Microsoft 365 im Unternehmen

Was muss recht­lich beachtet werden?

In Zeiten von sich verändernden Arbeitsumständen ist die Nutzung von Verwaltungs- und Kommunikationstools mit Anbindung an das Internet nicht mehr wegzudenken. Das bedeutsamste Softwarekonvolut in diesem Bereich dürfte Microsoft 365 darstellen.

 

Mit Microsoft 365 wird Unternehmen ein Softwarepaket geboten, das sämtliche Anforderungen an eine hohe Produktivität innerhalb einer Organisation abdecken soll. Enthalten sind dabei unter anderem die allgemein bekannten Anwendungen und Dienste wie Word, Excel, PowerPoint, Teams und Outlook sowie die Cloudspeicher OneDrive und Sharepoint. Microsoft 365 enthält darüber hinaus zahlreiche weitere Apps, welche zum Teil ausschließlich im Hintergrund arbeiten und in vielen Fällen eine umfassende Datenverarbeitung mit sich bringen.

 

Microsoft 365 bringt damit auch eine Vielzahl rechtlicher Problemstellungen mit in das Unternehmen. Microsoft ist ein US-amerikanischer Konzern und kann durchaus als Unternehmen mit intensiver Datennutzung bezeichnet werden. Bei der Nutzung der unter Microsoft 365 angebotenen Anwendungen, lässt sich die Übermittlung personenbezogener Daten – beispielsweise der IP-Adresse oder von Telemetriedaten – an Server von Microsoft in der Regel kaum vermeiden und nur mit hohem administrativem Aufwand beschränken. Betroffen sind vor allem personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitenden.

 

Zudem kann nicht ausgeschlossen werden, dass Microsoft bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt. Vor allem können personenbezogene Daten an Server mit Standort in den USA übermittelt und dort US-(Überwachungs-)Behörden Zugriff darauf erhalten. Insbesondere werden Daten über die individuelle Nutzung der Microsoft 365 Anwendungen und Dienste durch einzelne Mitarbeiter gesammelt. Mit dem Ende des EU-US Privacy Shield durch das Urteil des Europäischen Gerichtshof (EuGH) im Jahre 2020 ist die Übertragung von personenbezogenen Daten in die USA rechtlich nur mit aufwändigen Begleitmaßnahmen vertretbar. Der EuGH stellte mit dem Urteil unmissverständlich fest, dass das in den USA herrschende Datenschutzniveau, hinter dem der EU zurückbleibt.

 

Um Probleme mit den Datenschutzbehörden und andere rechtliche Widrigkeiten zu vermeiden, ist es für Unternehmen, die Microsoft 365 nutzen ungemein wichtig rechtlich kritische Punkte zu identifizieren und entsprechende Maßnahmen zu treffen.

 

Welche Leistungen können wir Ihnen bieten?

Wir sind eine auf den Bereich des IT- und Datenschutzrechts spezialisierte Rechtsanwaltskanzlei und können Sie umfassend und kompetent zum Einsatz von Microsoft 365 in Ihrem Unternehmen beraten. Unsere Spezialisierung leben wir jeden Tag – durch unser besonderes Interesse an technologischen Entwicklungen können wir unsere juristische Expertise im IT-Recht besonders effizient anwenden.

 

Wir beraten Sie in rechtlicher Hinsicht insbesondere im Zuge der Vorbereitung und des Ausrollens von Microsoft 365 in Ihrem Unternehmen oder nehmen eine nachträgliche Beurteilung der bereits erfolgten Implementierung vor. Darüber hinaus geben wir Ihnen ausführliche Hilfestellungen hinsichtlich der Administration oder beraten Sie im Bereich einer gegebenenfalls erforderlichen Datenschutz­folgenabschätzung. Durch die enge Zusammenarbeit mit kompetenten Informationstechnikern können wir im Rahmen unserer Beratung zudem auch technisch in die Tiefe gehen.

 

Für eine den rechtlichen Anforderungen genügende Administration – insbesondere im Hinblick auf den Datenschutz – sind innerhalb von Microsoft 365 schon für sich genommen circa 250 händische Einstellungen im Administrations-Tool vorzunehmen, sodass Anwendern schnell der Überblick verloren geht.

 

Die Pflicht zur Durchführung einer Datenschutz­folgenabschätzung besteht für Unternehmen vor allem bei der Verarbeitung personenbezogener Daten in großem Umfang oder von Daten besonders schutzwürdiger Personen, zu denen aufgrund einer besonderen Verbundenheit gegenüber dem Arbeitgeber, auch Mitarbeiter des Unternehmens zählen. Diese Schwelle wird bei Nutzung von Microsoft 365 innerhalb eines gesamten Unternehmens schnell erreicht. Die Durchführung einer Datenschutz­folgenabschätzung beinhaltet:

 

  • eine systematische Beschreibung der Verarbeitungsvorgänge, der Zwecke und ggf. der berechtigten Interessen des Verarbeitenden,
  • eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitungsvorgänge,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen sowie
  • geplante Abhilfemaßnahmen zur Bewältigung der Risiken.

 

Die Komplexität der rechtlichen Problemstellungen bei der Nutzung von Microsoft 365 in Unternehmen und die damit einhergehenden Risiken – etwa die Verhängung empfindlicher Bußgelder – erfordern es regelmäßig auf die Expertise von Spezialisten zurückzugreifen.

 

Auf Wunsch stehen wir Ihnen gern beratend zur Seite. Kontaktieren Sie uns per Telefon oder E-Mail und wir klären gemeinsam mit Ihnen den Beratungsbedarf ab.