DSFA: Leitfaden für MS 365

Microsoft vertritt die Auffassung, dass es in Microsoft Office 365 nichts gibt, das notwendigerweise die Erstellung einer DPIA/DSFA durch einen Datenverantwortlichen erfordern würde. Die etwaige Notwendigkeit eine DSFA durchzuführen hinge davon ab, wie der Verantwortliche Office 365 bereitstellt, konfiguriert und verwendet.

Mit anderen Worten: In dem Zustand, den Microsoft MS 365 zur Nutzung bereitstellt, geht von den Anwendungen kein derartiges Risiko aus, welches eine Abschätzung des Risikos nach Art. 35 DS-GVO auslösen würde. Erst der Verantwortliche schafft durch die Art und die Zwecke für die er die Socftware verwendet ein Risiko, welches ggf. innerhalb einer DSFA zu betrachten ist.
Unabhängig davon, ob man diese Auffassung überzeugend findet, kann der interessierte Verantwortliche auf den Seiten von Microsoft einen neuen Leitfaden abrufen, wie eine DSFA zu MS 365 durchgeführt werden könnte.

Teil 1 des bereigestellten Dokuments bietet den Verantwortlichen Informationen zu Office 365, die ihm als Datenverantwortlicher bei der Entscheidung helfen sollen, ob eine DSFA erforderlich ist. Sollte dies der Fall sein, findet der Verantwolrtliche in den Teilen 2 und 3 weitere Informationen von Microsoft, die ihm bei der Erstellung einer DSFA unterstützen sollen.

Teil 2 enthält allgemeine Antworten, die für alle Office 365-Dienste und die notwendigen Elemente einer DPIA relevant sind. In Teil 3 werden produktspezifische Informationen bereitgestellt, die auf die wichtigsten Informationsanforderungen der Kunden abgestimmt sind, um deren eigene DSFA zu erstellen. Zudem enthält Teil 3 ein beispielhaftes DSFA-Dokument, das heruntergeladen und angepasst werden kann, um die Erstellung einer DSFA zu erleichtern.

Office 365 umfasst Anwendungen und Dienste wie Exchange Online, SharePoint, OneDrive für Arbeit und Schule, Viva Engage und Microsoft Teams. Eine umfassendere Liste der über Office 365 verfügbaren Dienste finden Interessierte in den Tabellen 1 und 2 des Office 365-Leitfadens – Antrag einer betroffenen Person.


Letztes Update:07.07.24

  • EU Datenstrategie

    Der DSB im Dickicht der Europäischen Datenstrategie

    Die EU-Datenstrategie ist eine umfassende Initiative der Europäischen Union, die darauf abzielt, den digitalen Binnenmarkt zu stärken und Europa weltweit wettbewerbsfähiger zu machen, indem die Nutzung von Daten gefördert und reguliert wird. Diese Strategie ist ein zentraler Bestandteil der digitalen Transformation Europas und umfasst verschiedene Maßnahmen und Gesetzgebungen, die den rechtlichen Rahmen für den Umgang

    Mehr erfahren
  • Folge 57: KI-Kompetenz Pflichten und Chancen für Unternehmen

    Am 12. Juli 2024 wird die KI-Verordnung im Amtsblatt der EU veröffentlicht und tritt am 1. August 2024 in Kraft. Was ist ein KI-System und was bedeutet es, dass es autonom agiert? Warum kann KI nicht denken und trotzdem sinnvoll in menschlicher Sprache antworten und Fragen stellen? Welche Nutzung von KI-Systemen ist gefahrlos möglich? Wo

    Mehr erfahren
  • Audit Messenger

    Standardisierte Prüfung von Messengern

    Der Europäische Datenschutzausschus (EDSA) hatte bereits auf den Vorschlag des BfDI die Umsetzung des Auskunfsrechts durch die für die Verarbeitung Verantwortlichen gemäß Art. 15 DS-GVO als Thema für seine dritte koordinierte Durchsetzungsmaßnahme in 2024 beschlossen. Die koordinierten Maßnahmen erfolgen auf Basis des Beschlusses des EDSA aus Oktober 2020, einen koordinierten Durchsetzungsrahmen (Coordinated Enforcement Framework –

    Mehr erfahren