Microsoft 365 ist auch im kirchlichen Bereich schon länger im Einsatz. Dies ist auch für mich immer mal wieder spannend, da die Kirche ein eigenes Kirchenrecht und ein eigenes Datenschutzrecht besitzt. In diesem Bereich äußert sich nun das Erzbistum München in Nachfolge des DSK Beschlusses, so dass dieser auch für die Kirchen eine Nachwirkung zeigt.
Äußerung
“Besonders aktuell Kritische Fragen zu MS365
Das Urteil des EuGH zum Datenschutz in Sachen Schrems ./. Facebook und seine Auswirkungen.
Und eine frühere Meinungsäußerung des Diözesandatenschutzbeauftragten:
Das Thema wird ganz zeitnah durch eine Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder verschärft. Sie kommt zum Ergebnis, dass Microsoft 365 nicht problemlos datenschutzkonform eingesetzt werden kann. Die Konferenz der deutschen Diözesandatenschutzbeauftragten wollte weiteren Aufklärungen zu diesem Punkt nicht vorgreifen und hat deshalb keinen bundesweit gültigen Beschluss gefasst.
Für die bayerischen kirchlichen Einrichtungen werde ich die Neueinrichtung von Microsoft 365 nicht nach §§ 39ff KDG beanstanden, wenn mir eine schriftliche Bestätigung des jeweiligen betrieblichen Datenschutzbeauftragten vorliegt, dass
- über die Gruppenrichtlinien bei der Installation von MS365 die Komponente MS Onedrive dauerhaft abgeschaltet und – ggfs. über gesonderte – Programme Mitteilungen von Windows an Microsoft unterbunden sind und
- alle Nutzer keine personalisierten Benutzernamen bzw. E-Mail-Postfächer, sondern pseudonymisierte Benutzernamen oder Funktionspostfächer haben.
Ich bitte zu beachten, dass eine Datenschutz-Folgenabschätzung durch diese Stellungnahme nicht ersetzt wird.
Für am 21.12.2022 vorhandene Installationen wird eine Anordnung ab April 2023 ergehen, wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des “privacy shields” Erfolg hatten.”