Veröffentlicht am

Warum sind technische und organisatorische Maßnahmen (TOM) so wichtig für den Datenschutz?

Jeder Unternehmer muss sich irgendwann mit der Frage nach den technisch und organisatorischen Fragen auseinandersetzen (kurz TOM), denn diese sind unerlässlich, wenn man personenbezogene Daten vor unbefugter Offenlegung, Veränderung oder Verlust schützen möchte.

Was sind technisch und organisatorische Maßnahmen (TOM)?

Technische und organisatorische Maßnahmen (TOM) sind Sicherheitsvorkehrungen, die gemäß der Datenschutzgrundverordnung (Art. 32 DS-GVO Art. 32 DSGVO – Sicherheit der Verarbeitung – Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)) ergriffen werden müssen, um den Schutz von personenbezogenen Daten gewährleisten zu können. Von diesem Oberbegriff sind sowohl technische als auch organisatorische Maßnahmen umfasst. Durch die Umsetzung von technisch und organisatorischen Maßnahmen sollen folgende Ziele erreicht werden:

  • Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang bei der Datenverarbeitung
  • Rasche Wiederherstellung der Daten und Zugänge, falls es zu einem physischen oder technischen Zwischenfall kommt

Durch die Umsetzung von technischen und organisatorischen Maßnahmen stellen Sie sicher, datenschutzkonform zu arbeiten. Zudem vermeiden Sie das Risiko von Bußgeldern, denen Sie unweigerlich ausgesetzt sind, sollte es zu einen Datenschutzvorfall kommen und sie keine der in der DS-GVO genannten Vorgaben umgesetzt haben.

Technische Maßnahmen

Doch was versteht man unter technischen Maßnahmen? Im Folgendem zeigen wir Ihnen einige Beispiele für technische Maßnahmen, die Sie entsprechend der DS-GVO umsetzen sollten:

  • Zutrittskontrolle: regeln Sie den physischen Zugang zu Ihren Räumlichkeiten, in denen Sie personenbezogene Daten verarbeiten, z.B. durch die Einrichtung von Zugangskontrollsystemen.
  • Zugangskontrolle: Vermeiden Sie den unbefugten Zugriff durch Dritte, indem Sie sichere Passwörter verwenden, und eine Authentifizierung der Nutzer einrichten. Hierbei ist die Erstellung eines Berechtigungskonzeptes unerlässlich.
  • Zugriffskontrolle: Beschränken Sie den Zugriff auf personenbezogene Daten auf autorisierte Personen. Legen Sie Berechtigungen, Rollen und Zugriffsrechte genau fest und pflegen Sie dies in Ihrem Berechtigungskonzept mit ein.
  • Weitergabekontrolle: Legen Sie genau fest, wie personenbezogene Daten innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. Bedienen Sie sich hierfür z.B. einer sicheren Verschlüsselungsmethode und nutzen Sie sichere Übertragungsprotokolle
  • Eingabekontrolle: Eingabekontrolle bedeutet, dass Sie die Eingaben von Benutzern überprüfen, um sicherzustellen, dass diese korrekt sind.
  • Auftragskontrolle: schließen Sie mit externen Dienstleistern, die für Sie personenbezogene Daten verarbeiten, einen Auftragsverarbeitungsvertrag und überprüfen Sie ob auch beim Dienstleister entsprechende Kontrollmechanismen existieren.

Die Auswahl der geeigneten Maßnahmen, hängt letztendlich von der Art der Datenverarbeitung und den individuellen Gegebenheiten in Ihrem Unternehmen ab.

Organisatorische Maßnahmen

Bei organisatorischen Maßnahmen handelt es sich um nichttechnische Vorkehrungen, um die Datensicherheit zu gewährleisten. Diese betreffen in der Regel Abläufe und Personen im eigenen Unternehmen. Zur besseren Veranschaulichung sollen auch hier einige Beispiele genannt werden, wie Sie organisatorische Maßnahmen in Ihrem Unternehmen umsetzen können:

  • Protokollierung von Besuchern: Erfassen Sie, wer Ihre Räumlichkeiten betritt oder Zugriff auf Ihre Systeme hat.
  • Verpflichtung der Beschäftigten auf das Datengeheimnis: Verpflichten Sie Ihre Mitarbeiter auf die Einhaltung des Datengeheimnisses, falls Sie dies nicht bereits im Arbeitsvertrag geregelt haben sollten. Aber auch in diesem Fall schadet es nicht im Rahmen von regelmäßigen Schulungen zum Thema Datenschutz auch hierauf nochmals hinzuweisen.
  • Bereitstellung von Datenschutzhinweisen: Teilen Sie z.B. Nutzern Ihrer Webseite in Ihrer Datenschutzinformation mit, welche externen Dienstleister Sie zur Datenerfassung nutzen. Falls Sie eine Videoüberwachung im Einsatz haben, sollten Sie sicherstellen, dass entsprechende Hinweisschilder angebracht worden usw.
  • Bearbeitung von Anfragen Betroffener: Integrieren Sie Prozesse, beispielsweise, wie man auf Datenschutzanfragen (z.B. Auskunftsanfragen) reagieren sollte.
  • Notfallmanagement für Datenpannen: Auch hier bietet es sich an, einen klaren Prozessablauf festzulegen und Mitarbeiter darin zu unterweisen, wie Sie in einem solchen Fall reagieren müssen.
  • Mitarbeiterschulungen: Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Datenschutzthemen. Hier empfiehlt sich eine jährliche Schulung.

Was versteht man unter dem Stand der Technik?

Doch was ist eigentlich damit gemeint, wenn diese Maßnahmen dem Stand der Technik entsprechen sollen? Mit Stand der Technik, versucht der Gesetzgeber den aktuellen Entwicklungsstand von Technik, bzw. Technologien und Verfahren gerecht zu werden.

Das bedeutet, dass technisch und organisatorische Maßnahmen laut DS-GVO dem aktuellen Wissens- und Technologieniveau entsprechen sollten. Hierbei bezieht sich der Stand der Technik in der Regel auf bewährte Verfahren, Sicherheitsstandards und aktuelle Entwicklungen in der IT-Sicherheit. Technische und organisatorische Maßnahmen sollten also nicht deutlich veraltet sein, sondern sollten den besten verfügbaren Schutz bieten, um personenbezogene Daten vor unbefugten Zugriffen, Verlust oder Missbrauch zu schützen.

Weitere Informationen zum Thema „Stand der Technik“ finden sie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter folgendem Link: BSI – Stand der Technik umsetzen (bund.de)

Sind TOM für ein Unternehmen verpflichtend?

Ja, technisch und organisatorische Maßnahmen sind für Unternehmen verpflichtend, um den Datenschutz gemäß der DS-GVO sicherzustellen zu können. Sie sollen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch schützen. Welche Maßnahmen Sie konkret in Ihrem Unternehmen umsetzen sollten, hängt davon ab, welche Art der Datenverarbeitung Sie vornehmen und welche individuellen Gegebenheiten vorliegen. Wir empfehlen Ihnen hierzu einen Datenschutzberater oder einen Rechtsberater zur Rate zu ziehen. Dies können Ihnen dabei helfen, die richtigen Maßnahmen für Ihr Unternehmen auszuwählen und umzusetzen.

Wer braucht TOM?

Technisch und organisatorische Maßnahmen sind für alle Organisationen verpflichtend, die personenbezogene Daten verarbeiten. Dazu gehören Unternehmen, Behörden, gemeinnützige Organisationen und auch Selbstständige. Unabhängig von der Größe oder Branche müssen alle sicherstellen, dass ihre TOMs dem aktuellen Stand der Technik entsprechen und den Datenschutz gewährleisten.

Wer erstellt die TOM?

Technisch und organisatorischen Maßnahmen werden in der Regel intern von der Organisation selbst erstellt. Zuständig dafür sind in der Regel der Datenschutzbeauftragte, IT-Sicherheitsexperten sowie der Verantwortliche selbst. Diese Fachleute analysieren die spezifischen Anforderungen der Organisation, bewerten Risiken und implementieren geeignete Maßnahmen, um ein datenschutzkonformes Arbeiten im Unternehmen sicherzustellen.

Regelmäßige Überprüfung und Aktualisierung von TOMs

Doch ist es damit getan die technisch und organisatorischen Maßnahmen einmal zu prüfen und dann hat man seine Schuldigkeit getan? Die Antwort hierauf lautet leider nein. Neben den Schutzzielen ist in Art. 32 Abs. 1 lit. d DSGVO Art. 32 DSGVO – Sicherheit der Verarbeitung – Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)  zusätzlich ein Verfahren geregelt, welches sicherstellen soll, dass die TOM stets an die aktuellen Anforderungen und Entwicklungen angepasst werden. Die Verordnung fordert: „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Die regelmäßige Überprüfung und Aktualisierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um die Datensicherheit zu gewährleisten und um dem Stand der Technik zu entsprechen. Bleibt also noch die Frage zu klären, wie oft man nun diese Überprüfung vornehmen muss, um den Anforderungen der DS-GVO zu entsprechen. Eine genaue Vorgabe hierzu finden sich nicht im Gesetz. Leider kann hierzu auch keine pauschale Empfehlung gegeben werden, denn die wie oft und in welchen Abständen Sie ihre Auftragsverarbeiter prüfen sollten, hängt von den individuellen Faktoren ab. Die folgenden Faktoren sollen Ihnen helfen den für Sie richtigen Abstand zu finden:

  • Verarbeitung von Sensiblen Daten: hier sind höhere Sicherheitsmaßnahmen notwendig, als bei der Verarbeitung von weniger sensible Daten und sollten daher häufiger überprüft werden.
  • Das Feststellen von Sicherheitsvorfällen: Nachdem ein Sicherheitsvorfall festgestellt wurde, sollten die TOMs unter Umständen häufiger überprüft werden, um sicherzustellen, dass alle Schwachstellen behoben wurden.
  • Der Kontext der Verarbeitung: Die Datenverarbeitung in einem dynamischen Umfeld kann häufigere Überprüfungen erforderlich machen.

Wir empfehlen Ihnen ihre technischen und organisatorischen Maßnahmen einmal im Jahr zu überprüfen, ggf. öfters, wenn einer der zuvor genannten Punkte auf Sie zutreffen sollte oder wenn Sie Änderungen in Ihrem Unternehmen vornehmen (z.B. Einführung neuer Software, etc).

Fazit

Technische und organisatorische Maßnahmen sind für Ihr Unternehmen unerlässlich, um ein datenschutzkonformes Arbeiten mit personenbezogenen Daten sicherzustellen, denn Sie schützen diese vor unbefugtem Zugriff, Verlust oder Missbrauch. Es ist jedem Fall nicht ausreichend, lediglich Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu ergreifen. Die gewählten Maßnahmen müssen zudem regelmäßig und systematisch überprüft werden.

Die regelmäßige Überprüfung muss auch nachweisbar sein, denn nur so können Sie Bußgelder vermeiden, denn diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. Daneben kann es auch zu Schadensersatzansprüchen von betroffenen Personen kommen und das Vertrauen von Kunden und Geschäftspartnern kann in Mitleidenschaft gezogen werden.

