IT und Recht, Cloud und mehr
Zu Ende Mai hat der Landesdatenschutz Bayern die Hinweise und Guideline zur Durchführung einer DSFA aktualisiert. Meiner Ansicht nach gehört dies zur Pflichtlektüre, deshalb hier auch alle Links und der direkte Link zur aktualisieren und nun umfangreicheren Variante:
Das niederländische Justizministerium (Ministerie van Justitie) hat am 16. Februar 2022 eine Datenschutzfolgenabschätzung zu SharePoint Online, OneDrive for Business, SharePoint Online und Azure AD, sowie Microsoft Teams auf 121 Seiten veröffentlicht.
Die Großkanzlei PWC hat im Projekt Office 365 EDU für Schulen des Kultusministeriums Baden-Württemberg die Datenschutzfolgenabschätzung nach Art 35 DSGVO durchgeführt. Dies ist nun durch eine IFG Anfrage öffentlich geworden in der große Teile der DSFA nun veröffentlich worden sind.
Der Betrieb von IT-Systemen und die Verschiebung dieser in die Cloud großer US Dienstanbieter stellt IT Teams vor größere Herausforderungen. Im Speziellen ist der Evergreenansatz und damit immer neuen Funktionen in den verschiedensten Werkzeugen muss der Überblick behalten werden. Dazu kommt auch die Anforderungen die richtigen Schritte abzuleiten.
Eine Datenschutzfolgenabschätzung für Microsoft 365 wird aktuell sehr häufig durchgeführt, sei es für einzelne Produkte wie SharePoint Online, Exchange Online oder Microsoft Teams oder auch gesamt. Microsoft stellt hierfür an verschiedenen Stellen Informationen zur Verfügung.
Der Landesdatenschutz in Niedersachsen hat ein Prüfschema zur Prüfung der Erforderlichkeit einer Durchführung einer DSFA auf seiner Webseite veröffentlicht. Dieses Prüfschema soll Unternehmen unterstützen, ob und wann eine DSFA (Art. 35 DSGVO) durchgeführt werden muss:
Die Artikel 35 und 36 der Datenschutzgrundverordnung (DSGVO) verpflichten Unternehmen und Organisationen unter bestimmten(?) Voraussetzungen eine Datenschutzfolgenabschätzung durchzuführen und ggf. dies auch in Zusammenarbeit mit der zuständigen Landesdatenschutzbehörde. Diese Pflicht besteht, wenn es sich bei der Datenverarbeitung um ein voraussichtlich hohes Grundrechtsrisiko mit sich bringt. Der Artikel 35 DSGVO nennt bereits Fallgruppen, wie “Profiling” oder die “systematische umfangreiche Videoüberwachung”. Die Frage ist jedoch, welche Kriterien gibt es und welche Fallgruppen.