1. Home
  2. Knowledge Base
  3. Datenschutzmanagement für Unternehmen
  4. Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO
  1. Home
  2. Knowledge Base
  3. Digitale Kommunikation und Datenschutz
  4. Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO
  1. Home
  2. Knowledge Base
  3. E-Mails allgemein
  4. Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO
  1. Home
  2. Knowledge Base
  3. Grundlagen des Datenschutzes
  4. Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO

Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO

Cloud-Dienste & Datenschutz: Microsoft 365, US-Anbieter & DSGVO

Die Nutzung von Cloud-Diensten wie Microsoft 365 wirft wichtige Fragen zum Datenschutz auf, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Dieser Artikel erläutert die Anforderungen der DSGVO für Cloud-Dienste, die rechtlichen Hürden nach dem Schrems-II-Urteil und gibt Empfehlungen für die sichere Nutzung von Cloud-Diensten.

DSGVO-Anforderungen für Cloud-Dienste wie Microsoft 365

Unternehmen müssen sicherstellen, dass personenbezogene Daten, die in Cloud-Diensten wie Microsoft 365 verarbeitet werden, innerhalb der EU gespeichert und verarbeitet werden. Microsoft ergreift Maßnahmen, um Daten innerhalb der EU zu belassen. Allerdings gibt es ein Problem: Viele Cloud-Anbieter mit Sitz in den USA unterliegen dem US CLOUD Act, der US-Behörden potenziell Zugriff auf Daten ermöglicht – selbst wenn die Daten in der EU gespeichert sind.

Nutzung von US-Cloud-Diensten nach „Schrems II“

Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020 hat die rechtlichen Hürden für die Nutzung von US-Cloud-Diensten drastisch erhöht. US-Cloud-Dienste sind problematisch, weil sie nicht das gleiche Datenschutzniveau wie die DSGVO garantieren. Um US-Dienste dennoch zu nutzen, sind folgende Maßnahmen erforderlich:

  • Standardvertragsklauseln (SCCs): Abschließen von Standardvertragsklauseln mit dem Anbieter.
  • Auftragsverarbeitungsvertrag (AVV): Abschluss eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO.
  • Zusätzliche Schutzmaßnahmen: Prüfung zusätzlicher Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung.
  • Nachweis der Datensicherheit: Nachweis, dass keine unzulässigen US-Behördendatenzugriffe möglich sind.

In vielen Fällen ist eine DSGVO-konforme Nutzung von US-Cloud-Diensten jedoch nicht möglich.

Anforderungen für Cloud-DMS & Datenspeicherung

Für Dokumentenmanagement-Systeme (DMS) in der Cloud gelten besondere Datenschutzanforderungen:

  • Vertraulichkeit & Sicherheit: Verschlüsselung und Zugriffskontrollen.
  • Rechte- & Rollenkonzepte: Klare Regelungen, wer was sehen und bearbeiten darf.
  • Verfügbarkeit & Ausfallsicherheit: Gewährleistung der Verfügbarkeit und Ausfallsicherheit.
  • Einschränkung von Suchfunktionen: Keine unnötige Analyse von Metadaten.

Welche Cloud-Dienste dürfen für personenbezogene Daten genutzt werden?

Für die Verarbeitung personenbezogener Daten sind folgende Cloud-Dienste erlaubt:

  • EU-basierte Cloud-Dienste: Dienste, die keine Zugriffsmöglichkeit für US-Behörden bieten.
  • Schul-Clouds & kommunale Rechenzentren: Lokale Lösungen, die den Datenschutzbestimmungen entsprechen.
  • Selbst gehostete Lösungen („On-Premises“): Eigenbetriebene Lösungen, die volle Kontrolle über die Daten bieten.

Nicht erlaubt für personenbezogene Daten sind:

  • US-Cloud-Anbieter ohne DSGVO-Konformität: Dienste wie Dropbox, OneDrive, Google Drive und iCloud.
  • Digitale Pinnwände wie Padlet: Wenn personenbezogene Daten betroffen sind.

Sichere Datenübertragung & Verschlüsselung

Bei der Übertragung personenbezogener Daten über Cloud-Dienste ist die Datenverschlüsselung Pflicht. Eine Ende-zu-Ende-Verschlüsselung ist erforderlich, da eine reine Transportverschlüsselung (HTTPS) nicht ausreicht. Sichere Alternativen sind EU-basierte Cloud-Anbieter oder verschlüsselte Dateiübertragungslösungen.

Tipps für Unternehmen und Schulen

Unternehmen und Schulen sollten keine US-Dienste verwenden, wenn personenbezogene Daten verarbeitet werden, es sei denn, es gibt nachweisbare Schutzmaßnahmen. Stattdessen sollten sie auf EU-basierte Cloud-Dienste oder selbst gehostete Lösungen setzen, um die Datenschutzbestimmungen einzuhalten und die Sicherheit der Daten zu gewährleisten.

Mögliche Fragen, die zu diesem Artikel führen könnten:

  1. Welche Anforderungen stellt die DSGVO an die Nutzung von Cloud-Diensten wie Microsoft 365?
  2. Welche rechtlichen Hürden gibt es nach dem Schrems-II-Urteil für die Nutzung von US-Cloud-Diensten?
  3. Welche Cloud-Dienste sind für die Verarbeitung personenbezogener Daten erlaubt?
  4. Welche Maßnahmen sind für die sichere Datenübertragung und Verschlüsselung erforderlich?
  5. Welche Alternativen gibt es zu US-Cloud-Diensten für die Verarbeitung personenbezogener Daten?

Tags

  • Datenschutz-Compliance
  • Cloud-Dienste
  • DSGVO
Was this article helpful?
Yes No

Related Articles

Brauchen Sie Unterstützung?

Sie können die gesuchte Antwort nicht finden?
Kontakt
Nach oben scrollen