Microsoft 365 in sensiblen Branchen: Warum Datenschutz jetzt höchste Priorität hat

Daten­schutz­ver­stö­ße kön­nen nicht nur teu­er, son­dern auch geschäfts­ge­fähr­dend sein. Beson­ders Unter­neh­men mit sen­si­blen Daten ste­hen zuneh­mend im Fokus von Aufsichtsbehörden.

In den letz­ten Mona­ten haben sich die Hin­wei­se ver­dich­tet: Der Ein­satz von Micro­soft 365 kann in bestimm­ten Bran­chen zu erheb­li­chen recht­li­chen Pro­ble­men füh­ren – ins­be­son­de­re dort, wo mit beson­ders schüt­zens­wer­ten per­so­nen­be­zo­ge­nen Daten gear­bei­tet wird. Der aktu­el­le Fall meh­re­rer Arzt­pra­xen, die auf­grund der Nut­zung von Micro­soft 365 ins Visier von Daten­schutz­be­hör­den gera­ten sind, zeigt deut­lich, wie wich­tig eine rechts­si­che­re IT-Infra­struk­tur gewor­den ist.

Was ist passiert?

Meh­re­re Arzt­pra­xen in Deutsch­land wur­den von ihren Hos­ting-Pro­vi­dern dar­auf hin­ge­wie­sen, dass der Ein­satz von Micro­soft 365 daten­schutz­recht­lich pro­ble­ma­tisch sein könn­te. Hin­ter­grund ist die Ein­schät­zung deut­scher Auf­sichts­be­hör­den, dass Micro­soft 365 in sei­ner aktu­el­len Form nicht voll­stän­dig kon­form zur Daten­schutz-Grund­ver­ord­nung (DSGVO) sei. Beson­ders pro­ble­ma­tisch: die mög­li­che Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­staa­ten wie die USA sowie die man­geln­de Trans­pa­renz bei der Daten­ver­ar­bei­tung durch Microsoft.

Warum betrifft das auch kleine Unternehmen?

Auch wenn der Fall zunächst wie ein bran­chen­spe­zi­fi­sches Pro­blem aus­sieht, betrifft er in Wahr­heit eine viel brei­te­re Ziel­grup­pe. Denn Micro­soft 365 ist in klei­nen und mitt­le­ren Unter­neh­men weit ver­brei­tet – nicht nur im Gesund­heits­we­sen. Über­all dort, wo mit per­so­nen­be­zo­ge­nen Daten gear­bei­tet wird – sei es in der Kun­den­be­treu­ung, Buch­hal­tung oder Per­so­nal­ver­wal­tung – sind die Vor­ga­ben der DSGVO zwin­gend einzuhalten.

Datenschutzaufsicht wird strenger

Daten­schutz­be­hör­den in Deutsch­land und Euro­pa ver­schär­fen ihre Kon­trol­len. Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) hat­te bereits in der Ver­gan­gen­heit Zwei­fel an der DSGVO-Kon­for­mi­tät von Micro­soft 365 geäu­ßert. Mit der zuneh­men­den Sen­si­bi­li­sie­rung der Öffent­lich­keit und der wach­sen­den Zahl an Beschwer­den wird deut­lich, dass Ver­stö­ße schnel­ler erkannt und geahn­det wer­den. Buß­gel­der in sechs­stel­li­ger Höhe sind kei­ne Sel­ten­heit mehr – selbst für klei­ne­re Betriebe.

Was sind die konkreten Risiken beim Einsatz von Microsoft 365?

• Unkla­re Daten­flüs­se: Es ist oft nicht trans­pa­rent, wel­che Daten wohin über­tra­gen werden.
• Daten­über­mitt­lung in Dritt­staa­ten: Die Ein­bin­dung von US-Diens­ten kann pro­ble­ma­tisch sein.
• Feh­len­de tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Datensicherheit.
• Feh­len­de oder unzu­rei­chen­de Auftragsverarbeitungsverträge.
• Unzu­rei­chen­de Doku­men­ta­ti­on und Nach­weis­pflich­ten gegen­über Behörden.

