 20000-1:2018

  • ISO/IEC 27017:2015 Verhaltenskodex für Informationssicherheitskontrollen

  • ISO 22301:2012 – Standard für Business Continuity Management

  • ISO/IEC 27018-Verhaltenskodex zum Schutz von personenbezogenen Daten in der Cloud

  • ISO/IEC 27701:2019: Datenschutzinformationsmanagement

  • ISO 9001

Für Rechenzentren:

  • System- und Organisationskontrollen (System and Organization Controls, SOC) 1, Typ 2

  • Benchmarks des Center for Internet Security (CIS)

  • Cloud Security Alliance (CSA) STAR-Attestation

Das kann man gerne versuchen in der eigenen IT abzubilden. Keiner unserer Kunden wäre dazu in der Lage und dazu auch nur bereit. Und die deutschen Cloud-Anbieter, die ihre gesamte Marketing-Strategie auf den Aussagen des DSK stützen, sicher auch nicht. Diesen hohen Sicherheis-Standard bekommt aber der Handwerker im Schwarzwald für 4,90 € im Monat für seine M365 Dienste. Die von deutschen Behörden gefeierten Lösungen OwnCloud und Next Cloud können noch nicht mal Zwei-Faktor-Authentifizierung. 

In der Verantwortung für eine Organisation zu stehen, bedeutet immer Risiken abwägen. Hier kann man als Vorstand die aktuelle Meinungslage (wenn man die Hausaufgaben gemacht hat) mit Schulterzucken kommentieren und sich den wichtigen Themen widmen.






Tim Haas
Zurück

Microsoft verbessert wieder ToDo
Weiter

#24 Aufgaben verwalten mit ToDo