Wir empfehlen Ihnen daher folgendes Vorgehen:

  • Routinemäßige Überprüfung: jährlich oder anlassbezogen (z.B. bei Änderungen im Unternehmen, Feststellen einer Sicherheitslücke)
  • Anpassung an neue Technologien: Technologie entwickeln sich ständig weiter. Stellen Sie sicher, dass die TOMs an den aktuellen Stand der Technik angepasst werden. Ggf. sind Zusatzmaßnahmen erforderlich.
  • Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Datenschutzthemen. Hier empfiehlt sich eine jährliche Schulung.
  • Dokumentation: Änderungen der TOMs sollten sorgfältig dokumentiert werden, um den Nachweis zu erbringen, dass Sie Ihrer Pflicht nachgekommen sind.

Weitere Informationen zu dem Thema und Hilfreiche Tipps gibt das Bayerische Landesamt für Datenschutzaufsicht in seiner Checkliste zum Good Practice bei technischen und organisatorischen Maßnahmen unter folgendem Link: baylda_checkliste_tom.pdf (bayern.de)

Veröffentlicht am

Wie sichern Sie den Datenschutz in Ihrer Microsoft 365 Umgebung?

In der heutigen digitalisierten Welt ist der Datenschutz von zentraler Bedeutung, besonders bei umfassenden Plattformen wie Microsoft 365, die in Unternehmen für Kommunikation, Zusammenarbeit und Datenspeicherung verwendet werden. Da Microsoft 365 eine Vielzahl an persönlichen und geschäftlichen Daten beherbergt, ist es unumgänglich, sich in diesem Zusammenhang auch mit dem Thema Datenschutz zu befassen. Dieser Artikel beleuchtet die wichtigsten Aspekte des Datenschutzes im Zusammenhang mit Microsoft 365 und bietet wertvolle Tipps, wie Sie die Daten in Ihrem Unternehmen effektiv schützen können.

Welche Bedeutung hat die Datenverarbeitung und -speicherung in Microsoft 365?

Microsoft 365 erfasst, speichert und verarbeitet eine breite Palette von Daten. Es ist entscheidend, dass Unternehmen verstehen, wie diese Daten gehandhabt werden, um Konformität mit Datenschutzgesetzen wie der DSGVO sicherzustellen. Um die Nutzung von Microsoft 365 datenschutzkonform nach DSGVO zu gestalten, sollten Unternehmen:

  1. Risikoanalyse durchführen: Risiken identifizieren, die mit der Datenverarbeitung verbunden sind.
  2. Verträge prüfen: Sicherstellen, dass die Verträge mit Microsoft DSGVO-konforme Datenverarbeitung gewährleisten.
  3. Zugriffsrechte kontrollieren: Den Zugang zu Daten auf das notwendige Minimum beschränken.
  4. Datenschutztechnisch sicher konfigurieren: Einsatz von Verschlüsselung und Anonymisierung nutzen.
  5. Mitarbeiter schulen: Datenschutzkompetenz und -bewusstsein der Mitarbeiter stärken.
  6. Regelmäßige Überprüfung: Nutzung und Sicherheitsmaßnahmen regelmäßig auditieren.
  7. Datenschutzbeauftragten einbinden: Fachkundige Überwachung der Datenschutzpraktiken sicherstellen.

Wie wählen Sie den richtigen Speicherort für Ihre Daten?

Der Standort, an dem Ihre Daten physisch gespeichert werden, spielt eine entscheidende Rolle für den Datenschutz. Microsoft ermöglicht es Ihnen, die Datenzentren flexibel auszuwählen, was die Einhaltung lokaler Datenschutzgesetze unterstützt. Eine wohlüberlegte Auswahl des Speicherorts ist somit essentiell. Obwohl eine Speicherung innerhalb der EU möglich ist, bleiben Herausforderungen im Zusammenhang mit Serverstandorten in den USA bestehen.

Was müssen Sie über Datenschutzrichtlinien und -vereinbarungen wissen?

Die Datenschutzpraktiken von Microsoft sind in den Datenschutzrichtlinien und -vereinbarungen detailliert festgelegt. Eine gründliche Prüfung dieser Dokumente ist unerlässlich, um Übereinstimmung mit den eigenen Datenschutzanforderungen zu gewährleisten. Problem: Microsoft gibt oft mündliche Zusicherungen, die jedoch nicht immer in den Vertragsbedingungen reflektiert werden. Daher ist es besonders wichtig, genau zu überlegen, welche Dienste und Funktionen tatsächlich benötigt und genutzt werden sollen. Ein Beispiel für das Problem mit mündlichen Zusicherungen von Microsoft, die nicht in den Verträgen reflektiert werden, könnte folgendermaßen aussehen:

Stellen Sie sich vor, ein Unternehmen möchte Microsoft 365 für die interne Kommunikation und das Dokumentenmanagement nutzen. In Gesprächen mit Microsofts Vertriebsteam wird dem Unternehmen zugesichert, dass alle Daten ausschließlich in europäischen Rechenzentren gespeichert werden, um die Einhaltung der DSGVO zu gewährleisten. Diese Zusicherung ist für das Unternehmen entscheidend, da es strenge datenschutzrechtliche Anforderungen erfüllen muss.

Jedoch findet das Unternehmen bei der Durchsicht der Vertragsdokumente keine konkrete Bestätigung dieser mündlichen Zusage. Stattdessen gibt es Klauseln, die darauf hindeuten, dass Daten unter bestimmten Umständen auch in Rechenzentren außerhalb Europas übertragen und gespeichert werden könnten. Dies könnte rechtliche Risiken im Hinblick auf die DSGVO bedeuten, da der Datentransfer in Länder außerhalb der EU strengeren Anforderungen unterliegt.

In einem solchen Fall wäre es für das Unternehmen wichtig, auf einer schriftlichen Bestätigung der ursprünglich mündlich zugesagten Speicherung ausschließlich in EU-Rechenzentren zu bestehen oder die Nutzung von Microsoft 365 zu überdenken, falls keine solche Garantie vertraglich festgelegt wird.

Wie nutzen Sie Datenschutz-Tools und -Einstellungen in Microsoft 365?

Um den Schutz Ihrer Daten effektiv zu gewährleisten, ist es unerlässlich, dass Sie sich gründlich mit den Datensicherheitstools und -einstellungen von Microsoft 365 vertraut machen und diese korrekt anwenden. Stellen Sie sicher, dass Sie die Datenklassifizierung, Verschlüsselung und Zugriffssteuerung gezielt nutzen, um die Sicherheit Ihrer Informationen zu maximieren.

Microsoft 365 bietet verschiedene spezifische Tools und Funktionen für Datensicherheit, die für Datenklassifizierung, Verschlüsselung und Zugriffssteuerung verwendet werden können. Hier sind einige der Schlüsselkomponenten:

  1. Azure Information Protection (AIP): Dieses Tool ermöglicht die Klassifizierung und den Schutz von Dokumenten und E-Mails durch Anwenden von Labels, die Regeln für die Zugänglichkeit und den Schutz festlegen.
  2. Microsoft Defender for Office 365: Bietet Schutz vor Bedrohungen wie Phishing und Malware in Office 365-Anwendungen wie Outlook.
  3. Office 365 Advanced Threat Protection (ATP): Ein Service, der hilft, Ihre Daten vor fortgeschrittenen Bedrohungen zu schützen, durch Funktionen wie Safe Links und Safe Attachments.
  4. Data Loss Prevention (DLP) Policies: Diese Richtlinien helfen, den Verlust von sensiblen Informationen zu verhindern, indem sie automatisch Daten identifizieren, überwachen und schützen, die durch die Office 365-Umgebung fließen.
  5. Microsoft Compliance Center: Ein zentrales Tool, das Datenschutz- und Compliance-Management über verschiedene Microsoft 365-Dienste hinweg ermöglicht.

Diese Tools und Funktionen zusammen bieten eine robuste Infrastruktur, um Daten innerhalb der Microsoft 365-Umgebung effektiv zu schützen und zu verwalten. Es ist wichtig, dass Unternehmer diese Tools nicht nur kennen, sondern auch aktiv in ihre IT-Sicherheitsstrategien einbinden und regelmäßig aktualisieren, um den Schutz sensibler Daten sicherzustellen.

Welche Bedeutung haben Compliance und Zertifizierungen bei Microsoft 365?

Microsoft 365 erfüllt zahlreiche Compliance-Standards und Zertifizierungen, die spezifische Anforderungen an Datenschutz und Sicherheit abdecken. Dies kann Unternehmen unterstützen, regulatorische Anforderungen zu erfüllen. Obwohl Microsoft 365 zahlreiche Compliance-Standards und Zertifizierungen erfüllt, die helfen können, regulatorische Anforderungen zu erfüllen, kann dies allein für Unternehmen nicht immer ausreichend sein, um vollständige Compliance und optimalen Datenschutz zu gewährleisten. Hier sind weitere Maßnahmen, die Unternehmen ergreifen sollten:

  1. Eigene Risikoanalysen durchführen: Unternehmen sollten nicht ausschließlich auf die von Microsoft bereitgestellten Sicherheitsmaßnahmen vertrauen, sondern eigene Risikoanalysen durchführen, um spezifische Sicherheitslücken zu identifizieren, die für ihre individuellen Betriebsabläufe relevant sind.
  2. Zusätzliche Sicherheitslösungen implementieren: Abhängig von der Sensibilität der verarbeiteten Daten und den spezifischen Bedrohungen, denen ein Unternehmen ausgesetzt sein könnte, kann es notwendig sein, zusätzliche Sicherheitstechnologien und -protokolle einzuführen, wie erweiterte Verschlüsselungsmethoden, Multi-Faktor-Authentifizierung und fortgeschrittene Endpunktsicherheit.
  3. Regelmäßige Schulungen und Awareness-Programme: Die Sicherheit der Daten hängt wesentlich von den Personen ab, die damit arbeiten. Regelmäßige Schulungen und Awareness-Programme für Mitarbeiter sind entscheidend, um sie über die neuesten Sicherheitsbedrohungen aufzuklären und sicherzustellen, dass sie die Sicherheitsrichtlinien des Unternehmens verstehen und befolgen.
  4. Datenschutzbeauftragten einbinden: In vielen Fällen kann es hilfreich oder sogar gesetzlich vorgeschrieben sein, einen Datenschutzbeauftragten zu haben. Dieser kann sicherstellen, dass das Unternehmen die Datenschutzpraktiken ständig überwacht und verbessert sowie Compliance mit Datenschutzgesetzen wie der DSGVO gewährleistet.
  5. Überprüfung und Aktualisierung von Datenschutzrichtlinien: Datenschutz und Compliance sind dynamische Bereiche, die sich ständig weiterentwickeln. Unternehmen sollten ihre Datenschutzrichtlinien regelmäßig überprüfen und aktualisieren, um mit neuen gesetzlichen Anforderungen und technologischen Entwicklungen Schritt zu halten.
  6. Externe Audits und Zertifizierungen: Neben den von Microsoft bereitgestellten Zertifizierungen kann es sinnvoll sein, unabhängige Audits durchzuführen, um die Einhaltung externer und interner Vorgaben sicherzustellen.

Durch die Kombination dieser Maßnahmen mit den von Microsoft 365 bereitgestellten Compliance-Features können Unternehmen ein robustes Sicherheits- und Compliance-Framework schaffen, das ihren spezifischen Anforderungen gerecht wird.

Wie gewährleisten Sie die Datenschutzrechte der Benutzer mit Microsoft 365?

Datenschutzgesetze räumen Benutzern bestimmte Rechte bezüglich ihrer Daten ein, wie den Zugang zu und die Löschung von ihren Daten. Unternehmen müssen Mechanismen implementieren, die es Benutzern ermöglichen, diese Rechte auszuüben.
Um den Anforderungen von Datenschutzgesetzen wie der DSGVO gerecht zu werden, die Nutzern spezifische Rechte bezüglich ihrer Daten einräumen, müssen Unternehmen effektive Mechanismen implementieren, die es Nutzern ermöglichen, diese Rechte auszuüben. Hier ist ein Beispiel dafür, wie ein solcher Mechanismus aussehen könnte:

Implementierung eines Online-Datenzugriffs- und Löschportals


Dieses Beispiel zeigt, wie Unternehmen durch die Bereitstellung eines speziellen Portals Nutzern ermöglichen können, ihre Datenschutzrechte aktiv und einfach auszuüben. Durch solche Maßnahmen kann ein Unternehmen Transparenz fördern und das Vertrauen der Nutzer in den Umgang mit ihren personenbezogenen Daten stärken.

Wie stellen Sie eine verantwortungsbewusste Datennutzung mit Microsoft 365 sicher?

Es ist unerlässlich, dass Unternehmen die Daten in Microsoft 365 verantwortungsbewusst und gemäß den Datenschutzrichtlinien und -vereinbarungen nutzen. Dies umfasst auch den sorgfältigen Umgang mit der Datenweitergabe an Dritte.
Ein praktisches Beispiel für den verantwortungsbewussten Umgang mit Daten in Microsoft 365, insbesondere im Hinblick auf die Weitergabe von Informationen an Dritte und die Speicherung von Daten, könnte wie folgt aussehen:

Beispiel: Nutzung von Microsoft Teams für Kundengespräche

Situation: Ein Unternehmen nutzt Microsoft Teams, um Meetings mit verschiedenen Kunden abzuhalten.

Microsoft 365 Schulungsbedarf

Datenschutzschulung
Mitarbeiter müssen geschult werden, wie sie Microsoft Teams und andere Tools sicher nutzen, insbesondere im Umgang mit sensiblen Kundendaten. Die Schulung sollte Aspekte wie die Sicherheitseinstellungen für Meetings, das korrekte Einladen von Teilnehmern und die Speicherung von Meeting-Aufzeichnungen umfassen.

Datenspeicherung und Zugriffskontrolle

Speicherort für Meeting-Aufzeichnungen
Mitarbeiter müssen darauf hingewiesen werden, dass Aufzeichnungen von Kundengesprächen nur in dafür vorgesehenen, sicheren Bereichen innerhalb von Microsoft 365 gespeichert werden dürfen, auf die nur autorisiertes Personal Zugriff hat.

Einladungen
Es muss klargestellt werden, dass für jedes Meeting mit unterschiedlichen Kunden separate Einladungen erstellt werden müssen, um zu vermeiden, dass Informationen zwischen den Kunden ausgetauscht oder versehentlich zugänglich gemacht werden.

Rechtekonzept
Das Unternehmen sollte ein detailliertes Rechtekonzept implementieren, das regelt, wer innerhalb des Unternehmens Zugang zu welchen Kundendaten hat. Dies schließt den Zugriff auf Aufzeichnungen und Chat-Protokolle in Teams ein.

Datenweitergabe an Dritte

Drittanbieter-Apps
Vorsicht beim Einsatz von Drittanbieter-Apps innerhalb von Teams. Nicht alle Drittanbieter halten die gleichen Datenschutzstandards ein. Mitarbeiter sollten geschult werden, nur genehmigte Apps zu verwenden und bei Unsicherheiten Rücksprache mit der IT-Abteilung zu halten.

Externe Teilnehmer
Beim Einladen externer Teilnehmer zu Teams-Meetings sollte darauf geachtet werden, dass keine sensiblen Informationen in gemeinsam genutzten Dateien oder im Meeting-Chat offenbart werden.

Überwachung und Überprüfung

Regelmäßige Audits
Das Unternehmen sollte regelmäßige Überprüfungen der Nutzung von Microsoft Teams und anderer Microsoft 365-Anwendungen durchführen, um sicherzustellen, dass die Datenschutzpraktiken eingehalten werden.

Feedback und Anpassung
Mitarbeiter sollten ermutigt werden, Feedback zu Datenschutzproblemen zu geben, und das Unternehmen sollte bereit sein, Prozesse entsprechend anzupassen, um die Sicherheit und Compliance zu verbessern.

Durch solche gezielten Schulungsmaßnahmen und klare Richtlinien kann ein Unternehmen sicherstellen, dass die Nutzung von Microsoft 365 nicht nur effektiv, sondern auch sicher und im Einklang mit Datenschutzrichtlinien erfolgt. Dies schützt nicht nur die Daten des Unternehmens, sondern auch die Privatsphäre der Kunden und fördert das Vertrauen in die Geschäftsbeziehungen.

Warum sind Datenschutzschulungen wichtig?

Die Schulung von Mitarbeitern in Datenschutzbestimmungen und bewährten Praktiken ist entscheidend, um Datenschutzverletzungen zu minimieren. Ein gut informiertes Team ist eine der besten Verteidigungen gegen Datenschutzrisiken.

Wie treffen Sie eine fundierte Entscheidung über den Einsatz von Microsoft-Produkten?

Durch die Berücksichtigung der oben genannten Aspekte können Unternehmen einen robusten Datenschutzrahmen schaffen, der die Sicherheit ihrer Daten gewährleistet und gleichzeitig die Compliance mit den relevanten Datenschutzgesetzen sicherstellt. Es ist essenziell, eine fundierte Datenschutzstrategie auf der Grundlage einer sorgfältigen Analyse der damit verbundenen Risiken und Vorteile zu entwickeln. Die Konsultation von Experten kann dabei von unschätzbarem Wert sein. Gespräche mit Ihrem Datenschutzbeauftragten oder juristischen Beratern sind entscheidend, um eine gut durchdachte Entscheidung zu fällen. Speziell für Organisationen, die im juristischen oder kanzleiinternen Bereich tätig sind, bieten wir maßgeschneiderte Beratungsleistungen an, die darauf abzielen, die Einhaltung von Datenschutzgesetzen beim Einsatz von Microsoft-Produkten zu gewährleisten.

Veröffentlicht am

Wie können Sie Microsoft 365 datenschutzkonform nutzen? Ein umfassender Leitfaden

Das Thema Datenschutz in Bezug auf Microsoft 365 ist in Fachkreisen umstritten und die Meinungen dazu sind gespalten. Es ist jedoch wichtig, sich nicht ausschließlich auf Probleme zu konzentrieren, sondern auf Lösungen, um diese in den Griff zu bekommen. Stattdessen sollte man erkennen, dass eine angemessene Vorgehensweise es ermöglicht, die vielfältigen Vorteile von Microsofts Clouddiensten effektiv in den Arbeitsalltag zu integrieren.

Es ist durchaus möglich, die vielen Vorteile von Cloud-Diensten wie Microsoft 365 für Unternehmen zu nutzen. Dazu zählen unter anderem eine verbesserte Zusammenarbeit, erhöhte Flexibilität und Skalierbarkeit. Um diese Vorteile voll auszuschöpfen und gleichzeitig den Datenschutz zu gewährleisten, ist eine datenschutzkonforme Einrichtung und Verwaltung von Microsoft 365 notwendig.

In diesem Artikel erfahren Sie, wie Sie Microsoft 365 datenschutzkonform in den Arbeitsalltag Ihres Unternehmens integrieren können. Hier finden Sie die entscheidenden Schritte, um eine sichere und rechtskonforme Nutzung zu gewährleisten:

Finden Sie die optimale Microsoft 365 Lizenzierung für Ihr Unternehmen

Die Wahl der passenden Microsoft 365-Lizenz ist ausschlaggebend, um sowohl den Bedürfnissen Ihres Unternehmens gerecht zu werden als auch die Datenschutzbestimmungen einzuhalten. Eine optimale Lizenzierung gewährleistet es, dass Sie nicht nur effizient und kostengünstig arbeiten können, sondern auch keine Kompromisse bei der Sicherheit Ihrer Daten eingehen müssen.

Eine empfehlenswerte Strategie insbesondere für Unternehmen ist eine Kombination aus „Microsoft 365 Business Premium“ für die Mitarbeiter und „Microsoft 365 E5“ für Administratoren zu wählen. „Microsoft 365 Business Premium“ bietet eine solide Grundlage für die tägliche Arbeit und Zusammenarbeit innerhalb Ihres Unternehmens. Diese Lizenz umfasst alle wesentlichen Tools, die für effiziente Kommunikation und Produktivität benötigt werden. Ergänzend dazu bietet die „Microsoft 365 E5“-Lizenz zusätzliche Sicherheits- und Compliance-Tools. Diese Erweiterungen sind besonders für Administratoren entscheidend, da sie umfangreichere Kontrollmöglichkeiten und Schutzmechanismen für Netzwerke und Unternehmensdaten bereitstellen.

Weitere Informationen zu den genannten Lizenzierungen und den spezifischen Features jeder Lizenzoption finden Sie direkt auf der Microsoft-Website unter:

Stellen Sie sicher, dass alle notwendigen Verträge vorliegen

Verlassen Sie sich nicht ausschließlich auf Ihren IT-Dienstleister. Als Vertragspartner tragen Sie letztlich die rechtliche Verantwortung.

Es ist von entscheidender Bedeutung, dass Sie sich vorher mit den Verträgen mit Microsoft, sowie mit den Bestimmungen der DSGVO und anderer relevanter Datenschutzgesetze auseinandersetzen. Nur so können Sie gewährleisten, die Richtige Lizenz für Ihr Unternehmen zu wählen und den Datenschutzbestimmungen zu entsprechen. Daher ist eine gründliche Überprüfung und sorgfältige Zusammenstellung der Auftragsverarbeitungsverträge unerlässlich. Die Verträge können Sie unter folgendem Link einsehen: https://www.microsoft.com/licensing/docs

Einbeziehen des Betriebsrat bei Microsoft 365

Falls ein Betriebsrat existiert, ist es erforderlich, diesen in den Prozess einzubeziehen. Die Kooperation mit dem Betriebsrat bei der Erstellung von Dienstvereinbarungen trägt dazu bei, den Einsatz von Microsoft 365 in Ihrem Unternehmen rechtssicher zu gestalten.

Konfiguration Ihres Microsoft 365 Tenants und Anpassung Ihrer Sicherheitseinstellungen

Eine fachgerechte Beratung zur optimalen Konfiguration Ihres Microsoft 365-Tenants ist essentiell, um Datenschutz und Sicherheit zu maximieren, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Zusätzlich ist es wichtig, Ihre Sicherheitseinstellungen regelmäßig zu überprüfen und anzupassen. Dies stellt sicher, dass Ihre Einstellungen stets den aktuellen Sicherheitsstandards entsprechen.

Warum ist das wichtig?

