Wie steht es um den Datenschutz und die DSGVO bei Office 365? Teil 1: Worum es geht



Um zu wissen, wie Microsoft den Datenschutz und die DSGVO bei seinem Clouddienst Office 365 gewährleistet – und welche Kontroversen es dabei gibt – muss zunächst einiges Grundlegendes erklärt werden. Dieser 2-teilige Beitrag von Büro-Kaizen® soll Ihnen die notwendigen Antworten liefern. In dem ersten Teil werden die Grundlagen zum Stand des Datenschutzes und der seit Mai 2018 geltenden europäischen Datenschutz-Grundverordnung (DSGVO) geklärt. Der zweite Teil befasst sich dann ganz mit dem Datenschutz bei Office 365.

Was ist das Problem?

Der Datenschutz regelt die automatische Verarbeitung personenbezogener Daten (automatisch bedeutet mittels Computer statt Karteikarten). Dabei kollidieren zwei fundamentale Rechte miteinander. Das Recht auf Informationsfreiheit und damit einem freien Datenverkehr versus den Persönlichkeitsrechten auf Privatsphäre und informelle Selbstbestimmung. Die Lösung des Zwiespalts liegt in klaren Regeln für die Datenverarbeitung. In Deutschland regelt dies seit dem 27.01.1977 das Bundesdatenschutzgesetz BDSG. Neu hinzugekommen ist am 25.05.2018 die europäische Datenschutz-Grundverordnung (DSGVO), mit einigen Präzisierungen, Neuerungen und Änderungen.

So funktioniert es:

Was ist eigentlich der Unterschied zwischen Datenschutz und Datensicherheit?

Die Bedeutung der beiden Begriffe Datenschutz und Datensicherheit ist bis heute etwas missverständlich.

  • Datensicherheit: Zum Beginn des IT-Zeitalters war mit Datenschutz ursprünglich noch die Sicherung der Daten vor Verlust, Manipulation oder Diebstahl gemeint. Dies erfordert viele technische Maßnahmen und fällt heutzutage unter den Zuständigkeitsbereich der „Datensicherheit“ und der „IT-Sicherheit“.
  • Datenschutz: Erst seit Mitte der 1970er wird unter Datenschutz der Schutz personenbezogener Daten vor missbräuchlicher Datenverarbeitung verstanden. Es werden also nicht die Daten geschützt, sondern die Menschen vor nichtlegitimer Erhebung, Verarbeitung und Speicherung dieser Daten.

Was bedeutet eigentlich „Verarbeitung personenbezogener Daten“ genau?

Der Begriff „personenbezogene Daten“ wird in Artikel 4 der europäischen Datenschutz-Grundverordnung (DSGVO) definiert: Demnach sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; […].“

Warum ist der Datenschutz für Unternehmen so wichtig?

Unternehmen sind laut dem Bundesdatenschutzgesetz und der 2018 hinzugekommenen europäischen Datenschutz-Grundverordnung (DSGVO) zu einem ordnungsgemäßen Umgang bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten verpflichtet. Bei Verstößen drohen empfindliche Strafen, die sich 2018 deutlich erhöht haben.

  • Jedes Unternehmen muss beispielsweise ab zehn Personen, die ständigen Zugriff auf die Personendaten (z. B. Kundendaten oder Arbeitnehmerdaten) haben, einen eigenen Datenschutzbeauftragten bestellen. Das verdeutlicht den Aufwand und den Stellenwert, den das Thema in der Politik und bei Unternehmen hat.

  • Mit der DSGVO sind nicht nur einige Neuregelungen hinzugekommen, auch die Bußgelder sind deutlich teurer geworden. Sah das Bundesdatenschutzgesetz bislang „lediglich“ maximale Strafen von 300.000 Euro vor, so können die Bußgelder seit der DSGVO nun bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen.

Warum ist das Thema Datenschutz personenbezogener Daten generell so wichtig?

