R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
Datenschutz bei Microsoft 365 und Copilot (2025), S. Seite XVII 
Inhaltsverzeichnis 
Olaf Koglin 

Seite XVIIInhaltsverzeichnis

  1. Zur Verwendung dieses Buchs
  2. Für alle
  3. Grußwort von Dr. Stefan Brink
  4. Grußwort von Frederick Richter
  5. Grußwort von Michael Will
  6. Abkürzungsverzeichnis
  7. 1. Kapitel: Überblick über die zentralen Themen
    1. 1.1 Einführung
    2. 1.2 Datenschutzrechtlicher Rahmen
    3. 1.3 Datenschutzrechtliche Risiken
    4. 1.4 Markt und Alternativen zu Microsoft 365
    5. 1.5 Entscheidung der Geschäftsleitung und Business Judgment Rule
    6. 1.6 Maßnahmen zur Risikominimierung
  8. 2. Kapitel: Herangehensweise und Prüfungsumfang beim Microsoft 365-Projekt
    1. 2.1 Projektmanagement zum Datenschutz bei der Microsoft 365-Migration
    2. 2.2 Eingrenzung der Themen: In Scope/Out of Scope
    3. 2.3 Datenklassifizierung zur Bewertung „Out of Scope“
    4. 2.4 Umgang mit ausgegrenzten Themen
  9. 3. Kapitel: Risiken beim Einsatz von Microsoft 365, insb. aus Sicht der Aufsichtsbehörden
    1. 3.1 Grundsätze der DSGVO und Problemfelder bei SaaS
      1. 3.1.1 Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a DSGVO)
      2. 3.1.2 Transparenz der Datenverarbeitung (Art. 5 Abs. 1 lit. a DSGVO)
      3. 3.1.3 Erforderlichkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. c DSGVO)
      4. 3.1.4 Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 lit. a DSGVO)
      5. 3.1.5 Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
    2. 3.2 DSK & Co.: Struktur und Relevanz der Datenschutzaufsicht in EU und DE
      1. 3.2.1 Aufbau der Datenschutzaufsicht in der EU: EDSA und EDSB
      2. 3.2.2 Aufbau der Datenschutzaufsicht in Deutschland: Zahlreiche Aufsichtsbehörden
      3. 3.2.3 Datenschutzkonferenz (DSK), „Berlin Group“ und weitere inoffizielle Gruppierungen
      4. 3.2.4 Rechtliche Natur der Aufsichtsbehörden in der Gewaltenteilung
      5. 3.2.5 Zusammenfassung zu Aufsichtsbehörden und ihren nichtbehördlichen Gruppen
    3. 3.3 Darstellung der Auffassung der Aufsichtsbehörden
      1. 3.3.1 Beschluss der Art.-29-Datenschutzgruppe zum Microsoft Online Services DPA (2014)
      2. 3.3.2 Der DSK-Beschluss aus 2020
      3. 3.3.3 Der DSK-Beschluss aus 2022
        1. 3.3.3.1 Kritikpunkte der DSK in der beschlossenen „Festlegung“ (2022)
        2. 3.3.3.2 Weitere Kritikpunkte der DSK in der „Zusammenfassung“ (2022)
      4. 3.3.4 Stellungnahme des LfDI BW zu M365 an Schulen (2022)
      5. 3.3.5 „Praxis-Tipps“: Handreichung einiger Aufsichtsbehörden (8-9/2023)
        1. 3.3.5.1 Herausgeber/Beteiligte Behörden
        2. 3.3.5.2 Inhalt und Reaktionen
        3. 3.3.5.3 Spezifizierung der Daten und betroffenen Personen
        4. 3.3.5.4 Nutzung von E-Mail-Adressen ohne Namen
      6. 3.3.6 LfD Niedersachsen: Einsatz von Teams im Innenministerium ist akzeptabel