Sicherheitseinstellungen müssen kontinuierlich den neuesten Bedrohungen und Risiken angepasst werden, um Datenlecks und andere Sicherheitsverletzungen zu vermeiden.

Wie wird das umgesetzt?

Dies sollte durch regelmäßige Sicherheitsüberprüfungen und Beratungen von Experten in IT-Sicherheit und Datenschutz erfolgen, die Ihnen dabei helfen, stets starke und effektive Sicherheitsmaßnahmen zu implementieren.

Wer kann das für Sie tun?

Fachkundige IT-Dienstleister oder Ihre interne IT-Abteilung sollten hierfür verantwortlich sein.

Anfertigung einer Risikoanalyse

Bei der Einführung neuer Software ist stets vorab eine Risikoanalyse durchzuführen. Diese Analyse dient dazu, mögliche Risiken zu identifizieren, die mit der Nutzung der Software verbunden sein könnten. Abhängig von den Ergebnissen dieser Risikobewertung kann zudem eine Datenschutzfolgeabschätzung erforderlich sein (Art. 35 DSGVO), besonders wenn die Software personenbezogene Daten verarbeitet und damit potenzielle Datenschutzrisiken birgt.

Eine Risikoanalyse umfasst üblicherweise mehrere Schritte: Zunächst wird das Szenario, in dem die Software eingesetzt wird, genau untersucht. Es folgt die Identifikation und Bewertung aller denkbaren Risiken, die sich aus der Nutzung der Software ergeben könnten. Diese Risiken werden dann nach ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen kategorisiert. Auf Basis dieser Informationen werden Maßnahmen entwickelt, um die Risiken zu minimieren oder gänzlich zu vermeiden. Dieser Prozess hilft, den sicheren und konformen Einsatz der Software im Unternehmenskontext sicherzustellen.

Bei der Durchführung einer Risikoanalyse und einer Datenschutzfolgeabschätzung können verschiedene Experten hilfreich sein:

  1. Datenschutzbeauftragte: Diese Fachleute sind speziell ausgebildet, um Unternehmen bei der Einhaltung von Datenschutzgesetzen zu unterstützen. Sie können bei der Identifizierung von Risiken helfen und Empfehlungen zur Minimierung dieser Risiken geben.
  2. IT-Sicherheitsexperten: Diese Experten haben tiefgreifendes Wissen über Netzwerksicherheit, Softwarekonfiguration und Cyber-Risikomanagement. Sie können technische Risiken bewerten und entsprechende Sicherheitsmaßnahmen vorschlagen.
  3. Rechtsberater: Anwälte, die auf Datenschutzrecht spezialisiert sind, können rechtliche Beratung bieten, um sicherzustellen, dass alle Aktivitäten im Einklang mit den geltenden Gesetzen und Vorschriften stehen.
  4. Externe Beratungsfirmen: Viele Unternehmen spezialisieren sich auf Datenschutz und IT-Sicherheit und bieten umfassende Beratungsdienste an, die von der Risikoanalyse bis zur Implementierung von Datenschutzstrategien reichen.

Eine Zusammenarbeit der genannten Fachleute ist zu empfehlen, um ein umfassendes Bild der Risiken und erforderlichen Schutzmaßnahmen zu erhalten und so die sichere Einführung neuer Software zu gewährleisten.

Praktische Tipps zur Handhabung gibt der Bayerische Landesbeauftragte für Datenschutz im folgenden Dokument: https://www.datenschutz-bayern.de/dsfa/OH_Risiko.pdf

Verzeichnis von Verarbeitungstätigkeiten

Für die Sicherstellung von Transparenz und die Einhaltung gesetzlicher Bestimmungen ist es unerlässlich, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die personenbezogene Daten betreffen. Dies gilt auch für die Datenverarbeitung, die im Rahmen des Einsatzes von Microsoft 365 erfolgt. Alle Verarbeitungstätigkeiten, die Sie im Zusammenhang mit Ihrem Unternehmen durchführen, müssen in diesem Verzeichnis erfasst werden.

Gesetzestext und Handlungsempfehlungen:
Nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, ein solches Verzeichnis zu führen. Es sollte nicht nur die Art der Daten und den Zweck der Verarbeitung dokumentieren, sondern auch die betroffenen Personengruppen und die Datenempfänger auflisten. Dieses Verzeichnis ist regelmäßig zu aktualisieren und bei der Implementierung neuer Tools oder Verarbeitungsaktivitäten entsprechend anzupassen.

Was macht ein Verzeichnis von Verarbeitungstätigkeiten?
Ein Verzeichnis von Verarbeitungstätigkeiten dient dazu, einen Überblick über alle Prozesse zu bieten, bei denen personenbezogene Daten verarbeitet werden. Es hilft nicht nur dabei, die Verarbeitungsvorgänge innerhalb eines Unternehmens transparent zu machen, sondern auch dabei, regulatorischen Anforderungen nachzukommen. Das Verzeichnis ist somit ein zentrales Instrument zur Risikoverwaltung und -überwachung in Bezug auf den Datenschutz.

Expertenunterstützung bei Risikoanalysen und Datenschutzfolgeabschätzungen:
Bei der Durchführung einer Risikoanalyse und Datenschutzfolgeabschätzung sind verschiedene Experten wie Datenschutzbeauftragte, IT-Sicherheitsexperten, Rechtsberater und spezialisierte Beratungsfirmen erforderlich. Sie arbeiten zusammen, um Risiken zu identifizieren und Schutzmaßnahmen zu entwickeln, die die Einhaltung der Datenschutzgesetze gewährleisten und die Sicherheit der Softwarenutzung sicherstellen.

Erstellen eines Berechtigungskonzept

Erstellen Sie ein Berechtigungskonzept. Ein effektives Berechtigungskonzept stellt sicher, dass Inhalte nur von Personen eingesehen werden können, die dazu autorisiert sind. Die Verwaltung und Vergabe dieser Zugriffsrechte, muss zentral durch eine verantwortliche Person oder Abteilung gesteuert werden, um den Zugang adäquat zu regeln und bei Bedarf einzuschränken. Somit entsprechen Sie auch dem in der DSGVO Artikel 5 (1) c  geforderten Grundsatz der Datenminimierung. Nur die Personen haben Zugriff auf die Daten, die Sie unbedingt benötigen.

In Microsoft 365 E5 sind umfangreiche Funktionen zur Rechteverwaltung und zum Zugriffsmanagement enthalten. Diese Suite bietet erweiterte Sicherheitsfeatures, die es Administratoren ermöglichen, Berechtigungen präzise zu steuern und zu überwachen. Dazu gehören Tools zur Identitäts- und Zugriffsverwaltung, die sicherstellen, dass nur berechtigte Nutzer Zugriff auf bestimmte Informationen und Ressourcen haben. E5 beinhaltet zudem erweiterte Compliance- und Sicherheitsmaßnahmen, die besonders für Unternehmen mit hohen Sicherheitsanforderungen geeignet sind.

Binden Sie Ihre Mitarbeiter ein

Schulungen allein reichen nicht aus. Es ist ebenso wichtig, die Mitarbeiter umfassend darüber zu informieren, welche Tools sie nutzen, zu welchem Zweck diese eingesetzt werden und welche datenschutzrechtlichen Herausforderungen dabei auftreten können. Zusätzlich sollten sie lernen, wie sie auf spezifische Probleme reagieren können. Ein praktisches Beispiel hierfür ist der Umgang mit Links: Mitarbeiter müssen geschult werden, Links sicher zu erkennen und weiterzugeben, um zu verhindern, dass unberechtigte Personen Zugang zu sensiblen Informationen erhalten. Praxisorientierte Online-Schulungen, die speziell auf die Bedürfnisse der Mitarbeiter abgestimmt sind, spielen eine entscheidende Rolle dabei, das Bewusstsein für Datenschutzpraktiken zu schärfen und einen sicheren Umgang nicht nur mit Microsoft 365 zu gewährleisten, sondern mit allen technischen Anwendungen, die im Arbeitsalltag genutzt werden.

Microsoft 365 Administratoren und Datenschutz

Es ist essentiell, sich auf Ihren IT-Dienstleister zu verlassen, wenn es um die Durchführung administrativer Einstellungen geht. Dabei sollten Sie besonders darauf achten, ob der Dienstleister entsprechende Microsoft Zertifizierungen besitzt, die seine Kompetenz und Vertrauenswürdigkeit im Bereich IT-Sicherheit und Datenschutz bestätigen. Um sicherzustellen, dass eigene Administratoren die Datenschutz- und Sicherheitseinstellungen effektiv verwalten können, sind speziell entwickelte Online-Schulungsprogramme erforderlich, die ihnen das notwendige Wissen vermitteln. Ein guter Hinweis hierfür ist, dass der entsprechende Dienstleister z.B. eine Zertifizierung als CSP-Partner oder LAR-Partner hat.

Implementierung eines Dokumentenmanagementsystem (DMS)

Ein Dokumentenmanagementsystem (DMS) ist eine unverzichtbare Lösung für die sichere Verwaltung von personenbezogenen Daten. Durch die Implementierung eines DMS, das den Datenschutzbestimmungen entspricht, gewährleisten Unternehmen einen sicheren Umgang mit sensiblen Informationen. Diese Maßnahme ist grundsätzlich von entscheidender Bedeutung, da sie sicherstellt, dass die Nutzung von Microsoft 365 und anderen Programmen, nicht nur effizient, sondern auch vollständig datenschutzkonform ist.
Je nach den Anforderungen Ihres Unternehmens und Ihrem Budget können Sie das für Sie passende DMS auswählen. Es ist ratsam, eine gründliche Recherche durchzuführen und gegebenenfalls Fachleute oder Berater hinzuzuziehen, um die beste Lösung für Ihre Bedürfnisse zu finden.

Fazit zu Microsoft 365

Die Datenschutzkonformität von Microsoft 365 ist ein kontroverses Thema, das weiterhin Diskussionen hervorrufen wird. Doch durch die Berücksichtigung der empfohlenen Richtlinien ist eine datenschutzkonforme Nutzung möglich.

Die Auswahl der passenden Datenschutzstrategie ist dabei von entscheidender Bedeutung und erfordert eine gründliche Auseinandersetzung mit den Bedürfnissen Ihres Unternehmens, sowie den dazu nötigen Werkzeugen. Dies umfasst die Festlegung von Zielen sowie die Auswahl und Konfiguration der richtigen Produkteinstellungen, um die Datenschutzkonformität zu gewährleisten.

Eine fundierte Entscheidung basiert auf einer detaillierten Analyse der damit verbundenen Risiken und Vorteilen, wobei es empfehlenswert ist, sich hierbei von Experten beraten zu lassen. Eine Diskussion mit dem Datenschutzbeauftragten oder rechtlichen Beratern kann dabei helfen, eine wohlüberlegte Entscheidung zu treffen.

Veröffentlicht am

Microsoft Copilot – Game-Changer für den Arbeitsalltag in Steuer- und Rechtsanwaltskanzleien? 

Die Nutzung von KI verspricht den Arbeitsalltag zu erleichtern und die Produktivität steigern. Doch der Einsatz von Ki im Unternehmen gestaltet sich vielfältig und komplex. Im Folgenden wird sich damit auseinandergesetzt, welche Vorteile und Nachteile die Nutzung des Microsoft Copilot im Arbeitsalltag mit sich bringt und welche datenschutzrechtlichen Anforderungen Sie dabei beachten müssen. 

