Datenschutzrecht: Microsoft Office 365 und DSFA (Datenschutz-Folgenabschätzung) nach DSGVO

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Der Artikel behandelt zunächst die allgemeine Datenschutzfolgenabschätzung (DSFA) anschließend unsere Kommentierung am Anwendungsbeispiel die Datenschutzfolgenabschätzung zu Microsoft Office 365.

Datenschutzfolgenabschätzung allgemein (DSFA)

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Nach Abs. 1 S. 1 haben Verantwortliche für Verarbeitungsvorgänge bei denen voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen bestehen, vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten vorzunehmen. Als Beispiel einer solchen Verarbeitung wird der Einsatz neuer Technologien genannt. Problematisch ist hierbei, dass in der DS-GVO keine Definition für den Begriff der „neuen Technologie“ gegeben ist. Für die Bewertung eines Risikos ist entscheidend, welche Informationen aus den Daten über eine Person gewonnen werden können, unabhängig von der Art oder der Menge an Daten. Der Erwägungsgrund 75 liefert für die Risikobewertung unabhängig von der Eintrittswahrscheinlichkeit und der Schwere hilfreiche Parameter. Entscheidender Teil einer DSFA ist es demnach, eine Liste zu erstellen, in der für die geplante Datenverarbeitung jedes potenzielle Risiko aufgeführt und mit entsprechenden Risikominimierungsmaßnahmen versehen wird.

Der Verantwortliche holt bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten ein (Abs. 2). Ein Zurate ziehen geht über die bloße Beteiligung hinaus und beinhaltet eine aktive Teilnahme. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist dort Pflicht, wo die unternehmerische Kerntätigkeit entweder die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DS-GVO) die umfangreiche Verarbeitung besonderer Datenkategorien gem. Art. 9 DS-GVO oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten gem. Art. 10 DS-GVO beinhaltet.

In Abs. 3 werden abstrakte Beispielsfälle genannt, in denen eine Datenschutz-Folgenabschätzung insbesondere erforderlich, die Auflistung ist also gerade nicht abschließend. Bespiele hierfür sind das Profiling, Scoring oder das Tracking. Zu betrachten ist an dieser Stelle demnach nicht das Bewertungsverfahren als solches, sondern die Datenverarbeitung, die auf der Grundlage der Bewertung (z.B. eines Profilings) zu einer automatisierten Entscheidung führt.

Abs. 4 - 6 regeln verpflichtende Positiv- und freiwillige Negativlisten. Der Verarbeitende kann dazu verpflichtet sein, den Standpunkt betroffener Personen einzuholen (Abs. 9) oder die Einhaltung der Datenschutz-Folgenabschätzung bei der Verarbeitung zu kontrollieren, insbesondere bei einer Risikoänderung (Abs. 11).

In Abs. 7 ist geregelt, was eine Datenschutz-Folgenabschätzung jedenfalls zu enthalten hat Mindestprüfelemente: systematische Beschreibung der geplante Verarbeitungsvorgänge, Zwecke der Verarbeitung, verfolgte berechtigte Interessen des Verantwortlichen; Bewertung der Notwendigkeit sowie Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; Bewertung der Risiken für Rechte und Freiheiten betroffener Personen (Abs. 1); zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Neben den materiellen Vorgaben des Art. 35 Abs. 7 DS-GVO sind bei der Einschätzung der datenschutzrechtlichen Auswirkungen auch genehmigte Verhaltensregeln in Abs. 8 zu berücksichtigen. Die Verhaltensregeln werden gem. Art. 40 Abs. 5 und 6 DS-GVO von Interessensverbänden erarbeitet und von der zuständigen Aufsichtsbehörde (Art. 55 DS-GVO) genehmigt und in einem Verzeichnis veröffentlicht.

Eine weitere Verpflichtung für den Verantwortlichen i.R.e. DSFA ist die Einholung des Standpunkts der betroffenen Personen gem. Abs. 9. Der Standpunkt der betroffenen Person ist gem. Art. 22 Abs. 3 DS-GVO für bestimmte Fälle automatisierter Entscheidungen (einschließlich Profiling) relevant und wird auch im Erwägungsgrund 71 explizit erwähnt. Da Verarbeitungsvorgänge unter Bezugnahme auf die Bewertung persönlicher Aspekte (Profiling) in jedem Fall einer DSFA zu unterziehen sind, ist in diesem Fall die Einholung des Standpunkts der betroffenen Person ein Prüfungselement.