        1. 3.3.6.1 Hintergrund
        2. 3.3.6.2 Die niedersächsische „Zusatzvereinbarung“
        3. 3.3.6.3 Bewertung des LfD Niedersachsen als akzeptabel
      7. 3.3.7 Weitere Stellungnahmen deutscher Aufsichtsbehörden
      8. 3.3.8 Verfahren des EDSB gegen die EU-Kommission und darauffolgende Klagen
        1. 3.3.8.1 Hintergrund: Rechtlicher Rahmen und Rolle des EDSB
        2. 3.3.8.2 Kritik des EDSB an Microsoft 365
        3. 3.3.8.3 Entgegnung und Relevanz für den derzeitigen Einsatz von M365
        4. 3.3.8.4 Klage der EU-Kommission und von Microsoft Irland gegen den Beschluss des EDSB
        5. 3.3.8.5 Antwort der EU-Kommission und Pressemitteilung des EDSB vom Dezember 2024
        6. 3.3.8.6 Zusammenfassung und Bedeutung für die Praxis
        7. 3.3.8.7 Inhalt der Klagen von Kommission und Microsoft gegen den EDSB
      9. 3.3.9 Positionen zu Videokonferenzen und Abgrenzung zum Telekommunikationsrecht
        1. 3.3.9.1 Überblick über die aufsichtsbehördlichen Stellungnahmen
        2. 3.3.9.2 Komplexität und Heterogenität der Anforderungen
        3. 3.3.9.3 Beispiel: End-to-End-Verschlüsselung
        4. 3.3.9.4 Einheitlicher Bewertungsmaßstab oder zweierlei Maß?
        5. 3.3.9.5 Behördenauffassungen betr. Abgrenzung zur Telekommunikation
        6. 3.3.9.6 Bewertung und weitere Differenzierung: Connected Experiences, Exchange
        7. 3.3.9.7 Folgen falscher Abgrenzung; Zuständigkeit
    4. 3.4 Kritik in der rechtswissenschaftlichen Literatur
    5. 3.5 Weitere mögliche Kritikpunkte
    6. 3.6 Zusammenfassung des Spektrums von Meinungen und Freigaben
    7. 3.7 Ergebnis
  10. 4. Kapitel: Argumentationslinien für einen Einsatz von Microsoft 365
    1. 4.1 Überblick über den Rechtsrahmen von Verfassungen und Datenschutzrecht
      1. 4.1.1 Datenschutz-Basics: Verfassungen, Primärrecht und EU-Grundrechte-Charta
      2. 4.1.2 Relevanz von Erwägungsgründen
      3. 4.1.3 DSGVO als Sekundärrecht unter der EU-GRCh
      4. 4.1.4 Weitere, insb. nationale Normen
      5. 4.1.5 Zusammenfassung
    2. 4.2 Überblick über das Vertragswerk zu Microsoft 365
      1. 4.2.1 Product Terms als Rahmen einzelner Dokumente
      2. 4.2.2 Privacy & Security Terms: Definition der Core Services und EU Data Boundary
      3. 4.2.3 Das Data Protection Addendum
        1. 4.2.3.1 Übersicht zum Data Protection Addendum
        2. 4.2.3.2 Data Protection Addendum: Vertragspartner, Lizenzen und Abschluss
        3. 4.2.3.3 Data Protection Addendum: Neue Versionen und Aktualisierung bei Bestandskunden
        4. 4.2.3.4 Data Protection Addendum: Auftragsverarbeitung und Standarddatenschutzklauseln
        5. 4.2.3.5 Data Protection Addendum: Rangfolgeregelungen
        6. 4.2.3.6 Ausschlüsse vom DPA, sog. eigene Zwecke
        7. 4.2.3.7 Relevanz der „Core Online Services“
        8. 4.2.3.8 Angaben zu Arten der Daten, Zwecken etc.