Der Datenschutz wird durch die neuen technischen Möglichkeiten massiv herausgefordert, einerseits von wirtschaftlichen Begehrlichkeiten und andererseits von sicherheitspolitischen Interessen (Überwachungsstaat).

  • Die technischen Möglichkeiten der automatischen Verarbeitung und Speicherung personenbezogener Daten würden unkontrolliert zwangsläufig zu einem „gläsernen Menschen“ führen. Dies könnte nicht nur bei Patientendaten zu einem erheblichen Nachteil für die Betroffenen führen.
  • Darüber hinaus gilt es auch, den Wettbewerb vor den Datenmonopolen bei wenigen großen Privatunternehmen zu schützen, die aufgrund der benötigten Informationszugänge und Ressourcen in erheblichem Umfang zwangsläufig entstehen würden.
  • Gleichzeitig sind „gläserne Bürger“ auch ein Wesenszug von Überwachungsstaaten. Gefährdet sind (mindestens) die 37 % der Länder dieser Erde, die keine Demokratien sind. Den Datenschutz dort zu erkämpfen, ist für die Bevölkerung sehr gefährlich und mitunter lebensbedrohlich. Daher sind die (Politiker und Bürger der) Demokratien in der Pflicht, den Datenschutz im Internet zu erhalten – so lange es ihn noch gibt.

Neue EU-weite Regeln für den Datenschutz: Die europäische DSGVO

Seit dem 25.05.2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Sie ersetzt die bis dahin geltende EU-Richtlinie 95/46/EG von 1995, um die Datenschutzregeln im europäischen Binnenmarkt zu vereinheitlichen. Das Ziel ist dabei eine austarierte Balance aus Datenschutz und freiem Datenverkehr innerhalb des Binnenmarktes. Für Deutschland bedeutete die DSGVO, dass einige Regelungen des Bundesdatenschutzgesetzes angepasst werden mussten und teilweise auch neue Datenschutzregeln eingeführt wurden.

  • Das Marktortprinzip stellt dabei sicher, dass das EU-Datenschutzrecht auch für außereuropäische Unternehmen gilt, wenn diese ihre Waren oder Dienstleistungen im EU-Binnenmarkt anbieten. Auch – und das ist z. B. für Microsoft, Google und Co wichtig – wenn die Datenverarbeitung außerhalb Europas stattfindet, sich das Angebot aber an Personen in der EU richtet.
  • Für global agierende IT-Unternehmen außerhalb Europas erfordert dies ein Umdenken. In den USA ist z. B. das Erfassen, Zusammenführen und unbegrenzte Aufbewahren sämtlicher Daten erlaubt, lediglich Finanzdaten und Gesundheitsdaten sind davon ausgenommen. Die dadurch vielfach auch als Datenkraken bezeichneten Branchenriesen aus den USA kritisierten daher bei der Entstehung der europäischen DSGVO vor allem auch zwei Kernelemente: Das Recht auf Löschung sämtlicher Daten sowie die Pflicht zum Einholen einer Einverständniserklärung vor bzw. für das Datensammeln.

Darauf kommt es an: Erlaubnistatbestand und sechs DSGVO-Grundregeln für die Datenverarbeitung

Die DSGVO schreibt für den Datenschutz bei der Verarbeitung personenbezogener Daten grundsätzlich „geeignete technische und organisatorische Maßnahmen“ vor (Art. 25 Absatz 1). Das betrifft einerseits „privacy by design“, um mit geeigneter Hardware, Software und Funktionstrennung den Datenschutz physisch zu gewährleisten. Sowie andererseits „privacy by default“, um durch datenschutzfreundliche Voreinstellungen Benutzerfehler bei der Anwendung zu vermeiden (z. B. aus einfacher Unkenntnis der jeweiligen Mitarbeiter). Darüber hinaus wird auch explizit ein sogenannter „Erlaubnistatbestand“ gefordert sowie die Einhaltung von sechs Grundregeln für die Datenverarbeitung.