Die DSGVO macht keine weiteren Vorgaben zur Dokumentation. Dadurch besteht zum einen zwar eine gewisse Freiheit, zum anderen entsteht aber auch Unsicherheit. Teilweise wird sich direkt an Art. 35 DSGVO orientiert, andere beziehen sich stark auf das Working Paper 248 der Artikel-29-Gruppe.

Anmerkung zur Stellungnahme des EU-Datenschutzbeauftragten zur DSFA

Der Europäische Datenschutzbeauftragte äußerte sich am 16.07.2019 in einer Stellungnahme indirekt zu der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist. Bezug nahm er dabei zwar eigentlich auf Art. 39 (Absatz 4 und 5) der Verordnung (EU) 2018/1725 des Europäischen Parlaments und Rates vom 23. Oktober 2018. Dieser steht nach unserer Auffassung im Wesentlichen dem Inhalt des Art. 35 DSGVO gleich. Aus der Stellungnahme ging keine abschließende Fallliste hervor, die genau klärt, wann Die Vornahme einer Datenschutz-Folgenabschätzung erforderlich ist. Stattdessen wurden Kriterien aufgezeigt, bei denen ein hohes Risiko für Betroffene besteht. Diese sind im Anhang 1 der Stellungnahme aufgelistet. Wenn mindestens zwei der Kriterien erfüllt sind, sollte der Verantwortliche in der Regel eine Datenschutz-Folgenabschätzung durchführen:

„Where two or more of the criteria in the template in Annex 1 are applicable, the controller shall in general carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 2)

Im Falle einer Gegenentscheidung sollte dies dokumentiert und begründet werden. Denn nach der Auffassung des Europäischen Datenschutzbeauftragten kann bereits ein einziger Treffer eine Datenschutz-Folgenabschätzung erforderlich machen:

„If a controller decides not to carry out a DPIA, although more than one criterion in the template in Annex 1 is applicable, the controller shall document and justify that decision. If planned processing operations only trigger one criterion in the template in Annex 1, the controller may still decide to carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 3 und 4 der Stellungnahme).

Die neun Kriterien überschneiden sich mit denen aus dem Working Paper 248 der Artikel-29-Gruppe. Die aufgeführten (Gegen-) Beispiele helfen die abstrakt bleibenden gesetzlichen Vorgaben des Art. 35 I DSGVO zu veranschaulichen. Hilfreich könnte noch die ergänzende Liste aus Anhang 2 sein.

Bundesdatenschutzbeauftragter zur Datenschutzfolgenabschätzung / DSFA

Der Bundesbeauftragter für den Datenschutz und die Informationsfreiheit verweist in seinem 27. Tätigkeitsbericht für Kriterien zur Datenschutz-Folgenabschätzung über einen Infokasten explizit auf das Working Paper 248 der Artikel-29-Gruppe:

 „Das Dokument „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP 248) nennt die folgenden neun Kriterien dafür, dass eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Betroffenen mit sich bringt:

  • Bewerten oder Einstufen (Scoring)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Systematische Überwachung
  • Vertrauliche oder höchst persönliche Daten
  • Datenverarbeitung in großem Umfang
  • Abgleichen oder Zusammenführen von Datensätzen
  • Daten zu schutzbedürftigen Betroffenen
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Die Verarbeitung an sich hindert Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags.“

(BfDI, Tätigkeitsbericht 2017-2018, S. 107)

Treffen zwei dieser Kriterien auf einen Verarbeitungsvorgang zu, sollte der Verantwortliche grundsätzlich eine Datenschutz-Folgenabschätzung vornehmen. Verbindlich sind jedoch die jeweiligen „Muss-Listen“. Gibt es hier einen Treffer, ist der Verantwortliche immer verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen.