        9. 4.2.3.9 Änderungen in der DPA-Fassung vom 18.02.2025
        10. 4.2.3.10 Änderungen in der DPA-Fassung vom 01.04.2025
      4. 4.2.4 Berufsgeheimnisträger Zusatzvereinbarung und § 203 StGB
      5. 4.2.5 Weitere Zusatzvereinbarungen und Rahmenverträge
    3. 4.3 Einordnung: Wesen der DSK und Relevanz von aufsichtsbehördlichen Positionen
      1. 4.3.1 Rechtsnatur und Relevanz der Datenschutzkonferenz
      2. 4.3.2 Keine Verbindlichkeit der Positionen von Aufsichtsbehörden
      3. 4.3.3 Zusammenfassung
    4. 4.4 Bewertung der Hauptkritikpunkte der Aufsichtsbehörden
      1. 4.4.1 Kritikpunkt: Einhaltung der Rechtmäßigkeit nicht nachweisbar
        1. 4.4.1.1 Inhalt der Kritik
        2. 4.4.1.2 Bewertung
        3. 4.4.1.3 Ergebnis
      2. 4.4.2 Kritikpunkt: Transparenz über „eigene Zwecke“ von Microsoft und eingesetzte Drittanbieter
        1. 4.4.2.1 Eigene Tätigkeiten
        2. 4.4.2.2 Tätigkeiten zur Leistungserbringung: Connected Experiences, Telemetrie- und Diagnosedaten
        3. 4.4.2.3 Die Connected Experiences („verbundene Erfahrungen“)
        4. 4.4.2.4 Exkurs: Darstellung von Connected Experiences
        5. 4.4.2.5 Exkurs: Darstellung der optionalen Connected Experiences, insb. „Giphy“
        6. 4.4.2.6 Telemetrie- und Diagnosedaten
        7. 4.4.2.7 Bewertung zu Connected Experiences; Telemetrie und Diagnose
        8. 4.4.2.8 Zusammenfassung
      3. 4.4.3 Kritikpunkt: Übermittlung von Daten in die USA und Offenlegung an (US-)Sicherheitsbehörden
        1. 4.4.3.1 EU-US Privacy Framework
        2. 4.4.3.2 Gültigkeit des DPF
      4. 4.4.4 Kritikpunkt: „Latente Übermittlung“
      5. 4.4.5 Kritikpunkt: Subunternehmer
        1. 4.4.5.1 Angebliche Pflicht zur Überprüfung von Unterauftragsverarbeitern
        2. 4.4.5.2 Information über Änderungen der eingesetzten Unterauftragsverarbeiter
      6. 4.4.6 Besonderheit: Telekommunikationsrecht
    5. 4.5 Änderungen durch das EU-US Data Privacy Framework (2023)
    6. 4.6 Weitere Änderungen seit dem DSK-Beschluss aus 2022
    7. 4.7 Faktisches Argument: Nutzung von M365 durch Behörden
    8. 4.8 Sekundäre Argumente gegen die Auffassung der DSK
    9. 4.9 Besonderheiten bei speziellen Arten von Verantwortlichen und Branchen
      1. 4.9.1 Einsatz von M365 in Behörden und anderen öffentlichen Stellen
        1. 4.9.1.1 Kein „berechtigtes Interesse“ bei behördlichen Aufgaben
        2. 4.9.1.2 Sensible Daten und Teilnahmezwang
