Aufsichtsbehörde fasst Datenschutzproblematik zu Office 365 zusammen
Nach Auffassung de des LfDI Rheinland-Pfalz gründet die mit der Nutzung von Office 365 verbundene Problematik auf technischen und rechtlichen Faktoren. Bspw. lassen sich nach Bewertung der Aufsichtsbehörde bei der Nutzung weder eine Übermittlung bestimmter Nutzungsdaten, wie bspw. die IP-Adresse vermeiden, noch die Verwendung bestimmter Nutzungsdaten vom Anbieter für eigene Zwecke oder gar die Weitergabe an Werbepartner vermeiden, obwohl hierfür ggf. keine rechtliche Grundlage angeführt werden könne.
Auch wenn die Weitergabe aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit der Inanspruchnahme eines Auftragsverarbeiters nach Art. 28 Abs. 3 DS-GVO legitimieren ließe, bliebe nach dem sog. Schrems II-Urteil des EuGH als grundsätzliches Problem, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.
Nachfolgend geht der LfDI Rheinland-Pfalz auf folgende Fragestellungen ein:
- Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?
- Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?
- Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft Office 365 denkbar?
- Welche ,,Nutzungsdaten“ werden bei Microsoft Office 365 übermittelt
- Welche technisch-organisatorischen Maßnahmen können getroffen werden, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden?
- Wie ist die Nutzung von Microsoft Office 365 auf Tablets oder Smartphones zu bewerten?
Auch wenn die Antworten auf diese häufig gestellten Fragen letztliche keine tatsächliche Lösung für die brennenden Probleme der Verantwortlichen bringen dürften, kann die FAQ zumindest als kompakte Zusammenfassung der aktuell diskutierten Themen einen gewissen Mehrwert bieten.
LfDI Rheinland-Pfalz
(Foto: denizn – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