Was können Unternehmen jetzt tun?

Unter­neh­men soll­ten ihre IT-Land­schaft kri­tisch prü­fen und ins­be­son­de­re die ein­ge­setz­ten Cloud-Diens­te auf ihre Daten­schutz­kon­for­mi­tät ana­ly­sie­ren las­sen. Eine daten­schutz­recht­li­che Bewer­tung durch IT-Exper­ten kann hel­fen, bestehen­de Risi­ken zu iden­ti­fi­zie­ren und zu mini­mie­ren. In vie­len Fäl­len ist es mög­lich, Micro­soft 365 wei­ter­hin zu nut­zen – aller­dings mit geziel­ten Anpas­sun­gen und zusätz­li­chen Schutzmaßnahmen.

Empfohlene Maßnahmen:

• Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung (DSFA) für Micro­soft 365.
• Über­prü­fung vor­han­de­ner Ver­trä­ge mit Micro­soft, ins­be­son­de­re AV-Verträge.
• Imple­men­tie­rung tech­ni­scher Schutz­maß­nah­men wie Ver­schlüs­se­lung und Zugriffskontrollen.
• Schu­lung der Mit­ar­bei­ter im Umgang mit sen­si­blen Daten.
• Regel­mä­ßi­ge Audits und Doku­men­ta­ti­on aller daten­schutz­re­le­van­ten Prozesse.

Alternativen zu Microsoft 365?

In bestimm­ten Fäl­len kann es sinn­voll sein, auf daten­schutz­freund­li­che­re Alter­na­ti­ven zu Micro­soft 365 umzu­stei­gen – ins­be­son­de­re wenn kei­ne rechts­si­che­re Nut­zung gewähr­leis­tet wer­den kann. Es exis­tie­ren leis­tungs­fä­hi­ge euro­päi­sche Cloud-Lösun­gen, die voll­stän­dig DSGVO-kon­form betrie­ben wer­den und spe­zi­ell für klei­ne und mitt­le­re Unter­neh­men ent­wi­ckelt wurden.

Wich­tig ist jedoch: Ein Wech­sel soll­te wohl­über­legt und stra­te­gisch geplant erfol­gen. Dabei ist nicht nur der Daten­schutz, son­dern auch die Kom­pa­ti­bi­li­tät mit bestehen­den Sys­te­men und Arbeits­ab­läu­fen zu berücksichtigen.

Fazit: Handeln statt warten

Die recht­li­chen Risi­ken beim Ein­satz von Micro­soft 365 sind real – beson­ders für Unter­neh­men, die mit sen­si­blen Daten arbei­ten. Spä­tes­tens jetzt soll­ten Unter­neh­men aktiv wer­den und ihre IT-Infra­struk­tur auf den Prüf­stand stel­len. Denn Daten­schutz ist kein läs­ti­ges Anhäng­sel, son­dern ein zen­tra­ler Bestand­teil moder­ner Unter­neh­mens­füh­rung. Wer früh­zei­tig han­delt, schützt nicht nur sei­ne Kun­den und Mit­ar­bei­ter, son­dern auch das eige­ne Unter­neh­men vor emp­find­li­chen Stra­fen und Imageschäden.

Sie benötigen Unterstützung?

Die JARVIS IT-Dienst­leis­tun­gen GmbH unter­stützt Sie bei der daten­schutz­kon­for­men Nut­zung von Micro­soft 365 und der Absi­che­rung Ihrer IT-Infra­struk­tur. Wir ana­ly­sie­ren Ihre Sys­te­me, bera­ten Sie indi­vi­du­ell und set­zen gemein­sam mit Ihnen rechts­si­che­re Lösun­gen um – maß­ge­schnei­dert für Ihr Unternehmen.

Kon­tak­tie­ren Sie uns noch heu­te – bevor es zu spät ist.