        3. 4.9.1.3 Privatrechtliche Gesellschaften in öffentlicher Hand
      2. 4.9.2 Gesundheitsdatenschutz und branchenspezifische Regulierung
      3. 4.9.3 Datenschutz bei Kirchen und religiösen Vereinigungen (Art. 91 DSGVO)
      4. 4.9.4 Datenschutz bei journalistisch-redaktionellen Tätigkeiten
    10. 4.10 Zusammenfassung der datenschutzrechtlichen Situation
    11. 4.11 Vergleich mit Alternativen zu Microsoft 365 und IT-Governance
      1. 4.11.1 Alternative Cloud-Angebote
      2. 4.11.2 Digitale Souveränität
      3. 4.11.3 Betrieb on premise und IT-Goverance
      4. 4.11.4 Datensicherheit und Vermeidung von Datenpannen
      5. 4.11.5 Zusammenfassung
    12. 4.12 Zusammenfassung: Konkrete Risiken und Maßnahmen bei einem M365-Einsatz
    13. 4.13 Maßnahmenplan zur Risikoreduzierung
  11. 5. Kapitel: Restrisiken, Prüfungstriefe und Business Judgment Rule
    1. 5.1 Verbleibende Unklarheiten
    2. 5.2 Erforderliche Prüfungstiefe
    3. 5.3 Umgang mit Restrisiken
      1. 5.3.1 Handhabung im datenschutzseitigen Projektmanagement
      2. 5.3.2 Kommunikative Handhabung; Empfehlungen und „Abraten“
      3. 5.3.3 Rechtliche Handhabung von Ungewissheiten
    4. 5.4 Management-Entscheidungen und Business Judgment Rule
      1. 5.4.1 Die Business Judgment Rule
      2. 5.4.2 Business Judgment Rule im deutschen Recht
      3. 5.4.3 Inhalt der Business Judgment Rule
      4. 5.4.4 Anwendung der Business Judgment Rule auf eine Entscheidung für M365
    5. 5.5 Ergebnis
  12. 6. Kapitel: Individuelle Projektbeschreibung; Technische und Organisatorische Massnahmen
    1. 6.1 Beschreibung des Verantwortlichen und Projektstatus
    2. 6.2 Checkliste zur Bestandsaufnahme u. speziellen Risiken beim M365-Einsatz
    3. 6.3 In die M365-Migration einbezogene Abteilungen und Daten
    4. 6.4 Verwendete Dienste und zur Risikobegegnung vorgesehene Maßnahmen
    5. 6.5 Katalog möglicher Maßnahmen
    6. 6.6 Beispiel für technische Einstellungen: CIS-Benchmarks
  13. 7. Kapitel: Datenschutz-Folgenabschätzung (DSFA)
    1. 7.1 Überblick zur Datenschutz-Folgenabschätzung
      1. 7.1.1 Inhalt und Zweck der Datenschutz-Folgenabschätzung
      2. 7.1.2 Interne Zuständigkeit für die Erstellung der DSFA
      3. 7.1.3 Weitere Schritte und „Konsultation“ der Aufsichtsbehörde
      4. 7.1.4 Zeitpunkt der DSFA-Durchführung
    2. 7.2 Erforderlichkeit der DSFA im konkreten Fall
      1. 7.2.1 Vorprüfung: Ist eine DSFA durchzuführen (sog. „Schwellwertanalyse“)?
