Immer wieder erhalten wir die Frage, ob denn Office365 von Microsoft datenschutzkonform genutzt werden kann. Seither wichen wir der Frage eher aus – denn die Beantwortung dieser Frage kann unendlich komplex werden. In der Beratungspraxis konnten wir zwar Tipps geben, aber solange Aufsichtsbehörden keine klare Stellung im Sinne eines „ja, das geht“ beziehen, war eine klare Aussage schwierig. Frühere Analysen von Aufsichtsbehörden und Datenschützern haben immer wieder Hinweise zu einer möglichen Unzulässigkeit gegeben.
Nun aber gibt es eine Aussage einer Datenschutz-Aufsichtsbehörde: Der hessische Landesdatenschutzbeauftragte hat ein Papier herausgebracht, nach welchem der Einsatz zulässig sein kann!
Wie bei fast allen Systemen liegen die Risiken am Ende des Tages dann eher im „wie“ als „ob“. Wurden die Anforderungen der DSGVO an die durchgeführten Verarbeitungen eingehalten – gibt es ein Berechtigungskonzept welches sich am Minimalprinzip orientiert, gibt es ein Löschkonzept und welche Sicherheitsmaßnahmen wurden ergriffen?
Unter diesem Link kann das Papier abgerufen werden.