NEUES zur Nutzung von Microsoft 365

Zu diesem Beitrag gibt es ein Update: EU-US Data Privacy Framework (DPF)

Der Angemessenheitsbeschluss (DPF) vom Juli 2023 ändert die Spielregeln für den transatlantischen Datenverkehr. Doch bedeutet das „freie Fahrt“ für Microsoft 365 in deutschen Unternehmen? Diese Infografik klärt auf.

1. Die neue Rechtslage: Was ändert das DPF?

Executive Order 14086

Als Reaktion auf die EuGH-Kritik verpflichten sich die USA zu Verhältnismäßigkeit bei Überwachungsmaßnahmen. Massenhafte, anlasslose Datenerhebungen werden stärker begrenzt.

🛡 Rechtsschutz für EU-Bürger

Einführung eines zweistufigen Beschwerdesystems inkl. dem neuen Data Protection Review Court (DPRC). EU-Bürger haben nun formale Möglichkeiten, gegen Datenmissbrauch vorzugehen.

Microsoft ist zertifiziert

Microsoft ist als „Active“ gelistet. Das bedeutet für Sie: Standardvertragsklauseln (SCCs) sind für den reinen Transfer nicht mehr zwingend, und Transfer Impact Assessments (TIAs) entfallen für diesen Aspekt.

Die Datenschutz-Ampel: Transfer vs. Verarbeitung

Hier liegt das Missverständnis vieler Verantwortlicher. Das DPF löst das „Wo“, aber nicht zwingend das „Wie“.

Datentransfer

Konfiguration

!

Verarbeitung

GRÜN: Der Transfer

Durch das DPF ist die Übermittlung in die USA rechtlich abgesichert (Art. 45 DSGVO). Die formale Hürde ist genommen.

ORANGE: Die Verarbeitung

Datenschutzbehörden (u.a. Thüringen) warnen weiterhin. Microsoft nutzt Daten (Telemetrie, Diagnose) teils zu eigenen Zwecken (z.B. KI-Training). Hier agiert MS nicht als Auftragsverarbeiter, sondern als Verantwortlicher – oft intransparent.

2. KI und „Eigene Zwecke“: Der blinde Fleck

Achtung bei „Service Generated Data“

Wenn Microsoft Diagnosedaten für Business Intelligence oder das Training von KI-Modellen nutzt, verlassen Sie den sicheren Hafen der Auftragsverarbeitung. Dies ist besonders im Schulbereich oder bei sensiblen Daten (Gesundheit, HR) kritisch zu bewerten.

Handlungsempfehlungen für die Geschäftsführung

  • Rechtsgrundlage aktualisieren: Dokumentieren Sie das DPF als Grundlage für den Transfer in Ihren Datenschutzhinweisen.
  • Konfiguration härten: Minimieren Sie Telemetriedaten auf das technische Minimum (Enterprise-Versionen nutzen).
  • KI-Funktionen steuern: Aktivieren Sie Copilot & Co. nur bewusst nach einer Risikoabwägung.
  • EU Data Boundary nutzen: Konfigurieren Sie Ihren Tenant so, dass Daten primär in der EU verbleiben („doppelte Absicherung“).
  • Dokumentation: Halten Sie Ihre Entscheidungen schriftlich fest. Eine Risikobewertung ist Pflicht.

Häufige Fragen (FAQ)

Ist Microsoft 365 jetzt zu 100% rechtssicher?

Nein. Das DPF klärt „nur“ den Datentransfer in die USA. Die eigentliche Verarbeitung der Daten (Transparenz, Zweckbindung, Nutzung durch KI) bleibt weiterhin Gegenstand kritischer Prüfung durch die Aufsichtsbehörden. Es ist eine Einzelfallentscheidung.

Muss ich noch Standardvertragsklauseln (SCCs) abschließen?

Für den reinen Transfer an DPF-zertifizierte US-Unternehmen (wie Microsoft) sind SCCs formal nicht mehr zwingend. Wir empfehlen jedoch, bestehende Verträge nicht voreilig zu kündigen, da sie als zusätzliche Absicherung dienen können, falls das DPF erneut gerichtlich kippt.

Was sagt der Thüringer Datenschutzbeauftragte?

Die Haltung ist streng, besonders im Schulbereich. Kritisiert wird vor allem die Intransparenz darüber, welche Daten Microsoft zu eigenen Zwecken verarbeitet. Eine „Schrems III“-Klage wird nicht ausgeschlossen.

Was muss ich als Geschäftsführer jetzt tun?

Nicht zurücklehnen. Prüfen Sie Ihren Microsoft-Zertifizierungsstatus, passen Sie Datenschutzerklärungen an und – wichtigster Punkt – lassen Sie Ihre MS365-Konfiguration technisch auf Datensparsamkeit prüfen.