Entweder Erlaubnistatbestand oder Einwilligung für das Datensammeln einholen:

Die europäische Datenschutz-Grundverordnung (DSGVO) regelt für den EU-Binnenmarkt, dass die Verarbeitung personenbezogener Daten nur mittels eines sogenannten „Erlaubnistatbestands“ zulässig ist (Art. 6). Das bedeutet eine der folgenden sechs Möglichkeiten:

Einwilligung durch die Person: Die betroffene Person hat eine persönliche Einwilligung gegeben.
Vertraglich erforderlich: Die Datenverarbeitung ist im Rahmen der Erfüllung eines Vertrags erforderlich.
Rechtlich erforderlich: Die Datenverarbeitung wird für die Erfüllung gesetzlicher bzw. rechtlicher Verpflichtungen benötigt.
Schutz des Lebens: Der Schutz lebenswichtiger Interessen macht die Datenverarbeitung erforderlich (z. B. im medizinischen Umfeld).
Öffentliches Interesse: Die Datenverarbeitung erfolgt im Rahmen einer Aufgabe, die im öffentlichen Interesse liegt.
Wahrung berechtigter Interessen: Die Verarbeitung der personenbezogenen Daten dient der Wahrung berechtigter Interessen, entweder des Verantwortlichen oder einer dritten Person – dann ist jedoch eine Interessensabwägung erforderlich.

Die sechs Datenschutz-Grundregeln für die Verarbeitung personenbezogener Daten in der DSGVO:

  1. Rechtmäßigkeit und Transparenz: Die Verarbeitung muss rechtmäßig sein (s. o.) sowie transparent und Schritt für Schritt nachvollziehbar. Das betrifft den Grund, das Ziel, den Zeitpunkt etc.).
  2. Zweckbindung: Die Verarbeitung darf nur für „festgelegte, eindeutige und legitime Zwecke“ erfolgen. Das heißt, der Zweck muss also bereits vor der Erhebung feststehen. Allgemeine Angaben reichen nicht aus. Dadurch soll ein wahlloses Datensammeln verhindert werden.
  3. Datenminimierung: Die Erhebung, Verarbeitung und Speicherung personenbezogener Daten muss dem Zweck angemessen bleiben und auf das „notwendige Maß beschränkt“ werden (nach dem bisherigen Grundsatz der Datensparsamkeit).
  4. Richtigkeit und Korrektur: Es müssen angemessene Maßnahmen getroffen werden, damit unrichtige personenbezogene Daten umgehend gelöscht beziehungsweise korrigiert werden können.
  5. Speicherbegrenzung und Recht auf Vergessen: Die personenbezogenen Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“. Dies bedingt auch das „Recht auf Vergessenwerden“ (Art. 17), also das Löschen der Daten auf Anforderung, sowie auch, wenn diese nicht mehr benötigt werden.
  6. Integrität und Vertraulichkeit: Der Datensammler muss eine angemessene Sicherheit der relevanten Daten sicherstellen, das umfasst die Datensicherheit vor Verlust, Zerstörung oder Beschädigung sowie vor unbefugter beziehungsweise unrechtmäßiger Verarbeitung.

Und Sie?

Wie der Datenschutz und die DSGVO nun konkret bei dem Clouddienst Microsoft Office 365 geregelt wird, lesen Sie in Teil 2 dieses Beitrags im Büro-Kaizen Blog . Neben dem Datenschutz ist aber auch die Datensicherheit ein wichtiges Thema für Unternehmen. Wie Sie sich vor den Verlust Ihrer wichtigen Unternehmensdaten schützen können, lesen Sie hier.

Büro-Kaizen digital: Video Tutorial

20% mehr Effizienz im Unternehmen mit Büro-Kaizen!

Dauer 05:22 Minuten

 



3 Kommentare

Hinterlassen Sie einen Kommentar

Ihre E-Mail Adresse wird nicht öffentlich angezeigt.


Schlagwörter: