PRW Compliance Set

PRW® Compliance Set: M365

Die sichere Lösung für die Nutzung von Produkten im Microsoft 365 Umfeld

Worum geht es?

Die Datenschutz-Aufsichtsbehörden in Deutschland wollen Unternehmen jetzt bundesweit wegen der Nutzung von US-Clouddiensten wie Amazon, Google und Microsoft ins Visier nehmen (Quelle Handelsblatt vom 13.04.2021). Hier geht es um die datenschutzkonforme Nutzung von Microsoft 365.

Was ist zu entscheiden?

Betroffene Unternehmen müssen gegenüber den Aufsichtsbehörden begründen, auf welcher Grundlage sie US-Anbieter einsetzen. Die Datenschutz-Aufsichtsbehörden erwarten eine „Schrems II konforme“ Anwendung von Microsoft 365, andernfalls drohen Bußgelder in beachtlicher Höhe und die Nutzungsuntersagung der Anwendung. Es ist zu entscheiden, ob dieses Risiko akzeptiert werden kann.

Von wem wurde das Produkt PRW® Compliance Set: M365 entwickelt?

Von einem Spezialteam aus Anwälten und Informatikern.

Mit welchem Ziel?

Ziel ist, den Nachweis zu erbringen, dass die Anforderungen aus der Schremms II Entscheidung umgesetzt worden sind.

Welche Optionen gibt es?

Umsetzung der Anforderungen oder Bußgeldrisiko mit Untersagung der Anwendung.

Gibt es eine Empfehlung?

Die kostengünstige Umsetzung der klaren Anforderung aus der Schrems II Entscheidung überwiegen bei weitem die negativen Folgen eines Bußgeldes und / oder einer Untersagungsanordnung.

Das heutige Produkt Microsoft 365 (nachfolgend M365) ist inzwischen eine große Software Suite mit vielen möglichen Anwendungen, die von Microsoft noch ausgebaut und erweitert werden. Das Produkt ist für einen weltweiten Einsatz entwickelt. Nicht in jedem Land und nicht in jeder Branche können die Applikationen im Auslieferungszustand zum Einsatz gebracht werden. Staatliche Vorgaben, etwa zum Datenschutz oder standes- und berufsrechtliche Vorschriften (Compliance) können Anpassungen bei M365 oder sogar Einschränkungen vorsehen. 

Das PRW® Compliance Set: M365 ist eine gemeinsame Entwicklung der CBG (Cloud Business Group) IT GmbH (Technologie) www.cloudbusiness.group, PRW Rechtsanwälte (Recht) www.prw.de und PRW Consulting GmbH (Datenschutz) www.prw-consulting.de. Das Produkt PRW® Compliance Set: M365 dient dazu, Compliance Prozesse in der IT aufzuzeigen und sie rechtskonform abzubilden. Das Produkt wird der jeweiligen Compliance-Anforderung der Anwender angepasst.

HINWEIS: Microsoft legt großen Wert auf den Schutz seiner Marken. Soweit in diesem Dokument Marken von Microsoft benannt werden, erfolgt dies unter Anerkennung der ausschließlichen Markenrechte von Microsoft und lediglich zur redaktionellen Klarstellung. Eine Übersicht zu den Marken von Microsoft findet sich z. B. hier: https://www.microsoft.com/en-us/legal/intellectualproperty/trademarks/en-us.aspx.

I. Ausgangslage

M365 geht auf die sogenannte Business Productivity Online Suite (BPOS) zurück, die Microsoft ausschließlich für kleine und mittelständische Unternehmen angeboten hatte. Im Oktober 2010 wurde Office 365 offiziell als Nachfolger präsentiert.

Nach einer Betaphase wurde Office 365 im Juni 2011 in den regulären Betrieb überführt. Im April 2020 fand ein Rebranding von Microsoft Office mit Paket-Erweiterungen um weitere Microsoft-Dienste und die Umbenennung auf M 365 statt.

Microsoft bietet M 365 in unterschiedlichen Editionen an, so dass es für die rechtliche Bewertung notwendig ist, zunächst eine technische Analyse voranzustellen, welche Applikationen beim Auftraggeber im Einsatz sind oder sich in der Einsatzplanung befinden.

Vom Beginn an stand der Einsatz von M365 in der rechtlichen Kritik von Aufsichtsbehörden und zwar auf beiden Seiten des Atlantiks. Amerikanische Behörden beklagten, dass Microsoft mit ihnen zu wenig kooperiere und europäische Aufsichtsbehörden beklagten, dass Microsoft den US- Behörden zu viele personenbezogene Daten zur Verfügung stelle. Damit war absehbar, dass ein „One Size fits all“ Ansatz nicht funktionieren würde.

In den Jahren 2018 und 2019 waren es vor allem die niederländischen Behörden, die den Austausch mit Microsoft suchten. Ganz Europa musste sich mit der Datenschutzthematik beim Einsatz von M365 vor dem Hintergrund des EuGH Urteils vom 16. Juli 2020 in der Sache C-311/18, bekannt als „Schrems II“, befassen. Teilweise gingen die Vorschläge sogar so weit, die Nutzung von M365 gänzlich als unzulässig zu bewerten, was sicherlich aus Sicht der meisten Unternehmen ein unrealistischer Ansatz ist. Seit 2018 versuchen Behörden, Unternehmen und Microsoft selbst mit erheblichem Aufwand eine Lösung dieses Problems zu erarbeiten. Die wesentlichen Gedanken von Schrems II und die dazu ergangenen Entscheidungen der Gerichte und Aufsichtsbehörden sind die Grundlagen der technologischen und rechtlichen Bewertung.