Auf der Internetseite des Bundesdatenschutzbeauftragter wird auch auf das WP 248 als Leitlinien zur Datenschutz-Folgenabschätzung und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ verlinkt. Ein eigenes Prüfungsschema zum genauen Vorgehen wurde allerdings veröffentlicht. Nach unserer Ansicht ist davon auszugehen, dass eine Orientierung an WP 248 gewünscht ist. Zudem wird auf das Kurzpapier Nr. 5 der der unabhängigen Datenschutzbehörden des Bundes und der Länder verlinkt.

Datenschutzfolgenabschätzung / DSFA und Muss-Kisten bzw. Positivlisten 

Artikel 35 IV DSGVO verpflichtet die Datenschutzaufsichtsbehörden zur Veröffentlichung einer Liste von Verarbeitungsvorgängen, für die immer eine Datenschutz-Folgenabschätzung erforderlich ist, weil voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht. Dann ist nach Art. 35 I DS-GVO eine Datenschutz-Folgenabschätzung von den Verantwortlichen durchzuführen.

BfDI (Bund): Positivliste für öffentliche Stellen des Bundes

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK): gemeinsame Positivliste für nicht-öffentlichen Bereich

LfDI Baden-Württemberg: Positivliste für nicht-öffentlichen Bereich  

LfDI Bremen: Positivliste für nicht-öffentlichen Bereich

LfD Niedersachsen: Positivliste für öffentlichen Bereich  

LfD Bayern: Positivliste für öffentlichen Bereich  

LDI Nordrhein-Westfalen: Positivliste für öffentlichen Bereich  

LfDI Mecklenburg-Vorpommern: Positivliste für öffentlichen Bereich

LfDI Rheinland-Pfalz: Positivliste für öffentlichen Bereich

LfDA Brandenburg: Positivliste für öffentlichen Bereich und Positivliste für öffentlichen sowie nicht-öffentlichen Bereich

TLfDI (Thüringen): Positivliste für öffentlichen sowie nicht-öffentlicher Bereich

LfDI Hamburg: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich

LfDI Berlin: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich

ULD Schleswig-Holstein: Positivliste

LfDI Hessen: Positivliste

LfD Sachsen: Positivliste und Begleittext

Der LfD Saarland und LfD Sachsen-Anhalt haben keine eigenen Listen veröffentlicht, es wird aber (wie sonst auch) auf die DSK-Liste verlinkt.

Bisher gibt es in Deutschland noch keine Negativlisten nach § 35 V DSGVO. In Österreich dagegen gibt es beispielsweise eine Liste von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung durchzuführen ist (Link: ListeFragen und Antworten - Datenschutzbehörde (dsb.gv.at)). Der Europäische Datenschutzausschuss soll eine zukünftig für alle EU-Mitgliedstaaten einheitliche und verbindliche Liste erstellen.

Methodik allgemein bei Datenschutzfolgenabschätzung (DSFA)

Die Methodik einer Datenschutzfolgenabschätzung lässt dich aus Art.35 Abs. 2 und 7 DS-GVO entnehmen. Es lassen sich vier Pflichtbestandteile daraus ableiten, einer Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke sowie einer Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit folgt als zentraler Bestandteil die Risikoanalyse. Da die DSGVO selbst keine genauen Vorgaben für eine Risikoanalyse macht, kann diese am sog. Standard-Datenschutzmodell der DSK oder vergleichbaren Methoden angelehnt werden. Demnach lässt sich mit Hilfe von acht Gewährleistungszielen aus dem Bereich der Informationssicherheit ermitteln, wie groß die Eintrittswahrscheinlichkeit von Schäden und ihre voraussichtliche Höhe ist: Je weitergehend diese Ziele erfüllt sind, desto geringer ist das Risiko einzustufen:

  • Vertraulichkeit: Datenzugriff nur durch befugte Personen
  • Datenverfügbarkeit
  • Belastbarkeit der technischen Systeme
  • Integrität: Keine Veränderung der Daten
  • Transparenz: Nachvollziehbarkeit, wer welche Daten zu welchem Zweck verarbeitet, umfassende Information von Betroffenen
  • Datenminimierung: Datenverarbeitung nur soweit für die ursprünglich intendierten Zwecke erforderlich
  • Intervenierbarkeit: Gewährleistung der Betroffenenrechte
  • Nichtverkettung: Keine Verknüpfung mit anderen Daten und keine Verwendung für andere Zwecke

