Drücke "Enter", um den Text zu überspringen.

Neues Datenschutz Management im Microsoft 365 Compliance Center – Teil 3 Datenschutz und Datenfluss

Jedes Datenschutz-Management System und auch das Privacy Management muss selber den hohen Standards des europäischen Datenschutzes genügen. In diesem Beitrag betrachten wir das System unter den Gesichtspunkten des Datenschutzes.

5 teilige Blogserie

  1. Rollen und Einrichtung Privacy Management (folgt)
  2. Funktionen und Möglichkeiten  des Privacy Management 
  3. Datenschutz und Datenfluss beim Privacy Management (hier)
  4. Hinweise zur Rollenverteilung im Unternehmen (folgt)
  5. Zukunft des Privacy Management und Ausblick (folgt)

Sonderbeitrag: Was bringt das Privacy Management in Deutschland? (folgt)

 

privacy management und die Qualität des Datenschutz des Werkzeuges

In diesem Beitrag widme ich mich einem oft vergessenem Thema. Die Werkzeuge zum Schutz von personenbezogenen Daten und zur Verwaltung von Betroffenenanfragen müssen auch den Anforderungen des Datenschutzes genügen.

Beginn der Nutzung

Wenn Sie die Datenschutzverwaltung zum ersten Mal öffnen, werden Sie aufgefordert, zu bestätigen, dass Sie mit den Bedingungen und dem Verfahren zur Bewertung personenbezogener Daten einverstanden sind (weitere Informationen). Sie können die bereitgestellten Links vollständig lesen, bevor Sie fortfahren. Sobald Sie zugestimmt haben, kann es bis zu 24 Stunden dauern, bis die Datenschutzverwaltung Einblicke in die Daten Ihrer Organisation gewährt.

Wenn Sie nicht die erforderliche Rolle innehaben, um das Abonnement zu erhalten oder den Bedingungen für die Nutzung des Datenschutzmanagements zuzustimmen, werden Sie aufgefordert, Ihren globalen Administrator um Hilfe zu bitten”

https://docs.microsoft.com/en-us/microsoft-365/compliance/privacy-management-setup?view=o365-worldwide

 

Vertragsgrundlage

Das neue privacy management soll laut Hinweis im Prozess unter die Online Service Terms fallen und damit unter die Alten und in Zukunft auch die neuen EU Standardvertragsklauseln. 

Dies findet ihr in dem unteren Satz beim Start: 

Online Service Terms genauere Betrachtung

Die Online Service Terms gab es bis Februar 2021 gesondert in einer gesonderten Worddatei mit qualifizierender Unterschrift. Diese findet ihr hier -> archivierte Terms: https://www.microsoft.com/licensing/docs/view/Archived-Online-Services-Terms-OST-documents

Nun gibt es nur noch die Webseite, die die jeweils aktuellen Online Service Terms enthält: https://www.microsoft.com/licensing/terms/de-DE/productoffering 

Das Erfordernis eines Vertrags basiert auf Art. 28 Abs. 3 DSGVO, in dem die Verarbeitung durch den Auftragsverarbeiter nur auf Grundlage eines Vertrags erfolgen soll. Es wird anderes als im alten BDSG jedoch nicht von dem Schriftformerfordernis gesprochen, so dass eine Webseite ausreichen kann, wenn diese wirksam in den Vertrag Einzug gefunden hat und klar ist, welche Version Einzug gefunden hat. Es empfiehlt sich die jeweilige Seite als .pdf zu sichern und ggf. auszudrucken. 

Leider findet sich in den aktuellen OSTs das privacy management nicht (Deutsch + Englisch geprüft): https://www.microsoft.com/licensing/terms/product/PrivacyandSecurityTerms/EAEAS

HIER WIRD NOCH EIN UPDATE ERFOLGEN

 

Ort der Datenverarbeitung

Das Werkzeug selber wird aus der Sicht von Deutschland in Europa (Dublin) gehostet und damit betrieben.

Da es eine Sammlung verschiedener Werkezeuge ist ein genauerer Blick für EU, DE, France und Swiss Tenants:

Werkzeug Ort
Betroffenenanfragen Dublin, Amsterdam (EU)
Datenklassifizierung mit MIP und Retention Dublin, Amsterdam (EU)
Information Types Dublin, Amsterdam (EU)
Policies Dublin, Amsterdam (EU)

 

Folgende Quellen werden ausgewertet

Die folgenden Quellen werden ausgewertet und können überwacht werden.

  • Microsoft Exchange
  • Microsoft SharePoint
  • Microsoft OneDrive
  • Microsoft Teams

keine Quelle, z.B. 

  • Yammer
  • Kazala
  • Group Me

 

Lizenz ? 

Für die Preview muss man eine Lizenz (Trail) erwerben und kann dann 31 Tage lang die Funktion testen. Dies deutet viel darauf hin, dass diese Funktionalität kostenpflichtig wird und wahrscheinlich nicht in allen Lizenzen beinhaltet ist. 

unklarer Sachstand 

 

Fazit

Microsoft hat bei der Umsetzung des Privacy Management auch auf den Datenschutz des Werkzeuges selber geachtet. Jedoch ist die vertragliche Grundlage noch etwas ungenau, da trotz Hinweis ein konkreter Bezug nicht gefunden werden konnte. Die Funktionen können in einem EU oder DE Tenant innerhalb Europas ausgeführt werden.

ACHTUNG: Preview

Es ist und bleibt jedoch eine Preview, also eine Vorschau der Funktionen, für die z.b. keine SLA gilt. Ihr könnt testen, aber solltet es noch nicht produktiv einsetzen. Da viele Werkzeuge heute schon bestehen, nutzt zunächst diese noch produktiv.

 

 

 

 

 

 

 

 

 

 

 

 

Informationen zum Thema Datenschutz und Datenfluss beim Privacy Management findet ihr seit heute hier:

Microsoft-Datenschutzverwaltung (Vorschau) – Microsoft 365 Compliance | Microsoft Docs

Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.