Im Daten-Dschungel: Wie Microsoft die Datenschutz-Grundverordnung umsetzt

Im Datendschungel - Datenschutz von A - Z

Seit ihrem Inkrafttreten im Mai 2018 wird viel über die Datenschutz-Grundverordnung (DSGVO) diskutiert. Doch was hat die DSGVO eigentlich mit dem Schutz von Daten zu tun? Wie soll sie die missbräuchliche Nutzung und Verarbeitung von Daten verhindern? In unserer neuen Folge des Daten-Dschungels tauchen wir in die DSGVO ein und zeigen euch, was insbesondere Unternehmen zu beachten haben, die mit unseren Produkten und Lösungen arbeiten.

Wir arbeiten jeden Tag dafür, unseren Kund*innen innovative und reibungsfrei funktionierende Dienste zur Verfügung zu stellen – und gleichzeitig den Schutz und die Sicherheit ihrer Daten zu gewährleisten. Die Anforderungen des Datenschutzes gehen dabei weit über die technische Absicherung der Daten hinaus. Denn jede Person hat das Grundrecht, über die Preisgabe und Verwendung ihrer persönlichen Daten zu bestimmen. Beim Datenschutz geht es also um die zentrale Frage, ob und wie personenbezogene Daten erhoben und verarbeitet werden dürfen.

Seit 2018 schützen die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) gemeinsam personenbezogene Daten vor missbräuchlicher Datenverarbeitung, sie regeln das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Die Einhaltung der Datenschutz-Grundverordnung ist für uns als Unternehmen nicht allein eine gesetzliche Verpflichtung, das Recht auf informationelle Selbstbestimmung ist für uns ein Menschenrecht. Mit dem Inkrafttreten der DSGVO haben wir die Regeln zur Verarbeitung personenbezogener Daten daher nicht nur in Europa angewandt, sondern die grundlegenden Rechte der DSGVO auch auf Betroffene weltweit ausgedehnt. Mit unserem globalen Datenschutz-Dashboard können Kund*innen die Nutzung ihrer personenbezogenen Daten in Onlinediensten von Microsoft einsehen und zentral verwalten. Davon haben seit der Einführung der DSGVO bereits mehr als 18 Millionen Microsoft-Kund*innen weltweit Gebrauch gemacht – allein vier Millionen aus der EU.

Der risikobasierte Ansatz der DSGVO

Eine Neuerung, die mit der DSGVO Einzug in den Datenschutz gehalten hat, ist der risikobasierte Ansatz. Das bedeutet: Art und Umfang der erforderlichen Maßnahmen zum Schutz personenbezogener Daten richten sich nach der Wahrscheinlichkeit und der möglichen Schwere der Risiken, die mit der Verarbeitung der Daten einhergehen. Diese Risiken können zu einem physischen, materiellen oder immateriellen Schaden führen. Im Vergleich zum klassischen Risikomanagement ist die Besonderheit dabei, dass sich diese Risiken ganz auf die jeweils betroffene Person richten. Unternehmen müssen also versuchen, die Risiken bei der Verarbeitung der Daten aus der Brille der Nutzenden zu beurteilen.

Die DSGVO definiert dabei nicht genau, was unter einem solchen Risiko für Betroffene zu verstehen ist. Die sogenannten Erwägungsgründe der DSGVO machen dies jedoch deutlich. So zählt der Erwägungsgrund 75 u.a. folgende Datenschutzrisiken aus Sicht der Betroffenen auf: Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit oder Kontrollmöglichkeit von Daten.

Datenschutz-Folgenabschätzungen: Wann werden sie durchgeführt?

Die DSGVO sieht vor, dass Datenverantwortliche eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung personenbezogener Daten für die Rechte und Freiheiten von Betroffenen hohe Risiken mit sich bringen. Wir bieten unseren Kund*innen Lösungen und Produkte an, die sich in vielfältiger Weise anpassen lassen. Das ist für das Verständnis vom risikobasierten Ansatz der DSGVO von besonderer Bedeutung. Denn es ist wichtig zu verstehen, dass die Datenverantwortlichen beim Einsatz unserer Produkte unsere Kund*innen sind, nicht wir von Microsoft. Vereinfacht gesagt: Ob eine Datenschutz-Folgenabschätzung notwendig ist, hängt von der Frage ab, wie Kund*innen unsere Produkte nutzen. Denn unsere Lösungen sind stark anpassbar, in der Regel haben nur unsere Kund*innen die Kontrolle über die jeweilige Konfiguration und die genutzten Dienste oder Funktionen. Zusammen mit den Nutzungsszenarien und den tatsächlich verarbeiteten personenbezogenen Daten ergibt sich dann, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Die DSGVO nennt verschiedene Beispiele, wann eine Datenschutz-Folgenabschätzung notwendig sein kann. So kann eine solche nötig sein, wenn besondere personenbezogene Daten verarbeitet werden. Das sind Informationen zur ethnischen Herkunft, zur politischen Meinung oder zu religiösen und weltanschaulichen Überzeugungen, ebenso wie zu Gewerkschaftszugehörigkeit. Auch genetische und biometrische Daten zur eindeutigen Identifizierung von Personen sowie Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung fallen darunter. Hinzu kommen Daten aus einer systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche. Auch die automatisierte Verarbeitung sowie Profilbildungsmaßnahmen, die rechtliche oder ähnliche intensive Folgen für die Betroffenen haben, zählen dazu – das betrifft beispielsweise das Scoring von Auskunfteien.

Auf der Grundlage der Datenschutz-Folgenabschätzungen, bei deren Durchführung auch der Rat der oder des jeweiligen Datenschutzbeauftragten im Unternehmen – sofern er benannt wurde – einzuholen ist, lassen sich die möglichen Risiken bei der Datenverarbeitung ermitteln. Das ist kein einmaliger Vorgang, sondern ein Prozess. Denn Datenschutzrisiken ändern sich fortlaufend.

Wie Microsoft Unternehmen bei der Datenschutz-Folgenabschätzung unterstützt

Als Datenverarbeiter stellen wir sicher, dass unsere Kund*innen als Datenverantwortliche die Anforderungen der DSGVO erfüllen können. Dafür haben wir unter anderem einen DSGVO-Aktionsplan für Microsoft 365 aufgestellt, der Verantwortlichen die Prioritäten der ersten Tage und Wochen aufzeigt.  Außerdem haben wir einen Leitfaden für Datenverantwortliche zur Erarbeitung einer Datenschutz-Folgenabschätzung für die Nutzung von Microsoft Office 365 erstellt.

Weiterführende Informationen zu Microsofts Umgang mit der DSGVO gibt es hier.

Weitere Beiträge der Serie

Alle Beiträge unserer Reihe „Im Daten-Dschungel – Datenschutz von A bis Z“ gibt es hier.


Ein Beitrag von Ralf Wigand
National IT-Compliance Officer bei Microsoft Deutschland
Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

und

Thomas Langkabel
National Technology Officer bei Microsoft Deutschland
Thomas Langkabel

Tags: ,

Weitere Infos zu diesem Thema

27. April 2021
Warnung: Betrüger geben sich als Microsoft-Mitarbeitende aus

Die kriminelle Masche, bei der sich z.B. Betrügende mittels Microsoft Anrufe als Mitarbeiter*innen des technischen Supportcenters ausgeben, ist zwar nicht neu; gewandelt haben sich aber die Methoden. Hier erfahrt Ihr, wie Ihr im Falle eines Betrugsversuchs vorgehen könnt.