Seit dem 10. Juli 2023 besteht die bemerkenswerte Neuerung, dass der Export von Daten in die USA, selbst innerhalb Deutschlands, gestattet ist. Überraschenderweise ist diese bedeutende Entwicklung jedoch fast unbemerkt geblieben.
Es erstaunt mich, dass in sämtlichen Workshops, in denen das Thema Datenschutz im Kontext von #Microsoft365 seit diesem Datum zur Sprache kam, die Teilnehmenden nicht über das neue Datenschutzabkommen zwischen der EU und den USA informiert waren. Anders formuliert, die Verwendung von Microsoft 365 birgt in dieser Hinsicht keine Hindernisse mehr, ähnlich wie die Integration von Google Analytics auf Webseiten.
Seit dem genannten Datum gilt der Angemessenheitsbeschluss für das EU-US Datenschutz Privacy Framework, kurz DPF.
Es ist von großer Bedeutung, die folgenden Aspekte zu beachten: ✅ Das DPF muss als Grundlage für den Datenexport dienen. Das bedeutet, dass die Datenschutzdokumentation entsprechend angepasst werden muss. ✅ Das Unternehmen, dessen Dienste in Anspruch genommen werden, wie beispielsweise Microsoft, muss entsprechend zertifiziert sein. Auf der Webseite des US-Handelsministeriums (https://www.dataprivacyframework.gov/s/participant-search) lässt sich überprüfen, ob der Anbieter gelistet ist. Microsoft befindet sich dort in der Liste.
Es ist von großer Bedeutung zu verstehen, dass diese Neuerung nicht einfach unbedacht genutzt werden sollte. Es ist erforderlich, die Grundprinzipien des Datenschutzes sowie die Datenschutzerklärung zu berücksichtigen. Das beinhaltet, unnötige Funktionen zu deaktivieren und angemessene Sicherheitsmaßnahmen zu implementieren.
Um überhaupt zu verstehen, welche Daten verarbeitet werden, ist eine Datenschutzfolgenabschätzung unverzichtbar. Diese kann effizient mithilfe der integrierten Funktionen von Microsoft 365 Business Premium, E3 und E5 sowie den entsprechenden Education- und Frontlineworker-Lizenzen durchgeführt werden.
Hinsichtlich des zuvor erwähnten Beispiels von Google Analytics: Auch hier genügt es nicht, die Funktion einfach zu aktivieren. Eine rechtlich konforme Einwilligung der Nutzer über das “Cookie-Banner” bleibt nach wie vor erforderlich.
Leave a Reply