Hierbei ist darauf zu achten, das die Risikoanalyse ohne Einbeziehung von Abhilfemaßnahmen vorgenommen wird. Denn Abhilfemaßnahmen werden erst auf dieser Grundlage anhand der Eintrittswahrscheinlichkeit und Schwere des potentiellen Risikos ermittelt werden. Anschließend erfolgt eine Bewertung des Restrisikos unter Berücksichtigung der getroffenen bzw. geplanten technischen und organisatorischen Maßnahmen, um die Risiken zu reduzieren.

Datenschutzkonforme Nutzung von Microsift Office 365?

Die im cloudbasierenden Softwarepaket Office 365 enthaltenen Anwendungen wie Outlook, Excel, PowerPoint und Word sind aus dem Büroalltag kaum noch wegzudenken. Datenschutzrechtlich ist ihr Einsatz nach unserer Auffassung jedoch problematisch.

Das Niederländische Ministerium für Justiz und Sicherheit gab diesbezüglich im letzten Jahr eine Datenschutz-Folgenabschätzung in Auftrag. Darin wurde insbesondere die Übermittlung von Diagnosedaten beim Einsatz von Office 365 sowie deren umfangreiche Nutzung zu eigenen Zwecken durch Microsoft kritisiert (Link).

Nach Verbesserungen gibt es inzwischen eine neue Datenschutz-Folgenabschätzung. Behörden wird empfohlen die Online-Version und Apps von Office nicht zu verwenden, bis der Datenschutz durch Microsoft verbessert wird (Link). Nachdem es auf technischer und Vertragsseite Anpassungen gab, kann das Softwarepaket aber zumindest auf dem PC DSGVO-konform genutzt werden (Link).

Eine Datenschutzfolgenabschätzung gem. Art. 35 DS-GVO dient dazu besonders risikobehaftete Verarbeitungsvorgänge zuerkennen, zu bewerten und die Risiken im Vorfeld der Verarbeitung effektiv zu senken. Microsoft 365 könnte durch seine vielen unterschiedlichen Anwendungen ein Datenschutzrisiko für Unternehmen sein.

Die Datenschutzkonferenz (DSK) gibt in dem Beschluss vom 22.09.2020 Microsoft 365 eine negative datenschutzrechtliche Bewertung. Zum einen werden die ungenauen Online Service Terms (OST) beanstandet, denn aus diesen, geht nach Ansicht der DSK, zu ungenau hervor, welche Daten zu welchem Zweck verarbeitet werden. Auch gibt Microsoft keine ausreichende Rechtsgrundlage für die Verarbeitung der Daten zu Microsofts eigenen Zweck an, beispielsweise von Telemedien- und Diagnosedaten über die Nutzung und Leistung von Anwendungen und ihrer Komponenten. Zum anderen werden die unzugänglichen Informationen über datenschutzrechtliche Risiken bemängelt. Des Weiteren ist aus Sicht der DSK fraglich inwiefern Daten an US-Behören auf Grundlage von nationalen Gesetzen, wie beispielsweise den CLOUD Act, herausgegeben werden. Damit kommt die DSK zu dem Schluss, auf der Basis der untersuchten Unterlagen kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist. (Quelle: https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf)

Diese Bewertung ist innerhalb des Gremiums der DSK sehr umstritten. Die Datenaufsichtsbehörden Baden-Württemberg, Bayerns, Hessens, und des Saarlands können der Gesamtbewertung der DSK nicht teilen. Zwar stimmen die genannten Datenaufsichtsbehörden mit der Meinung der DSK über ein, dass datenschutzrechtliche Verbesserungspotenzial bei Microsoft 365, vor allem mit Blick auf das „Schrems-II“-Urteil des EuGH, herrscht. Jedoch wurde die Entscheidung auf Grundlage von Vertragsbestimmungen getroffen, welche in der Zwischenzeit bereit zweimal von Microsoft überarbeitet wurden. (Quelle: https://www.datenschutz-bayern.de/presse/20201002_365.pdf)

DSFA für Microsoft 365

Der Umfang und die Bewertung der DSFA ist von dem jeweiligen Einzelfall und der unterschiedlichen Faktoren wie der abgeschlossenen Lizenzvereinbarung, der Anzahl der softwarenutzenden Mitarbeiter, der eingesetzten Module, der vorgenommenen Einstellungen und der Verarbeitungszwecke, abhängig.