II. Problematik

Im Spannungsfeld unterschiedlicher datenschutzrechtlicher Grundsätze verschiedener Rechtssysteme (z. B. USA / Europa)  muss eine Lösung für die Anwender in der EU gefunden werden, die Produkte von Microsoft, die mittlerweile weltweit als Standardlösungen im Unternehmen eingesetzt werden, weiter nutzen zu können.

Hierbei sind sowohl rechtliche, als auch technische Problemfelder genau zu analysieren, zu bewerten und entsprechend individuelle Lösungsansätze für Unternehmen zu entwickeln.

Da sowohl die technischen Grundlagen und Produkte, als auch die rechtlichen Gegebenheiten (Urteile, Einschätzungen der Datenschutzbehörden, etc.) sich in einem fortlaufenden Wandel befinden, darf auch eine Lösung nicht einem starren Ansatz unterliegen, sondern muss sich flexibel an sich ändernde Gegebenheiten anpassen können.

III. Die Lösung

PRW® Compliance Set: M365, ein Shared Service

Wichtiger Ansatz für eine fundierte Lösung war es, technisches Fachwissen mit der Expertise von spezialisierten Rechtsanwälten zu verbinden. Nur wenn die spezifischen technischen Grundlagen im Unternehmen sauber herausgearbeitet werden, ist auch eine exakte rechtliche Bewertung möglich.

Daher hat die CBG IT GmbH in Zusammenarbeit mit den beiden PRW Gesellschaften eine spezielle Software entwickelt, mit der die bestehende Microsoft 365 Umgebung des Anwender-Unternehmens in Hinblick auf Datenschutz und Informationssicherheit umfassend analysiert werden kann.

Ein zusätzlicher großer Mehrwert für Unternehmen ist hier die über die reine Datenschutzproblematik hinausgehende Analyse der Informationssicherheit, welche den Unternehmen als Grundlage für eine Verbesserung der bestehenden Systemlandschaft dient. Die technische Analyse beinhaltet nicht nur eine Darstellung der tatsächlich genutzten M365 Umgebung, sondern gibt in den benannten Bereichen detaillierte Handlungsempfehlungen. U.a. ist die Software in der Lage, die tatsächlichen Speicherorte von Daten präzise darzustellen, was in Hinblick auf die rechtliche Bewertung der oben angesprochenen Problematik der Datenübertragung von personenbezogenen Daten in Drittländer zwingend notwendig ist.

Die Analyse der beim Auftraggeber bestehenden M365 Umgebung stellt somit die wesentliche technische Grundlage für das nachfolgende rechtliche Gutachten dar. Dieses Gutachten nimmt die Feststellungen der technischen Analyse auf und bewertet nun die spezifischen Gegebenheiten unter den aktuellen gesetzlichen und politischen Prämissen. Im Rechtsgutachten werden auch etwaig notwendige Handlungsempfehlungen dargestellt. Um dem schnellen Wandel von technischen, rechtlichen und politischen Gegebenheiten gerecht werden zu können, werden den Unternehmen auch fortlaufende Modelle angeboten, bei denen in regelmäßigen Abständen die Systeme sowie die rechtlichen Gegebenheiten geprüft und entsprechende Handlungsempfehlungen gegeben werden.

Durch Nutzung des PRW®Compliance Sets: M365 kann das Anwender-Unternehmen dokumentieren, umfangreiche Maßnahmen zur Erfüllung der gesetzlichen Vorgaben vorgenommen zu haben.

IV. Leistungsbild PRW® Compliance Set: M365

Teil 1: Technische Analyse

Umfassende Ist-Analyse der bestehenden Microsoft 365 Umgebung - mit Bewertung der relevanten Administratoreinstellungen sowie entsprechenden Handlungsempfehlungen bei riskanten Konfigurationen durch die CBG IT GmbH sowie Unterstützung bei der nachhaltigen Reduktion der identifizierten Risiken - in den Kategorien:

Datenschutz und Informationssicherheit

Lokation der Daten mit Risikobewertung

Identity and Access Management

Schutz der Persönlichkeitsrechte

Datenschutz der eingesetzten Windows-Betriebssysteme

Teil 2: Rechtliche Bewertung

Durch PRW Rechtsanwälte erfolgt die datenschutzrechtliche Begutachtung vor dem in der Ausgangslage geschilderten Hintergrund. In diesem Kurzgutachten werden die durch die Rechtsprechung und die Aufsichtsbehörden entwickelten Grundsätze auf ihre Umsetzung beim Kunden geprüft und Handlungsempfehlungen gegeben. Soweit besondere Hinweise zu den eingesetzten Diensten notwendig sein sollten, werden diese in der Anlage 1 zu dem Gutachten dargestellt.
V. PRW® Compliance Set: M365 – Leistungsmodelle

Es werden die nachfolgend dargestellten zwei unterschiedlichen Leistungsmodelle angeboten:

Einmalige technische Analyse und Gutachten

Fortlaufende technische Analyse und gutachterliche Stellungnahme (Managed Service Modell)

VI. Preise
Die Preise orientieren sich an den ausgewählten Modulen und sind auf Anfrage erhältlich.

Unsere Partner

Bereit für das PRW® COMPLIANCE SET: M365?