      2. 7.2.2 Ergebnis: Zumindest vorsorgliche DSFA
      3. 7.2.3 Ausnahme bei kleinen Organisationen ohne Datenschutzbeauftragten
    3. 7.3 Durchführung der Datenschutz-Folgenabschätzung
      1. 7.3.1 Vorgehen
        1. 7.3.1.1 Gesetzliche Anforderungen an die Durchführung (Art. 35 Abs. 7 DSGVO)
        2. 7.3.1.2 Best Practices: Risikomatrix
        3. 7.3.1.3 Durchführung der DSFA nach Diensten und Phasen
        4. 7.3.1.4 Scope der Risikoanalyse: Beschränkung auf M365-spezifische Aspekte
      2. 7.3.2 Besondere Risikofaktoren beim Verantwortlichen
        1. 7.3.2.1 Rechtliche Besonderheiten
        2. 7.3.2.2 Betriebs-/ Dienstvereinbarung
        3. 7.3.2.3 Risikobezogene Besonderheiten
        4. 7.3.2.4 Organisatorische Umsetzung und laufende Änderungen
        5. 7.3.2.5 Durchführung als fortlaufende Folgenabschätzung: Initial „DSFA light“ plus M365-Gremium
      3. 7.3.3 Erfassungs- oder Vorbereitungsphase (Art. 35 Abs. 7 lit. a DSGVO)
        1. 7.3.3.1 Exchange/Outlook Online
        2. 7.3.3.2 Word/ppt/xls Online
        3. 7.3.3.3 OneDrive, SharePoint Online
        4. 7.3.3.4 Teams
      4. 7.3.4 Bewertungsphase (Art. 35 Abs. 7 lit. b und c DSGVO)
        1. 7.3.4.1 Exchange/Outlook Online
        2. 7.3.4.2 Word/PowerPoint/Excel Online
        3. 7.3.4.3 OneDrive, SharePoint Online
        4. 7.3.4.4 Teams
      5. 7.3.5 Gesamt-Risikobewertung vor Maßnahmen
      6. 7.3.6 Maßnahmenphase (Art. 35 Abs. 7 lit. d DSGVO)
      7. 7.3.7 Risikobewertung nach Maßnahmen
      8. 7.3.8 Abschließende Bewertung
      9. 7.3.9 Dokumentation zur DSFA; Änderungen und Versionskontrolle
    4. 7.4 Anhänge zur Datenschutz-Folgenabschätzung
      1. 7.4.1 Anhang 1: Vorbereitende Risikoanalyse
      2. 7.4.2 Anhang 2: Hilfsmittel und DSFA-Muster für M365
        1. 7.4.2.1 Hilfsmittel zur DSFA-Erstellung
        2. 7.4.2.2 Muster und Informationen von Microsoft
        3. 7.4.2.3 Veröffentlichte DSFA-Muster zu M365
        4. 7.4.2.4 Veröffentlichte DSFA-Muster zu Copilot
  14. 8. Kapitel: Entscheidung und Rat des Datenschutzbeauftragten
    1. 8.1 Rat des Datenschutzbeauftragten im Rahmen der DSFA
    2. 8.2 Entscheidung des Verantwortlichen (durch die Geschäftsführung)
  15. 9. Kapitel: Transfer Impact Assessment (TIA)
    1. 9.1 Notwendigkeit eines Transfer Impact Assessments
    2. 9.2 Sinnhaftigkeit eines SCC-TIA für die USA seit Geltung des DPF
    3. 9.3 Terminologie: Drittlandtransfer, Standarddatenschutzklauseln, „EU-US“
    4. 9.4 Anforderungen an ein Transfer Impact Assessment
      1. 9.4.1 Hintergrund: Schrems II-Entscheidung
      2. 9.4.2 Neufassung der SCC 2021 und Kodifizierung des Transfer Impact Assessment
      3. 9.4.3 Meinungsstand zu Inhalt und Ablauf
      4. 9.4.4 Zuständigkeit für das TIA und Parteien der SCC im Microsoft-DPA
      5. 9.4.5 Zeitpunkt der Durchführung und regelmäßige Überprüfung
      6. 9.4.6 Inhalt der Prüfung laut Klausel 14 SCC
    5. 9.5 Vertragswerk
    6. 9.6 Durchführung des Transfer Impact Assessments
      1. 9.6.1 Beschreibung der Übermittlung
        1. 9.6.1.1 Anwendungsbereich des „Microsoft Products and Services Data Protection Addendum“