Im Rahmen einer DSFA muss dokumentiert werden, welche Daten verarbeitet werden. Hierfür ist aufzulisten, welche Tools von Microsoft 365 zum Einsatz kommen. Weiter muss dokumentiert werden welche Mitarbeiter die Software nutzen bzw. Zugriff darauf haben. Da bei der Nutzung von Microsoft 365 die unterschiedlichsten Daten verarbeiten werden,  müssen diese genau benannt werden. Zu den verarbeiteten Daten zählen Inhalts- und Kundendaten (z. B. Ton-, Video- und Bilddateien) ebenso wie Telemetrie‑, Diagnose- und Metadaten, etwa Informationen über die Nutzung der Software oder die Erstellungszeitpunkte von Dateien usw. Auch können temporäre Funktionsdaten erhoben werden, die insbesondere für die über das Internet laufenden Dienste wie der Anmeldung benötigt werden.

So unterschiedlich die erhobenen Daten sind so unterschiedlich sind auch die Verarbeitungszwecke der Daten. Deshalb muss differenziert werden, zu welchem Zweck die Daten verarbeitet werden. So werden Diagnosedaten beispielsweise in der Regel erhoben, um den nötigen Support durch Maßnahmen wie Fehlerbehebung gewährleisten zu können. Während bei OneDrive werden Daten erhoben, um diese in der Cloud mit denen auf dem PC zu synchronisieren, bietet hingegen Teams eine Chatfunktion und dient der  audiovisuellen Kommunikation unterschiedlicher Nutzer und Gäste. Als übergeordneter und gemeinsamer Zweck der Komponenten von Microsoft 365 wird häufig die (Zusammen-)Arbeit und Kommunikation der Mitarbeiter, Kunden, Partner und Dienstleister des jeweiligen Unternehmens über eine Plattform anzusehen sein. Die Zweckbeschreibung sollte jedoch immer abhängig von der konkret geplanten Nutzung weiter konkretisiert werden.

Da die DSGVO selbst keine genauen Vorgaben für eine Risikoanalyse macht, kann diese am sog. Standard-Datenschutzmodell der DSK oder vergleichbaren Methoden angelehnt werden.

Nachdem das Risiko bewertet ist, müssen angemessene Abhilfemaßnahmen festgelegt werden. Durch das Unternehmen müssen vor allem organisatorische Maßnahmen getroffen werden, da die technischen Maßnahmen von Microsoft selbst getroffen werden. Das Datenschutzniveau kann durch Einstellungen, die der Nutzer selbst vornehmen kann erhöht werden. So kann der Nutzer beispielsweise die Rechenzentren auswählen, in denen Microsoft die Daten speichern darf. So kann sichergestellt werden, dass die Daten in der EU verarbeitet werden. Dies ist besonders nach dem „Schrems II“-Urteil des EuGH (https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18) risikomildert. Bislang konnten Datentransfers in die USA auf das Privacy-Shield-Abkommen gestützt werden. Der EuGH verneinte jedoch das ein mit der DS-GVO vergleichbares Datenschutzniveau in den USA herrscht und kippte somit das Abkommen. Begründet wurde das vor allem mit weitreichenden Zugriffsrechten von US-Behörden auf Daten aufgrund nationaler Sicherheitsgesetze sowie mangelnder Rechtsschutzgarantien. Unternehmen müssen für Datentransfers in die USA daher nun auf sog. Standardvertragsklauseln (SCC) zurückgreifen. Diese stellt Microsoft als Bestandteil der Standardverträge zur Verfügung. Darüber hinaus muss jeweils für den eigenen Fall geprüft werden, wie das Datenschutzniveau in Bezug auf die konkreten Datenübermittlungen über Microsoft 365 zu bewerten ist, ggf. müssen zusätzliche Maßnahmen geprüft und umgesetzt werden, um ein ausreichendes Datenschutzniveau gewährleisten zu können. Zudem können weitere Informationspflichten und/oder die Verpflichtung zur Ende-zu-Ende-Verpflichtung hinzukommen.

