Jedes Datenschutz-Management System und auch das Privacy Management muss selber den hohen Standards des europäischen Datenschutzes genügen. In diesem Beitrag betrachten wir das System unter den Gesichtspunkten des Datenschutzes.
5 teilige Blogserie
- Rollen und Einrichtung Privacy Management (folgt)
- Funktionen und Möglichkeiten des Privacy Management
- Datenschutz und Datenfluss beim Privacy Management (hier)
- Hinweise zur Rollenverteilung im Unternehmen (folgt)
- Zukunft des Privacy Management und Ausblick (folgt)
Sonderbeitrag: Was bringt das Privacy Management in Deutschland? (folgt)
privacy management und die Qualität des Datenschutz des Werkzeuges
In diesem Beitrag widme ich mich einem oft vergessenem Thema. Die Werkzeuge zum Schutz von personenbezogenen Daten und zur Verwaltung von Betroffenenanfragen müssen auch den Anforderungen des Datenschutzes genügen.
Beginn der Nutzung
Wenn Sie die Datenschutzverwaltung zum ersten Mal öffnen, werden Sie aufgefordert, zu bestätigen, dass Sie mit den Bedingungen und dem Verfahren zur Bewertung personenbezogener Daten einverstanden sind (weitere Informationen). Sie können die bereitgestellten Links vollständig lesen, bevor Sie fortfahren. Sobald Sie zugestimmt haben, kann es bis zu 24 Stunden dauern, bis die Datenschutzverwaltung Einblicke in die Daten Ihrer Organisation gewährt.
Wenn Sie nicht die erforderliche Rolle innehaben, um das Abonnement zu erhalten oder den Bedingungen für die Nutzung des Datenschutzmanagements zuzustimmen, werden Sie aufgefordert, Ihren globalen Administrator um Hilfe zu bitten”
Vertragsgrundlage
Das neue privacy management soll laut Hinweis im Prozess unter die Online Service Terms fallen und damit unter die Alten und in Zukunft auch die neuen EU Standardvertragsklauseln.
Dies findet ihr in dem unteren Satz beim Start: 
Online Service Terms genauere Betrachtung
Die Online Service Terms gab es bis Februar 2021 gesondert in einer gesonderten Worddatei mit qualifizierender Unterschrift. Diese findet ihr hier -> archivierte Terms: https://www.microsoft.com/licensing/docs/view/Archived-Online-Services-Terms-OST-documents
Nun gibt es nur noch die Webseite, die die jeweils aktuellen Online Service Terms enthält: https://www.microsoft.com/licensing/terms/de-DE/productoffering
Das Erfordernis eines Vertrags basiert auf Art. 28 Abs. 3 DSGVO, in dem die Verarbeitung durch den Auftragsverarbeiter nur auf Grundlage eines Vertrags erfolgen soll. Es wird anderes als im alten BDSG jedoch nicht von dem Schriftformerfordernis gesprochen, so dass eine Webseite ausreichen kann, wenn diese wirksam in den Vertrag Einzug gefunden hat und klar ist, welche Version Einzug gefunden hat. Es empfiehlt sich die jeweilige Seite als .pdf zu sichern und ggf. auszudrucken.
Leider findet sich in den aktuellen OSTs das privacy management nicht (Deutsch + Englisch geprüft): https://www.microsoft.com/licensing/terms/product/PrivacyandSecurityTerms/EAEAS
HIER WIRD NOCH EIN UPDATE ERFOLGEN
Ort der Datenverarbeitung
Das Werkzeug selber wird aus der Sicht von Deutschland in Europa (Dublin) gehostet und damit betrieben.
Da es eine Sammlung verschiedener Werkezeuge ist ein genauerer Blick für EU, DE, France und Swiss Tenants:
| Werkzeug | Ort |
| Betroffenenanfragen | Dublin, Amsterdam (EU) |
| Datenklassifizierung mit MIP und Retention | Dublin, Amsterdam (EU) |
| Information Types | Dublin, Amsterdam (EU) |
| Policies | Dublin, Amsterdam (EU) |
Folgende Quellen werden ausgewertet
Die folgenden Quellen werden ausgewertet und können überwacht werden.
- Microsoft Exchange
- Microsoft SharePoint
- Microsoft OneDrive
- Microsoft Teams
keine Quelle, z.B.
- Yammer
- Kazala
- Group Me
Lizenz ?
Für die Preview muss man eine Lizenz (Trail) erwerben und kann dann 31 Tage lang die Funktion testen. Dies deutet viel darauf hin, dass diese Funktionalität kostenpflichtig wird und wahrscheinlich nicht in allen Lizenzen beinhaltet ist.
unklarer Sachstand
Fazit
Microsoft hat bei der Umsetzung des Privacy Management auch auf den Datenschutz des Werkzeuges selber geachtet. Jedoch ist die vertragliche Grundlage noch etwas ungenau, da trotz Hinweis ein konkreter Bezug nicht gefunden werden konnte. Die Funktionen können in einem EU oder DE Tenant innerhalb Europas ausgeführt werden.
ACHTUNG: Preview
Es ist und bleibt jedoch eine Preview, also eine Vorschau der Funktionen, für die z.b. keine SLA gilt. Ihr könnt testen, aber solltet es noch nicht produktiv einsetzen. Da viele Werkzeuge heute schon bestehen, nutzt zunächst diese noch produktiv.
Informationen zum Thema Datenschutz und Datenfluss beim Privacy Management findet ihr seit heute hier:
Microsoft-Datenschutzverwaltung (Vorschau) – Microsoft 365 Compliance | Microsoft Docs