Eine Datenschutzfolgenabschätzung für Microsoft 365 wird aktuell sehr häufig durchgeführt, sei es für einzelne Produkte wie SharePoint Online, Exchange Online oder Microsoft Teams oder auch gesamt. Microsoft stellt hierfür an verschiedenen Stellen Informationen zur Verfügung.
Aktualisierung von 4.4.2021
Am 4.4.2021 wurde die beispielsartige und nicht vollständige DSFA von Microsoft nun aktualisiert. Hierbei wurden einige Ergänzungen gemacht und Verbesserungen, die auch ich per Github eingebracht habe, angenommen.
Datenschutz-Folgenabschätzung – Microsoft GDPR | Microsoft Docs
Grundsatz DSFA von Microsoft
Viele Kunden und Nutzer meinen, dass eine DSFA durch Microsoft generell bereitgestellt werden muss und auch kann. Diese wäre doch für alle Unternehmen gleich und der Hersteller könnte dies doch am Besten.
Diesem Irrtum erliegen leider einige, so dass natürlich die DSFA in der Dokumentation nicht 1 zu 1 kopiert und übernommen werden kann. Eine DSFA ist eine konkrete Betrachtung der Risiken für die Betroffenen und eben deren personenbezogenen Daten. Unternehmen setzen Microsoft 365 in einem gewissen Maße sehr parallel ein, aber nicht gleich. So, dass eben eine DSFA nie von einem Unternehmen zu einem anderen übernommen werden kann, durch den unterschiedlichen Einsatz und damit die Verarbeitung unterschiedlicher Kategorien von Daten und unterschiedlicher Anforderungen. Microsoft selber wird nie eine DSFA zur Verfügung stellen, diese muss immer über Dienstleister zusammen mit dem Verantwortlichen erfolgen.