Ein Zugriff durch externe Dienstleister und Microsoft USA ist jedoch nicht gänzlich auszuschließen. Die folgenden Einstellungen können als Maßnahmen gegen das datenschutzrechtliche Risiko beim Einsatz von Microsoft 365 vorgenommen bzw. als Funktionen deaktiviert werden:

  • Die Verarbeitung der Diagnosedaten sollte minimiert werden. In den Einstellungen befindet sich dafür die Möglichkeit, bei der Verarbeitung von Diagnosedaten „weder noch“ anzugeben.
  • Die Synchronisation von Telemetriedaten sollte deaktiviert werden. Hier kann die Einstellung „Sicherheit“ vorgenommen werden.
  • Das Customer Experience Improvement Program (CEIP) von Microsoft ist eine Anwendung zur Verbesserung der Nutzerfreundlichkeit, die zu diesem Zweck automatisch Informationen über die Nutzung der Software und Softwarekomponenten sowie von Geräten übersendet. Dazu gehören zum Beispiel Art und Anzahl auftretender Fehler oder die Geschwindigkeit der Microsoft-Dienste. Laut Äußerungen von Microsoft handelt es sich hierbei nur um anonyme Daten, dennoch kann und sollte die Übermittlung deaktiviert werden.
  • Die Anwendung der Connected Experiences analysiert die Inhalte des Nutzers, um „Designempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Funktionen bereitzustellen“. Da es sich hier um eine Verarbeitung von Inhaltsdaten geht, sollte diese Anwendung ebenfalls deaktiviert werden. Dies wirkt sich jedoch nachteilig aus, indem manche Dienste wie 3D-Karten, die Einbettung von Online-Bildern und -Videos oder Übersetzer nicht mehr nutzbar sind.
  • Auch die LinkedIn-Integration von Mitarbeiterkonten sollte ausgestellt werden. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.
  • Workplace Analytics stellt Analysewerkzeuge für die Auswertung des Arbeitsverhaltens durch die Zusammenführung von Informationen aus E-Mail-Konten, Dokumenten und Kalendern wie die Dauer von Besprechungen, Anzahl von Terminen oder Intensität der E-Mail-Interaktion zur Verfügung. Diese sollten nicht verwendet werden.
  • Bei den activity reports, die Aufschluss darüber geben, welcher Mitarbeiter welche Dienste wie häufig nutzt, sollten die Nutzerdaten ausgeblendet werden.
  • Sofern Workplace Analytics oder Activity Reports doch genutzt werden, ist vor Aktivierung ggf. eine eigene Datenschutzfolgenabschätzung durchzuführen und der Betriebsrat in Kenntnis zu setzen. Das Plugin „Insights“ sollte dabei nicht installiert werden, da hierbei zusätzliche Informationen für die Analytics-Analyse gesammelt werden.

Unser Fazit zur Datenschutzfolgenabschätzung DSFA

Es ist festzustellen, dass aufgrund vieler Möglichkeiten, das Datenschutzniveau zu steigern, ein rechtskonformer Einsatz durchaus möglich ist. Eine DSFA mit konkreten Abhilfemaßnahmen dürfte allerdings in vielen Fällen dafür Voraussetzung sein. Mit dieser sollten sich Unternehmen frühzeitig beschäftigen, um keine Rechtsverletzungen und damit verbundene Bußgelder zu riskieren. Es sollte mit einem gewissen Aufwand gerechnet werden, jedoch können mit der DSFA neben datenschutzrechtlichen auch organisatorische und andere Probleme erfasst, neu bewertet und behoben werden.

 

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme.... Weiterlesen

Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz.... Weiterlesen

Unterlassungserklärung / mod. UE was ist das und wie weit reicht ihr Wirkungsumfang?

Was versteht man eigentlich unter einer Unterlassungserklärung? Durch eine Unterlassungserklärung, auch als mod. UE abgekürzt, verpflichtet sich der... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay... Weiterlesen

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung ... Weiterlesen

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator... Weiterlesen