Was ist der Microsoft Copilot? 

Bei dem Microsoft Copiloten handelt es sich um ein KI-gestütztes Tool. Microsoft verspricht dem Nutzer bei Verwendung des Microsoft Copilot einige Vorteile: 

  • Effizienzsteigerung: Copilot kann Entwicklern helfen, schneller zu programmieren, indem es Codevorschläge macht und repetitiven Code automatisiert. 
  • Qualitätsverbesserung: Durch die Bereitstellung von kontextbezogenen Codevorschlägen kann Copilot dazu beitragen, Fehler zu vermeiden und die Codequalität zu verbessern. 
  • Lernfähigkeit: Copilot lernt kontinuierlich aus dem Code, mit dem er arbeitet, und kann so im Laufe der Zeit besser werden, indem er Muster erkennt und optimale Lösungen vorschlägt. 
  • Entlastung von Routineaufgaben: Entwickler können sich auf anspruchsvollere Aufgaben konzentrieren, da Copilot einfache und repetitive Aufgaben übernehmen kann. 
  • Erleichterung der Zusammenarbeit: Copilot kann als nützliches Werkzeug für Teams dienen, indem es Codevorschläge und Kontext für verschiedene Entwicklungsprojekte bereitstellt. 
  • Einfachere Einarbeitung: Neue Entwickler können vom Copilot profitieren, indem sie Codebeispiele und Erklärungen erhalten, die ihnen helfen, sich schneller in neue Projekte einzuarbeiten. 

Welche Daten werden durch den Microsoft Copilot verarbeitet? 

Der Microsoft Copilot verarbeitet eine Vielzahl von Daten, um seine Funktionen auszuführen.  

Dabei handelt es sich hauptsächlich um Codes und die damit verbundene Metadaten, wie beispielsweise Codezeilen, Kommentare und Dokumentationen. Diese Daten sind größtenteils öffentlich zugänglich und enthalten normalerweise keine personenbezogenen Informationen. Es werden auch keine persönlichen oder sensiblen Daten der Entwickler verarbeitet, es sei denn, diese werden absichtlich im Code integriert.  

Zudem hat der Copilot Zugriff auf alle Inhalte, die ein Nutzer durch die Verwendung von Microsoft 365 eingibt. Sprich, durch Verwendung des Copilots, hat Microsoft Zugriff auf sämtliche Organisationsdaten innerhalb des Microsoft-Tenants.  

Microsoft versucht nach eigenen Angaben, Risken in der Verarbeitungstätigkeit zu minimieren, indem einzelne Kundeninhalte innerhalb der Mandanten der Organisation logisch getrennt werden. Die Vertraulichkeit und Integrität der Kundendaten sollen zudem durch strenge physische Sicherheitsmaßnahmen, Hintergrundprüfungen und eine mehrschichtige Verschlüsselung sichergestellt werden. 

Nähere Informationen finden Sie direkt bei Microsoft unter: https://learn.microsoft.com/de-de/microsoft-365-copilot/microsoft-365-copilot-privacy

Datenschutz und Microsoft Copilot 

Neben den oben bereits genannten Vorteilen kann es jedoch auch zu erheblichen Nachteilen bei der Nutzung des Copilots kommen.  

  • Unerwünschte Offenlegung von sensiblen Informationen: Da der Copilot auf öffentlich verfügbaren Code zugreift und diesen analysiert, könnten sensible oder vertrauliche Informationen im Code enthalten sein, die versehentlich offengelegt werden. 
  • Fehlende Kontrolle über Code-Übertragung: Entwickler haben möglicherweise Bedenken hinsichtlich der Übertragung ihres Codes an Microsoft und der damit verbundenen Datensicherheit, insbesondere wenn es um proprietäre oder sensible Projekte geht. 
  • Abhängigkeit von externen Diensten: Die Nutzung des Copiloten bedeutet eine Abhängigkeit von einem externen Dienstleister (Microsoft), was Bedenken hinsichtlich der Kontrolle über den eigenen Entwicklungsprozess und potenzieller Auswirkungen auf die Projektsicherheit und -integrität aufwerfen kann. 
  • Fehlende Transparenz über Datenverarbeitung: Einige Nutzer äußern Bedenken über die mangelnde Transparenz bezüglich der genauen Art und Weise, wie der Copilot Daten verarbeitet, analysiert und speichert, sowie darüber, wie lange diese Daten aufbewahrt werden. 
  • Risiko von Datenschutzverletzungen: Trotz Bemühungen von Microsoft, die Privatsphäre zu schützen, besteht immer ein gewisses Risiko von Datenschutzverletzungen oder unbefugtem Zugriff auf die verarbeiteten Daten. 

Microsoft ist zwar bestrebt, die Datenschutz- und Sicherheitsbedenken zu berücksichtigen und den Copiloten im Einklang mit den geltenden Datenschutzbestimmungen zu betreiben. Diese Zusicherungen finden sich jedoch weder schriftlich festgehalten in den Supplemental Terms noch im Auftragsverarbeitungsvertrag von Microsoft.  

Problemtisch ist der für den Copilot geltenden Auftragsverarbeitungsvertrag selbst, da hier der Passus enthalten ist, dass Microsoft das Recht hat, zumindest Diagnose- und Metadaten zu eigenen Zwecken zu verarbeiten (vgl. Microsoft DPA, S. 7).  

Zumindest die Möglichkeit, dass Microsoft die Daten für eigene Zwecke nutzt, kann somit nicht ausgeschlossen werden, da es an einer vertraglichen Grundlage für dieser Zusicherung mangelt. Daher ist es ratsam, dass Nutzer sich bewusst sind, welche Daten sie mit dem Copiloten teilen, und gegebenenfalls zusätzliche Schutzmaßnahmen ergreifen. 

Microsoft Copilot – DS-GVO konform nutzbar? 

Die Frage, ob Microsoft Copilot DSGVO-konform genutzt werden kann, ist nicht mit einem einfachen „Ja“ oder „Nein“ zu beantworten. Die Antwort hängt von verschiedenen Faktoren ab. Die DS-GVO (https://dsgvo-gesetz.de/) regelt den Datenschutz und den Umgang mit personenbezogenen Daten innerhalb der Europäischen Union. Bei der Nutzung von Diensten wie Microsoft Copilot müssen verschiedene Aspekte berücksichtigt werden: 

  • Datenverarbeitung: Microsoft Copilot verarbeitet Daten, darunter möglicherweise auch personenbezogene Daten wie Code, der personenbezogene Informationen enthalten könnte. Es ist wichtig sicherzustellen, dass die Verarbeitung dieser Daten den Anforderungen der DSGVO entspricht, insbesondere was die Rechtmäßigkeit, Fairness und Transparenz der Verarbeitung betrifft. 
  • Datensicherheit: Gemäß der DSGVO müssen angemessene Maßnahmen ergriffen werden, um die Sicherheit personenbezogener Daten zu gewährleisten. Microsoft muss sicherstellen, dass angemessene Sicherheitsmaßnahmen implementiert sind, um die Daten vor unbefugtem Zugriff, Verlust oder Diebstahl zu schützen. 
  • Informationspflichten: Gemäß der DSGVO müssen Benutzer über die Verarbeitung ihrer Daten informiert werden, einschließlich darüber, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht. Microsoft muss sicherstellen, dass Benutzer angemessen informiert werden und ihre Zustimmung gegebenenfalls einholen, wenn dies erforderlich ist. 
  • Datenübermittlung: Wenn personenbezogene Daten außerhalb der Europäischen Union übertragen werden, gelten besondere Anforderungen gemäß der DSGVO. Microsoft muss sicherstellen, dass angemessene rechtliche Mechanismen vorhanden sind, um die Übermittlung personenbezogener Daten in Länder außerhalb der EU zu legitimieren. 

Benutzer sollten sich bewusst sein, dass die Nutzung von Diensten wie dem Copiloten auch ihre eigenen Pflichten als datenschutzrechtlich Verantwortlicher mit sich bringt, insbesondere dann, wenn personenbezogene Daten im Unternehmen verarbeitet werden. Der Verantwortliche Unternehmer bestimmt selbst den Zweck, zu dem er den Copiloten verwenden will. Auch sollte nicht übersehen werden, Mitarbeiter genau zu informieren und die Nutzung des Copilots durch Festlegung eines Berechtigungskonzeptes zu begrenzen. 

Verantwortlichen ist zu raten, sich über die Datenschutzbestimmungen und -praktiken von Microsoft zu informieren und sich gegebenenfalls rechtlichen Rat einzuholen, bevor Sie mit der Umsetzung im Unternehmen beginnen. Nur so kann sichergestellt werden, dass die Nutzung des Copiloten den geltenden Datenschutzgesetzen entspricht. 

Hilfe für die Integration von KI finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in der veröffentlichten Checkliste für die datenschutzkonforme Nutzung von künstlicher Intelligenz unter: https://www.lda.bayern.de/media/ki_checkliste.pdf

Datenschutzfolgeabschätzung (DSFA) 

Bevor Sie sich für die Nutzung des Copilots entscheiden, sollten Sie zunächst prüfen, ob die KI, die Sie einsetzen wollen, die Erstellung einer Datenschutzfolgeabschätzung (DSFA) erforderlich macht. In der Bayerischen Blacklist (erstellt durch den Bayerischen Landesbeauftragten für Datenschutz) werden Fallgruppen aufgeführt, in welchen eine Datenschutzfolgenabschätzung erforderlich ist. Ob Sie für die von Ihnen ausgewählte KI tatsächlich eine Datenschutzfolgeabschätzung durchführen müssen, hängt maßgeblich von dem Zweck ab, für den Sie die KI nutzen möchten. Die Bayerische Blacklist finden Sie unter folgendem Link: https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf

Im Rahmen der Datenschutzfolgeabschätzung werden die möglichen Risiken ermittelt und diesen mit geeigneten Maßnahmen zu begegnen. Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung (DS-GVO) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

Die Nutzung des Microsoft Copiloten ist wie bereits dargestellt, komplex und kann gegebenenfalls ein erhebliches Risiko für die Rechte und Freiheiten der Betroffenen darstellen. Die hängt aber wie bereits erwähnt von dem Zweck ab, für die Sie den Copilot im Unternehmen nutzen möchten. 

Nähere Informationen zur Datenschutzfolgeabschätzung finden Sie im Kurzpapier Nr. 5 der DSK (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf

Warum Microsoft Copilot für Steuer- und Rechtsanwaltskanzleien in Deutschland ein Game-Changer sein könnte 

In der heutigen digitalen Ära sind Effizienz und Innovation die Schlüssel zum Erfolg. Dies gilt auch für Steuer- und Rechtsanwaltskanzleien. Mit der Einführung von Microsoft Copilot, einer fortschrittlichen künstlichen Intelligenz (KI), die speziell für Geschäftsanwendungen entwickelt wurde, eröffnen sich neue Horizonte für Kanzleien in Deutschland. Trotz derzeitiger Kritik kann der Microsoft Copilot für Steuer- und Rechtsanwaltskanzleien von Interesse sein, um den Arbeitsalltag zu erleichtern und effizienter zu gestalten. Im Folgenden zeigen wir einige praktische Beispiele für den Einsatz in Excel, Teams und Word. 