        2. 9.6.1.2 Kategorien der personenbezogenen Daten
        3. 9.6.1.3 Zweck der Verarbeitung
        4. 9.6.1.4 Speicherort der übermittelten Daten; EU Data Boundary
      2. 9.6.2 Identifizierung der Bestimmungen im Drittland
        1. 9.6.2.1 Erläuterung der Problematik, insb. FISA 702 und CLOUD Act
        2. 9.6.2.2 Datenschutzrechtliche Relevanz der „latenten Zugriffsmöglichkeit“
      3. 9.6.3 Identifizierung der technischen, vertraglichen und organisatorischen Maßnahmen zum Schutz der übermittelten Daten
      4. 9.6.4 Datenschutzniveau unter Berücksichtigung des EU-US Data Privacy Framework
        1. 9.6.4.1 Das EU-US Data Privacy Framework; Executive Order 14086
        2. 9.6.4.2 Bestand des DPF; Latombe-Klage/„Schrems III“
        3. 9.6.4.3 Bewertung des Datenschutzniveaus im konkreten Fall
      5. 9.6.5 Argumentationen jenseits des DPF
    7. 9.7 Gesamtbewertung des TIA
  16. 10. Kapitel: Eintrag im Verarbeitungsverzeichnis
    1. 10.1 Einleitung
    2. 10.2 Vorlage Verarbeitungsverzeichnis
  17. 11. Kapitel: Copilot-Varianten und Datenschutz
    1. 11.1 Einleitung
    2. 11.2 Die Copilot-Varianten
      1. 11.2.1 Microsoft 365 Copilot Chat
      2. 11.2.2 Microsoft 365 Copilot
      3. 11.2.3 Umgang mit laufenden Änderungen der Copiloten
      4. 11.2.4 Unterscheidung in der Praxis
      5. 11.2.5 Zugriff des Microsoft 365 Copilot auf eigene und Unternehmensdaten
      6. 11.2.6 Zugriff des Microsoft 365 Copilot Chat auf eigene und Unternehmensdaten
      7. 11.2.7 Einstellungen zu Microsoft 365 Copilot (Chat) im Admin-Center und in Teams
    3. 11.3 Datenschutzregeln von Microsoft für die Copilot-Varianten
      1. 11.3.1 Geltung des Data Protection Addendum (DPA)
      2. 11.3.2 Copiloten als „Products and Services“ im Sinne des DPA und der Product Terms
      3. 11.3.3 Copiloten als Core Online Services
      4. 11.3.4 Copiloten und EU Data Boundary
      5. 11.3.5 Bing-Suchanfragen und Verwendung von Web-Daten
      6. 11.3.6 Commercial Data Protection und andere Datenschutz-Programme von Microsoft
      7. 11.3.7 Terms of Use & AI-Zusagen von Microsoft
      8. 11.3.8 Zusammenfassung
    4. 11.4 Fallgruppen bei der Verwendung von Copilot
      1. 11.4.1 Use Case 1: Unkritische Daten
      2. 11.4.2 Use Case 2: Mittelkritische Daten
        1. 11.4.2.1 Spezifische Risiken beim Microsoft 365 Copilot
        2. 11.4.2.2 Risikoreduzierung bei Microsoft 365 Copilot
        3. 11.4.2.3 Datenschutz-Folgenabschätzung für Microsoft 365 Copilot in Use Case 2
      3. 11.4.3 Use Case 3: Sehr kritische Daten sowie Hochrisiko-KI i.S.d. Art. 6 KI-VO
        1. 11.4.3.1 Bewertung als Hochrisiko-KI
        2. 11.4.3.2 Datenschutz-Folgenabschätzung
    5. 11.5 Datenschutz-Folgenabschätzungen zu Microsoft (365) Copilot
  18. 12. Kapitel: Anlagen
    1. 12.1 FAQ für Mitarbeitende und Öffentlichkeitsarbeit
    2. 12.2 Links und weiterführende Literatur
      1. 12.2.1 DSK-Dokumente zu M365
      2. 12.2.2 Weitere Stellungnahmen der Datenschutzaufsicht
      3. 12.2.3 Links und Literatur zu Microsoft 365
      4. 12.2.4 Berichte über die Nutzung von Microsoft 365 und Azure in öffentlichen Stellen
 
stats