  • Excel: Automatisierte Datenanalyse und Berichterstattung 

Sie könnten komplexe Finanzdaten mit einfachen Sprachbefehlen analysieren und visualisieren. Microsoft Copilot macht dies möglich, indem es die Erstellung von Berichten, die Analyse von Trends und sogar die Vorhersage zukünftiger Finanzentwicklungen vereinfacht. Steuerberater könnten Copilot beispielsweise bitten, „eine Prognose für die Umsatzentwicklung im nächsten Quartal basierend auf den letzten drei Jahren zu erstellen“, und innerhalb weniger Sekunden würde eine detaillierte Analyse direkt in Excel generiert. 

  • Teams: Effiziente Kommunikation und Projektmanagement 

In Teams könnte Copilot als digitaler Assistent dienen, der Besprechungen zusammenfasst, Aufgaben zuweist und Fristen überwacht. Nach einer Teams-Besprechung könnte Copilot automatisch eine Zusammenfassung der besprochenen Punkte erstellen und die nächsten Schritte für jedes Teammitglied festlegen, wodurch die Produktivität gesteigert und Kommunikationslücken geschlossen werden. 

  • Word: Schnelle Erstellung von Dokumenten 

Für Steuerkanzleien, die regelmäßig komplexe Berichte, Steuererklärungen oder Informationsbriefe erstellen, kann Copilot eine enorme Zeitersparnis bedeuten. Durch einfache Anweisungen kann Copilot Entwürfe erstellen, die den neuesten Steuervorschriften entsprechen, oder spezifische Steuerberatungsbriefe generieren, die nur noch einer finalen Überprüfung bedürfen. 

Die Nutzung von KI bietet Steuer- und Rechtsanwaltskanzleien in Deutschland die Möglichkeit, ihre Arbeitsprozesse zu revolutionieren, die Effizienz zu steigern und ihren Klienten einen Mehrwert zu bieten. Durch die Automatisierung routinemäßiger Aufgaben können Steuerberater mehr Zeit für hochwertige Beratung und strategische Planung aufwenden. Gleichzeitig müssen jedoch die datenschutzrechtlichen Aspekte sorgfältig berücksichtigt werden, um den Schutz personenbezogener Daten zu gewährleisten und regulatorische Anforderungen zu erfüllen. Mit der richtigen Vorbereitung und den geeigneten Maßnahmen, lassen sich KI wie der Microsoft Copilot im Arbeitsalltag integrieren. 

Fazit 

Die Entscheidung, den Microsoft Copiloten trotz datenschutzrechtlicher Bedenken zu nutzen, hängt von verschiedenen Faktoren ab und sollte sorgfältig abgewogen werden: 

  • Überprüfen Sie den Nutzen des Dienstes im Vergleich zu den potenziellen Datenschutzrisiken 
  • Bewerten Sie die Sensibilität der Daten, die Sie teilen möchten 
  • Prüfen Sie die Datenschutzpraktiken des Anbieters 
  • Erwägen Sie alternative Optionen, die Ihre Anforderungen erfüllen könnten 
  • Stellen Sie sicher, dass die Nutzung des Copiloten mit den Compliance-Anforderungen Ihrer Organisation übereinstimmt (ggf. Anpassung Ihrer TOMs ua.) 
  • Erstellen Sie ein Berechtigungskonzept und beschränken Sie die Zugriffe 
  • Erstellen Sie eine Datenschutzfolgeabschätzung (DSFA), falls die Nutzung ein Hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten kann 
  • Schulen Sie die Mitarbeiter, die Zugriff auf den Copiloten haben sollen im Umgang mit dem Copiloten 
  • Einbeziehung Ihres Datenschutzbeauftragten 

Letztendlich liegt die Entscheidung bei Ihnen und sollte auf einer umfassenden Bewertung der Risiken und Vorteile basieren. Es kann auch hilfreich sein, mit Ihrem Datenschutzbeauftragten /- Berater oder rechtlichen Beratern (z.B. uns) zu sprechen, um eine fundierte Entscheidung zu treffen. Wir bieten eine umfassende Beratung für den datenschutzkonformen Einsatz von Microsoft-Produkten im Kanzlei- und Unternehmensumfeld.

Veröffentlicht am

Google Consent Mode – Verbesserung der Datenschutzkonformität Ihrer Website? 

Was ist der Google Consent Mode? 

Der Google Consent Mode ist eine Funktion, von Google, um Website-Betreibern zu helfen, die Datenschutzrichtlinien der Europäischen Union (EU) einzuhalten, insbesondere die Anforderungen der Datenschutz-Grundverordnung (DS-GVO).  

Website-Betreibern wird durch Nutzung des Consent Modes ermöglicht, die Verwendung von Cookies und anderen Tracking-Technologien auf ihrer Website gezielt zu steuern, damit diese den Datenschutzrichtlinien entsprechen. Gleichzeitig wird die Funktionalität von Google-Produkten wie Google Analytics und Google Ads unterstützt. 

Der Consent Mode von Google zielt darauf ab, dass Google-Dienste wie Analytics und Ads das Zustimmungsniveau des Benutzers zur Verwendung von Cookies berücksichtigen können. Wenn ein Benutzer seine Zustimmung zur Verwendung von Cookies verweigert oder widerruft, kann der Consent Mode die Datenübertragung an Google entsprechend einschränken. Auf diese Weise können Website-Betreiber sicherstellen, dass sie die Datenschutzbestimmungen einhalten werden. 

Bewertung des Google Consent Mode aus Datenschutzsicht 

Die derzeitigen Meinungen und Bewertungen zum Google Consent Mode in Bezug auf Datenschutz und Compliance mit der DSGVO fallen unterschiedlich aus. Einige Datenschutzexperten und Organisationen begrüßen die Initiative von Google als einen Schritt in die richtige Richtung, um Website-Betreibern dabei zu helfen, die Datenschutzbestimmungen einzuhalten, während sie weiterhin Google-Dienste nutzen können. Sie sehen den Consent Mode als eine Möglichkeit, die Einwilligung der Benutzer zur Verwendung von Cookies und zur Datenerfassung besser zu verwalten. 

Allerdings gibt es auch kritische Stimmen, die Bedenken hinsichtlich der tatsächlichen Effektivität des Consent Mode äußern. Einige Datenschutzexperten führen an, dass der Consent Mode von Google nicht ausreicht, um die Anforderungen der DS-GVO vollständig zu entsprechen. Dies wird damit begründet, dass der Consent Mode sich hauptsächlich auf die Verwaltung von Cookies konzentriert und nicht auf andere Aspekte des Datenschutzes, wie zum Beispiel die Transparenz bei der Datenerfassung und -verarbeitung. 

Darüber hinaus gibt es Bedenken hinsichtlich der Möglichkeit von Google, Daten auch dann zu sammeln, wenn die Einwilligung des Benutzers nicht vorliegt, insbesondere im Hinblick auf die Verwendung von Conversion-Tracking in Google Ads. Es bestehen zudem Bedenken, dass der Consent Mode möglicherweise nicht ausreicht, um die rechtlichen Anforderungen zu erfüllen. Daher wird empfohlen, zusätzliche Maßnahmen zur Einhaltung der Datenschutzbestimmungen zu treffen. 

Kann man den Google Consent Mode datenschutzkonform nutzen? 

Der Google Consent Mode ist in jedem Fall ein Instrument zur Unterstützung der Datenschutzkonformität, der es Website-Betreibern ermöglicht, die Einhaltung der Datenschutzrichtlinien, insbesondere der DSGVO, zu verbessern. Dies gilt jedoch ausschließlich für Produkte der Google Familie und deckt somit nicht externe Technologien von anderen Anbietern mit ab. Der Einsatz des Consent Mode allein reicht folglich nicht aus, um die Einhaltung der Datenschutzgesetze sicherzustellen, sobald Sie auch Technologien anderer Anbieter auf Ihrer Webseite nutzen. 

Die Verwendung des Consent Mode stellt damit nur einen Teil eines umfassenderen Datenschutzkonzepts dar. 

Welche Einstellungen müssen Nutzer treffen? 

Die Einstellungen, die Nutzer vornehmen müssen, hängen von den Datenschutzpräferenzen und den Anforderungen der jeweiligen Website ab. Wenn eine Website den Google Consent Mode implementiert hat, können Nutzer in der Regel ihre Präferenzen in Bezug auf die Verwendung von Cookies und anderen Tracking-Technologien angeben. Hier sind einige mögliche Einstellungen, die Nutzer treffen können: 

  • Zustimmung zur Verwendung von Cookies: Nutzer können entscheiden, ob sie der Verwendung von Cookies auf der Website zustimmen oder nicht. Je nach den Datenschutzbestimmungen der Website kann dies bedeuten, dass die Nutzer der Verwendung aller Cookies zustimmen müssen oder die Möglichkeit haben, bestimmte Arten von Cookies auszuwählen oder abzulehnen. 
  • Feineinstellungen für bestimmte Arten von Cookies: Einige Websites bieten Nutzern die Möglichkeit, ihre Zustimmung für bestimmte Arten von Cookies zu verwalten. Dies könnte beinhalten, dass Nutzer entscheiden können, ob sie Marketing-Cookies, Analyse-Cookies oder funktionale Cookies zulassen möchten. 
  • Änderung der Zustimmung: Nutzer sollten in der Lage sein, ihre Zustimmung zur Verwendung von Cookies jederzeit zu ändern. Dies könnte bedeuten, dass Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen in den Datenschutzeinstellungen der Website anzupassen oder ihre Zustimmung über ein Cookie-Banner oder eine ähnliche Benutzeroberfläche zu widerrufen. 
  • Opt-out von Tracking-Diensten: In einigen Fällen können Nutzer die Möglichkeit haben, sich gegen die Verwendung bestimmter Tracking-Dienste zu entscheiden, wie z.B. Google Analytics oder Google Ads. Dies könnte separat von der Zustimmung zur Verwendung von Cookies verwaltet werden. 

Es ist zudem weiterhin wichtig, dass Nutzer klare und verständliche Informationen darüber erhalten, welche Auswirkungen ihre Cookie-Einstellungen auf ihre Erfahrung auf der Website haben, und dass sie leicht auf die entsprechenden Einstellungen zugreifen können. Dies trägt dazu bei, sicherzustellen, dass die Nutzer die volle Kontrolle über ihre Datenschutzpräferenzen haben und ihre Zustimmung gemäß den geltenden Datenschutzgesetzen wirksam ist. 

Was ist zu tun? 

Es ist wichtig für Website-Betreiber, sich umfassend über den Google Consent Mode zu informieren und die entsprechende Konfiguration der Google Dienste vorzunehmen, damit der Consent Mode datenschutzkonform nutzbar ist. 

Website-Betreiber sollten jedoch zusätzlich eine umfassende Prüfung Ihrer Website vornehmen, um festzustellen, welche externen Technologien Sie insgesamt auf Ihrer Webseite im Einsatz haben. Denn bei Verwendung von weiteren externen Technologien, die nicht zur Google Familie gehören, ist wie gewohnt die Zustimmung des Nutzers über einen Cookie-Banner einzuholen, wenn diese Einwilligungspflichtig sind.  

Wir empfehlen Ihnen daher eine Website-Analyse durchführen zu lassen, um alle externen Technologien lückenlos zu erfassen und auch zu prüfen, ob diese korrekt in Ihren Cookie-Banner mit eingebunden sind. Alle verwendeten externen Technologien sind auch weiterhin in Ihrer  Datenschutzinformation zu benennen.  

Veröffentlicht am

EuGH zum immateriellen Schadensersatz nach Art. 82 DS-GVO 

In seinem Urteil 25.01.2024, Rs. C687/21 beschäftigte sich der Europäische Gerichtshof (EuGH) mit der Frage, ob dem Kläger gemäß Art. 82 DS-GVO gegen den Verantwortlichen ein Schadensersatzanspruch zusteht. Der EuGH setzte sich in seinem Urteil damit auseinander, wann ein immaterieller Schaden geltend gemacht werden kann und ob dafür eine gewisse Erheblichkeit vorliegen müsse. 

Allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, reichen nicht aus, um einen immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen. Dies gilt jedoch nur dann, wenn nachweislich ausgeschlossen werden kann, dass es zu keiner missbräuchlichen Verwendung der Daten gekommen ist. Eine Erheblichkeitsschwelle besteht nicht, jedoch muss ein Schaden nachgewiesen werden können. 

Leitsatz des Urteils 

Zum Sachverhalt 

Bei dem Kläger handelte es sich um einen Kunde des Elektronikfachhändlers Saturn. Dem Mitarbeitenden passierte bei der Warenausgabe ein Fehler. Das vom Kläger erworbene Haushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen war durch die Mitarbeitenden versehentlich einem Dritten ausgehändigt worden, der sich in der Schlange zur Warenausgabe wohl vorgedrängelt hatte. Der Kläger machte daraufhin gegenüber Saturn einen immateriellen Schadensersatzanspruch geltend. Er begründete dies damit, dass durch den Fehler einem Dritten gegenüber seinen Namen, seine Anschrift, sein Arbeitgeber und seine Einkünfte offengelegt worden wären. 

Obwohl dem Mitarbeitenden der Fehler schnell bemerkte und der Kläger die Unterlagen zurückerhielt, ohne dass der Dritte vor der Rückgabe der Dokumente die Daten zur Kenntnis genommen hatte, forderte er nach Art. 82 DSGVO Schadensersatz von Saturn. 

Der Kläger war der Ansicht, dass er aufgrund des Fehlers der Mitarbeitenden und des daraus resultierenden Risikos, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben. Hieraus begründe sich ein immaterieller Schaden seinerseits. 

Das ganze Urteil können sie unter folgendem Link einsehen: 

Die Entscheidung des Gerichts bei immateriellen Schaden

Das Gericht war der Ansicht, ein immaterieller Schaden grundsätzlich schon dann vorliegen könnte, wenn der Betroffene befürchten müsse, dass durch einen Verstoß gegen die DSGVO ein Dritter die eigenen personenbezogenen Daten missbräuchlich verwenden könnte. Der EuGH bezog sich hier auf den Wortlaut des Art. 82 Abs. 1 DSGVO und legte diesen im Licht der Erwägungsgründe 85 und 146 aus. Hiernach ist der Begriff „immaterieller Schaden“ weit auszulegen. Auch sei es laut EuGH gerade das Ziel der DSGVO ein hohes Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. 

Dies gelte allerdings nur dann, wenn die betroffene Person tatsächlich den Nachweis eines tatsächlich eingetretenen Schadens vorbringen könne. Der bloße Verstoß gegen die Bestimmungen der DSGVO reiche nicht aus, um einen Schadensersatzanspruch begründen zu können. Folglich reicht in rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht aus, um einen Schadensersatzanspruch begründen zu können. Wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat, kann auch kein Schaden entstanden sein. 

Zum Urteil 

Der EuGH nennt also hier die Voraussetzungen, die für die Begründung eines Schadensersatzanspruchs vorliegen müssen: 

  1. Es muss ein Verstoß gegen die DS-GVO vorliegen 
  1. Es muss ein Schaden entstanden sein 
  1. Der Verstoß gegen die DS-GVO muss kausal für den eingetretenen Schaden sein. 

Ausreichend für die Begründung des Schadens ist die Darlegung, sowie der Beweis einer subjektiven Beeinträchtigung. Es ist nicht entscheidend, worin diese Beeinträchtigung letztlich gelegen hat oder ob diese erheblich war. 

Was ist zu tun? 

Möchte man also einen Schadensersatzanspruch geltend machen, so muss ein nachweisbarer Schaden entstanden sein, wobei eine Erheblichkeit des Schadens nicht erforderlich ist. Ein rein hypothetisches Risiko, dass ein Schaden hätte entstehen können, reicht nicht aus. 

Ein Datenschutzvorfall lässt nicht zwingend den Schluss zu, dass dieser auch zu einer Verletzung der Sicherheitsanforderungen der DS-GVO geführt hat. 

Datenverarbeitern können jedoch dann haftbar gemacht werden, wenn Unbefugte Dritte Zugang zu den Daten erhalten und sie sich nicht exkulpieren können. Den Verantwortlichen trifft also eine Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO. Er trägt die Beweislast, dass er auszureichende Sicherungsmaßnahmen getroffen hat. 

Konkret heißt das, Datenbearbeitern ist zu raten, geeignete Sicherheitsmaßnahmen zu ergreifen, um sich im Fall eines eingetretenen Schadens wegen fehlenden Verschuldens exkulpieren zu können. 

Veröffentlicht am

Automatisierte Prüfung von Cookie-Bannern durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führte eine anlasslose, teils automatisierte Überprüfung von Webseiten (und deren Cookie-Banner) bei rund 350 bayerischen Webseitenbetreibern und 15 Apps durch. 

Auch Zugriffe, die im Rahmend er Nutzung von Apps stattfinden unterliegen dem Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) und der Datenschutzgrundverordnung (DS-GVO). Für diese Prüfung hat das BayLDA eigens ein Tool zur automatisierten Prüfung von Cookie-Bannern entwickelt. 

Was war Ziel der Prüfung der Cookie-Banner? 

Ziel dieser Prüfung war es, Webseiten und Apps auf die Einhaltung der datenschutzrechtlichen Anforderungen zu prüfen. Hierbei wurde geprüft, ob der jeweilige Cookie-Banner neben der Option „Alle Akzeptieren“ auch die Möglichkeit beinhaltete in den Gebrauch von externen Technologien wie z.B. Tracking-Cookies einzuwilligen. Zudem musste es auch möglich sein, den Cookie-Banner zu schließen, wenn keine Einwilligung durch den Nutzer erfolgte. 

Bereits im Dezember 2021 wurde durch die Datenschutzbehörden des Bundes und der Länder (DSK) für das Gesetz zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) und die Datenschutz-Grundverordnung (DSGVO) eine Orientierungshilfe für Webseitenbetreiber herausgegeben. Darin heißt es, dass Cookie-Banner, die nur die Option „Alles Akzeptieren“, „Einstellungen“ oder „Weitere Hinweise“ vorsehen, sind als nicht rechtskonform einzustufen sind. 

Die gesamte Orientierungshilfe können sie direkt über die Website der datenschutzkonferenz-online.de herunterladen. 

Die deutschen Datenschutzaufsichtsbehörden vertreten die Auffassung, dass die Option, keine Einwilligung zu erteilen dem Nutzer zwingend auf erster Ebene von Cookie-Bannern angeboten werden muss, heißt also bei Betreten der Webseite. Dies gelte laut DSK zumindest dann, sofern die Webseite nicht ohne Interaktion mit dem Einwilligungs-Banner beeinträchtigungsfrei vom Nutzer genutzt werden könne. 

Bei fast allen geprüften Apps und Webseiten wurden einwilligungspflichtige Vorgänge festgestellt, ohne dass jedoch die Einwilligung des Nutzers eingeholt wurde. Betreiber der auffällig gewordenen Apps und Webseiten haben derzeit die Möglichkeit erhalten, sich zu den datenschutzrechtlichen Mängeln zu äußern und die entsprechenden Anpassungen vorzunehmen. 

Anforderungen an die Einwilligung des Nutzers bei einem Cookie-Banner

Die Anforderungen die an eine Einwilligung zur Informationsverarbeitung gemäß § 25 TTDSG geknüpft sind, beschreibt die Datenschutzkonferenz (DSK) wie folgt: “Einwilligung der Endnutzer:innen des Endgeräts, Zeitpunkt der Einwilligung, Informiertheit der Einwilligung, unmissverständliche und eindeutig bestätigende Handlung, bezogen auf den bestimmten Fall, Freiwilligkeit der Willensbekundung, Möglichkeit zum Widerruf der Einwilligung, die ebenso einfach sein muss wie die Erteilung“. 

Der Nutzer muss also aktiv Handeln und auswählen können, welche Option er wählen möchte.  

Daher müssen dem Nutzer weitere Optionen zur Verfügung gestellt werden, wie „Alles Akzeptieren“, „Alles Ablehnen“ und „Weitere Informationen“. Auch muss der Nutzer die einmal getroffenen Einstellungen jederzeit leicht wieder ändern können. Zudem ist das Wegklicken des Cookie-Banners nicht als stillschweigendes Einverständnis zu werten. 

Weitere Informationen 

Den Status der Prüfung können sie unter https://www.lda.bayern.de/de/kontrollen_stabsstelle.html) einsehen. Die offizielle Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) finden sie hier: 

Was ist zu tun? 

Nutzen sie externe Technologien auf ihrer Webseite, sollten sie umgehend überprüfen, ob ihr Cookie-Banner seine Funktion erfüllt und die Einwilligung des Nutzers rechtskonform einholt. Ist das nicht der Fall, sollten sie die nötigen Anpassungen vornehmen. 

Gerne sind wir ihnen dabei behilflich ihre Webseite hin auf Datenschutzkonformität zu überprüfen. Kontaktieren Sie uns direkt per Telefon, E-Mail oder über unser Kontaktformular: 

Veröffentlicht am

Änderungen der Datenschutzanforderungen bei Google im Januar 2024 für CMP und GDPR

Die Änderungen, die Google an seinen Diensten vorgenommen hat und die ab Januar 2024 in Kraft getreten sind, betreffen die Consent Management Plattformen (CMPs) und die Einhaltung der Datenschutz-Grundverordnung (GDPR) der Europäischen Union. 

Eine CMP ist eine Software, die Website-Betreibern hilft, die Einwilligung der Nutzer zur Datenverarbeitung gemäß Datenschutzbestimmungen einzuholen und zu verwalten (auch bekannt als sogenannter Cookie-Banner). 

Was soll durch die Änderung erreicht werden? 

Die GDPR legt strenge Regeln für den Schutz personenbezogener Daten fest und erfordert, dass Unternehmen transparent darüber informieren, wie sie personenbezogene Daten verarbeiten und welche Rechte Nutzer in Bezug auf ihre Daten haben. 

CMPs spielen eine wichtige Rolle dabei, dass Nutzer ihre Zustimmung zur Verarbeitung ihrer Daten geben können. Zweck der Änderung ist es somit sicherzustellen, dass die Einwilligung des Nutzers in Übereinstimmung mit den Bestimmungen der GDPR eingeholt wird. Der Nutzer muss stets klar darüber informiert werden, wie seine Daten verwendet werden und welche Wahlmöglichkeiten ihm zustehen. So soll die Benutzerfreundlichkeit und die Transparenz vom CMPs verbessert werden. 

Welche Änderungen werden vorgenommen? 

Publisher, die Google AdSense, Ad Manager oder AdMob verwenden, müssen eine von Google zertifizierte CMP einsetzen, die mit dem IAB’s Transparency and Consent Framework (TCF) integriert ist. Bei einer CMP-Bewertung prüft Google, ob die CMPs, die Anforderungen zur zusätzlichen Einwilligung unterstützen und dies auch korrekt umgesetzt wird. Nach erfolgreicher Prüfung einer CMP wird diese in die Liste der von Google zertifizierten CMPs aufgenommen. 

An wen richtet sich die Änderung? 

Die Änderungen gelten für alle Publisher, die Anzeigen schalten, welche an Nutzer im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich gerichtet sind und eines der oben genannten Produkte von Google nutzen. 

Was ist zu tun? 

Fallen sie in den genannten Geltungsbereich, sollten sie überprüfen, ob sie eines der genannten Google Produkte nutzen und die geforderten Anpassungen durchführen: also ein von Google zertifiziertes CMP einsetzen! Nutzen sie kein von Google zertifiziertes CMP, sollten Sie zu einer zertifizierten CMP wechseln, denn bei Verwendung einer nicht von Google zertifiziertes CMP können Anzeigen nur eingeschränkt ausgeliefert werden. Alternativ können Publisher mit einer eigenen CPM ihr Interesse an der Zertifizierung bei Google anmelden. 

Veröffentlicht am

Abschaffung von NetzDG und TMG – Einführung des Digitale-Dienste-Gesetzes (DDG) 

Das bislang geltende NetzDG und das Telemediengesetz werden abgeschafft und ersetzt durch das Gesetz über digitale Dienste (kurz DDG). Hiermit setzt die Bundesregierung eine Vorgabe der EU um, um mit dem neuen Gesetz ein einheitliches gemeinsames Regelwerk für die gesamte Europäische Union einzuführen. Das neue DDG tritt ab dem 17. Februar 2024 in allen EU-Staaten in Kraft. 

Was soll durch das neue Digitale-Dienste-Gesetz (DDG) erreicht werden? 

Durch ein neues Digitale-Dienste-Gesetz sollen die rechtlichen Vorgaben für Internetplattformen einheitlicher geregelt werden. Ziel ist es, Provider mehr in die Verantwortung zu nehmen, ein höheres Maß an Transparenz zu schaffen und die Rechte von Nutzern und Nutzerinnen zu stärken. 

Für wen gilt das Digitale-Dienste-Gesetz (DDG)? 

Das neue Digitale-Dienste-Gesetz (DDG) besteht aus 31 Paragrafen und gilt „für alle Anbieter digitaler Dienste„. Darunter versteht man „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung„. Hierunter fallen beispielsweise Hosting-Dienste wie Cloud- und Webhosting, Online-Marktplätze, App-Stores oder auch Social-Media-Plattformen. 

Sonderregelungen gelten für „sehr große Online-Plattformen“ oder „sehr große Online-Suchmaschinen„, da diese ein besonderes Risiko für die Verbreitung illegaler Inhalte und für Schäden in der Gesellschaft darstellen. 

Der Umfang der Pflichten für den jeweiligen Diensteanbieter gestaltet sich demnach abhängig von der Größe, Rolle und den Auswirkungen im Online-Umfeld.  Die neuen Regelungen gelten ab Februar 2024

Was sind die wichtigsten Änderungen im DDG? 

Erweiterung des Kreises der Anspruchsadressaten 

Gemäß DDS wird „der Kreis der Anspruchsadressaten auf sämtliche digitale Dienste erweitert, die von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermitteln oder den Zugang zu einem Kommunikationsnetz vermitteln“. Dies hat zur Folge, dass Netzsperren bei allen Access-Providern künftig möglich sein können. 

Meldung von Rechtsverletzungen 

Gemäß § 7 DDG kann bei Urheberrechtsverletzungen der Rechteinhaber vom Diensteanbieter „die Sperrung der Nutzung von Informationen verlangen, um die Wiederholung der Rechtsverletzung zu verhindern“. 

Abmahngebühren werden nur dann fällig, wenn der Internetdienst bewusst mit den Personen zusammenarbeitet, die das Urheberrecht verletzt haben. Das soll sicherstellen, dass die Dienste nicht mit denjenigen zusammenarbeiten, die illegal Inhalte teilen. 

Änderungen der zuständigen Behörde 

Statt des Bundesamtes für Justiz (BfJ) übernimmt nun bei Meldungen zu Verstößen eine „Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur“ die Kontrolle der Einhaltung der gesetzlichen Vorgaben. Sollte es sich jedoch um Straftaten handeln, die eine Gefahr Leib oder Leben einer Person/Personen darstellen, ist die Zuständigkeit des Bundeskriminalamts (BKA) gegeben. 

Keine Löschfrist mehr bei offensichtlich rechtswidrigen Inhalten 

Anbieter eines Internetauftritts sind nun nur noch dazu verpflichtet, „zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen“ zu entscheiden. 

Veröffentlicht am Schreib einen Kommentar

Verzeichnis der Verarbeitungstätigkeiten: Warum es fast jeder braucht

Die Erstellung eines Verfahrensverzeichnisses ist gar nicht so aufwendig und bringt viele Vorteile

So gut wie jede Organisation muss laut EU-Datenschutzgrundverordnung (Art. 30 DS-GVO) ein Verzeichnis der Verarbeitungstätigkeiten erstellen und laufend aktualisieren. Auch die Kanzleien sind von dieser Pflicht betroffen. Deshalb möchte ich Ihnen in meinem heutigen Blog-Beitrag kurz und knapp die wichtigsten Informationen rund um das Verzeichnis der Verarbeitungstätigkeiten – das Herzstück der Datenschutzdokumentation – zur Verfügung stellen.

Überblick: Verzeichnis der Verarbeitungstätigkeiten Art. 30 DS-GVO

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Sammlung der Verarbeitungen, aus welchem hervorgeht, in welchen Prozessen personenbezogene Daten in der Kanzlei verarbeitet werden. Aufgrund der Unterschiede bei den eingesetzten Verfahren, besteht das Verzeichnis in der Praxis oft aus einer Reihe von Einzelbeiträgen. Solch ein Verfahrensverzeichnis stellt somit die Summe der einzelnen Verfahrensbeschreibungen dar. Es kann sowohl schriftlich als auch elektronisch erfasst werden.

Wann muss eine Organisation (Kanzlei) ein Verzeichnis der Verarbeitungstätigkeiten anfertigen?

Aus Art. 30 Abs. 5 DS-GVO geht hervor, dass jede Organisation, die weniger als 250 Mitarbeiter beschäftigt, nicht verpflichtet ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen – es sei denn, die Kanzlei führt Verarbeitungen personenbezogener Daten durch:

  1. die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen)
  2. die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Mandanten- oder Beschäftigtendaten)
  3. die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen

Von diesen drei Kriterien muss lediglich eines erfüllt sein – und schon greift die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie nun in Ihrer Kanzlei Prozesse wie Rechnungsstellung, Finanzbuchhaltung, Lohnbuchhaltung, Einkommensteuererklärung usw. betrachten, sind dies zum einen regelmäßig stattfindende Prozesse und zum anderen werden in ihnen Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (z.B. Religionsdaten wegen der Kirchensteuer) verarbeitet. Das heißt also – Sie sind verpflichtet, in Ihrer Kanzlei für gewisse Prozesse ein Verzeichnis anzulegen.

Warum ist es wichtig, ein Verzeichnis der Verarbeitungstätigkeiten zu führen?

Dafür gibt es drei Gründe: Erstens spielt das Verzeichnis der Verarbeitungstätigkeiten eine wesentliche Rolle dabei, datenschutzrechtliche Vorgaben überhaupt einhalten zu können. Denn nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherstellen zu können. Zweitens ist das Verzeichnis der Verarbeitungstätigkeiten auch deshalb wichtig, weil die DS-GVO das Führen eines solchen in der Regel von Ihnen verlangt. Sollte kein Verzeichnis vorhanden sein, kann die Aufsichtsbehörde laut Art.83 Abs. 4 DS-GVO hierfür ein Bußgeld verhängen. Und drittens ist das Verzeichnis der Verarbeitungstätigkeiten Grundlage für eine Prüfung durch die Aufsichtsbehörde.

Welche Informationen müssen in einem Verzeichnis der Verarbeitungstätigkeiten erfasst werden?

Art. 30 Abs. 1 DS-GVO macht den Kanzleien eine genaue Vorgabe, welche Informationen in einem Verzeichnis vorhanden sein müssen:

  1. Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen
  2. Name und Kontaktdaten eines Datenschutzbeauftragten (falls vorhanden)
  3. die Zwecke der Verarbeitung
  4. eine Beschreibung der Kategorien betroffener Personen
  5. eine Beschreibung der Kategorien personenbezogener Daten
  6. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  7. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  8. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  9. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Auf den ersten Blick erweckt die Vielzahl dieser Punkte den Eindruck, dass die Erstellung eines solchen Verzeichnisses mit sehr viel Aufwand verbunden sein muss. Das ist jedoch nicht der Fall! Denn für die meisten Kanzleien handelt sich dabei um geläufige Geschäftsprozesse, die rasch und einfach in einem Verarbeitungsverzeichnis abgebildet werden können.

Wer ist für das Führen eines Verzeichnisses von Verarbeitungstätigkeiten verantwortlich?

In erster Linie ist die Geschäftsführung der Kanzlei verpflichtet, ein Verarbeitungsverzeichnis zu führen. Grund hierfür ist die Tatsache, dass die Geschäftsführung die oben genannten Punkte, die in Art. 30 Abs. 1 DS-GVO gefordert werden, in der Regel am besten beantworten kann.

Tipp: Damit Sie ganz unkompliziert ein DS-GVO-konformes Verzeichnis der Verarbeitungstätigkeiten erstellen können, empfehlen wir Ihnen, unser zertifiziertes Tool Data Security Manager zu nutzen. Wählen Sie darin aus über 50 Verarbeitungstätigkeiten die passenden für Ihre Kanzlei aus und erstellen Sie Ihr individuelles Verzeichnis der Verarbeitungstätigkeiten entsprechend der DS-GVO.

Fazit:

Das Verzeichnis der Verarbeitungstätigkeiten ist eine wesentliche Grundlage für eine strukturierte Datenschutzdokumentation. Zudem zeigt eine Kanzlei damit gegenüber der Aufsichtsbehörde, dass sie sich an die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO hält.

Wie sieht es eigentlich mit der Datenschutzdokumentation im Bereich Ihrer Dienstleister aus? Wissen Sie, welche Dienstleister zum Kreis der Auftragsverarbeiter gehören und was Sie bei einer Auftragsverarbeitung beachten müssen? Alles Wissenswerte zu diesem Thema lesen Sie in einem meiner nächsten Blog-Beiträge.

Quelle: