PRW Compliance Set

PRW® Compliance Set: M365

Die sichere Lösung für die Nutzung von Produkten im Microsoft 365 Umfeld

Worum geht es?

Datenschutz, IT-Sicherheit und Mitbestimmung.

  • Die Datenschutz-Aufsichtsbehörden in Deutschland wollen Unternehmen jetzt bundesweit wegen der Nutzung von US-Clouddiensten wie Amazon, Google und Microsoft ins Visier nehmen. Hier geht es um die datenschutzkonforme Nutzung von Microsoft 365.
  • Die Verantwortung die Gefährdungslage IT-Risiken zu erkennen, trägt in erster Linie die Geschäftsleitung. Es sind die Vorstände einer AG und die Geschäftsführer einer GmbH oder die gesetzlichen Vertreter, die bei Fahrlässigkeit für den hieraus entstehenden Schaden haften. Hier geht es um den Nachweis eines ordnungsgemäßen IT-Risikomanagements bei der Nutzung von Microsoft 365
  • Das LAG Köln hat am 21.05.2021 entschieden, dass die Einführung von Microsoft Office 365 der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt. Hier geht es um die mitbestimmungskonforme Nutzung von Microsoft 365.

Was ist zu entscheiden?

Geschäftsleitungen, Organisationsleitungen, Datenschutzbeauftragte und Betriebsräte sollten entscheiden, ob sie für sich oder ihre Organisation ein Risiko in einer ungeprüften Anwendung von M 365 sehen.

Von wem wurde das Produkt PRW® Compliance Set: M365 entwickelt?

Von einem Spezialteam aus Anwälten im Rahmen der PRW Legal Tech GmbH.

Mit welchem Ziel?

Ziel ist, den Nachweis zu erbringen, dass die Anforderungen aus den genannten Bereichen erfüllt sind.

Welche Optionen gibt es?

Umsetzung der Anforderungen oder Bußgeldrisiko mit Untersagung der Anwendung.

Gibt es eine Empfehlung?

Die kostengünstige Umsetzung der Anforderung überwiegen bei weitem die negativen Folgen eines Bußgeldes und / oder einer Untersagungsanordnung.

Das heutige Produkt Microsoft 365 (nachfolgend M365) ist inzwischen eine große Software Suite mit vielen möglichen Anwendungen, die von Microsoft noch ausgebaut und erweitert werden. Das Produkt ist für einen weltweiten Einsatz entwickelt. Nicht in jedem Land und nicht in jeder Branche können die Applikationen im Auslieferungszustand zum Einsatz gebracht werden. Staatliche Vorgaben, etwa zum Datenschutz oder standes- und berufsrechtliche Vorschriften (Compliance) können Anpassungen bei M365 oder sogar Einschränkungen vorsehen. 

Das PRW® Compliance Set: M365 ist eine Entwicklung der PRW Legal Tech GmbH. Das Produkt PRW® Compliance Set: M365 dient dazu, Compliance Prozesse in der IT aufzuzeigen und sie rechtskonform abzubilden. Das Produkt wird der jeweiligen Compliance-Anforderung der Anwender angepasst.

Die PRW Legal Tech GmbH ist eine Kapitalgesellschaft  und zusammen mit PRW Rechtsanwälte (Recht; www.prw.de) unter Einbindung der PRW Consulting GmbH (Datenschutz / Compliance; www.prw-consulting.de) Teil der PRW Group. Sie wurde im März 2022 gegründet. Was mit einer sehr erfolgreichen Produktentwicklung begann, wurde zur Gründungsidee für etwas Einzigartiges.

HINWEIS: Microsoft legt großen Wert auf den Schutz seiner Marken. Soweit in diesem Dokument Marken von Microsoft benannt werden, erfolgt dies unter Anerkennung der ausschließlichen Markenrechte von Microsoft und lediglich zur redaktionellen Klarstellung. Eine Übersicht zu den Marken von Microsoft findet sich z. B. hier: https://www.microsoft.com/en-us/legal/intellectualproperty/trademarks/en-us.aspx.

I. Ausgangslage

M365 geht auf die sogenannte Business Productivity Online Suite (BPOS) zurück, die Microsoft ausschließlich für kleine und mittelständische Unternehmen angeboten hatte. Im Oktober 2010 wurde Office 365 offiziell als Nachfolger präsentiert.

Nach einer Betaphase wurde Office 365 im Juni 2011 in den regulären Betrieb überführt. Im April 2020 fand ein Rebranding von Microsoft Office mit Paket-Erweiterungen um weitere Microsoft-Dienste und die Umbenennung auf M 365 statt.

Microsoft bietet M 365 in unterschiedlichen Editionen an, so dass es für die rechtliche Bewertung notwendig ist, zunächst eine technische Analyse voranzustellen, welche Applikationen beim Auftraggeber im Einsatz sind oder sich in der Einsatzplanung befinden.

Vom Beginn an stand der Einsatz von M365 in der rechtlichen Kritik von Aufsichtsbehörden und zwar auf beiden Seiten des Atlantiks. Amerikanische Behörden beklagten, dass Microsoft mit ihnen zu wenig kooperiere und europäische Aufsichtsbehörden beklagten, dass Microsoft den US- Behörden zu viele personenbezogene Daten zur Verfügung stelle. Damit war absehbar, dass ein „One Size fits all“ Ansatz nicht funktionieren würde.

In den Jahren 2018 und 2019 waren es vor allem die niederländischen Behörden, die den Austausch mit Microsoft suchten. Ganz Europa musste sich mit der Datenschutzthematik beim Einsatz von M365 vor dem Hintergrund des EuGH Urteils vom 16. Juli 2020 in der Sache C-311/18, bekannt als „Schrems II“, befassen. Teilweise gingen die Vorschläge sogar so weit, die Nutzung von M365 gänzlich als unzulässig zu bewerten, was sicherlich aus Sicht der meisten Unternehmen ein unrealistischer Ansatz ist. Seit 2018 versuchen Behörden, Unternehmen und Microsoft selbst mit erheblichem Aufwand eine Lösung dieses Problems zu erarbeiten. Die wesentlichen Gedanken von Schrems II und die dazu ergangenen Entscheidungen der Gerichte und Aufsichtsbehörden sind die Grundlagen der technologischen und rechtlichen Bewertung.

II. Problematik

Im Spannungsfeld unterschiedlicher datenschutzrechtlicher Grundsätze verschiedener Rechtssysteme (z. B. USA / Europa)  muss eine Lösung für die Anwender in der EU gefunden werden, die Produkte von Microsoft, die mittlerweile weltweit als Standardlösungen im Unternehmen eingesetzt werden, weiter nutzen zu können.

Hierbei sind sowohl rechtliche, als auch technische Problemfelder genau zu analysieren, zu bewerten und entsprechend individuelle Lösungsansätze für Unternehmen zu entwickeln.

Da sowohl die technischen Grundlagen und Produkte, als auch die rechtlichen Gegebenheiten (Urteile, Einschätzungen der Datenschutzbehörden, etc.) sich in einem fortlaufenden Wandel befinden, darf auch eine Lösung nicht einem starren Ansatz unterliegen, sondern muss sich flexibel an sich ändernde Gegebenheiten anpassen können.

III. Die Lösung

PRW® Compliance Set: M365, ein Shared Service

Wichtiger Ansatz für eine fundierte Lösung war es, technisches Fachwissen mit der Expertise von spezialisierten Rechtsanwälten zu verbinden. Nur wenn die spezifischen technischen Grundlagen im Unternehmen sauber herausgearbeitet werden, ist auch eine exakte rechtliche Bewertung möglich.

Die PRW Group entwickelte daher zusammen mit IT-Experten eine spezielle Software , mit der die bestehende Microsoft 365 Umgebung des Anwender-Unternehmens in Hinblick auf Datenschutz und Informationssicherheit umfassend analysiert werden kann.

Ein zusätzlicher großer Mehrwert für Unternehmen ist hier die über die reine Datenschutzproblematik hinausgehende Analyse der Informationssicherheit, welche den Unternehmen als Grundlage für eine Verbesserung der bestehenden Systemlandschaft dient. Die technische Analyse beinhaltet nicht nur eine Darstellung der tatsächlich genutzten M365 Umgebung, sondern gibt in den benannten Bereichen detaillierte Handlungsempfehlungen. U.a. ist die Software in der Lage, die tatsächlichen Speicherorte von Daten präzise darzustellen, was in Hinblick auf die rechtliche Bewertung der oben angesprochenen Problematik der Datenübertragung von personenbezogenen Daten in Drittländer zwingend notwendig ist.

Die Analyse der beim Auftraggeber bestehenden M365 Umgebung stellt somit die wesentliche technische Grundlage für das nachfolgende rechtliche Gutachten dar. Dieses Gutachten nimmt die Feststellungen der technischen Analyse auf und bewertet nun die spezifischen Gegebenheiten unter den aktuellen gesetzlichen und politischen Prämissen. Im Rechtsgutachten werden auch etwaig notwendige Handlungsempfehlungen dargestellt. Um dem schnellen Wandel von technischen, rechtlichen und politischen Gegebenheiten gerecht werden zu können, werden den Unternehmen auch fortlaufende Modelle angeboten, bei denen in regelmäßigen Abständen die Systeme sowie die rechtlichen Gegebenheiten geprüft und entsprechende Handlungsempfehlungen gegeben werden.

Durch Nutzung des PRW®Compliance Sets: M365 kann das Anwender-Unternehmen dokumentieren, umfangreiche Maßnahmen zur Erfüllung der gesetzlichen Vorgaben vorgenommen zu haben.

IV. Leistungsbild PRW® Compliance Set: M365

Teil 1: Technische Analyse

Umfassende Ist-Analyse der bestehenden Microsoft 365 Umgebung - mit Bewertung der relevanten Administratoreinstellungen sowie entsprechenden Handlungsempfehlungen bei riskanten Konfigurationen durch unsere IT-Experten sowie Unterstützung bei der nachhaltigen Reduktion der identifizierten Risiken - in den Kategorien:

Datenschutz und Informationssicherheit

Lokation der Daten mit Risikobewertung

Identity and Access Management

Schutz der Persönlichkeitsrechte

Datenschutz der eingesetzten Windows-Betriebssysteme

Teil 2: Rechtliche Bewertung

Durch PRW Rechtsanwälte erfolgt die datenschutzrechtliche Begutachtung vor dem in der Ausgangslage geschilderten Hintergrund. In diesem Kurzgutachten werden die durch die Rechtsprechung und die Aufsichtsbehörden entwickelten Grundsätze auf ihre Umsetzung beim Kunden geprüft und Handlungsempfehlungen gegeben. Soweit besondere Hinweise zu den eingesetzten Diensten notwendig sein sollten, werden diese in der Anlage 1 zu dem Gutachten dargestellt.
V. PRW® Compliance Set: M365 – Leistungsmodelle

Es werden die nachfolgend dargestellten zwei unterschiedlichen Leistungsmodelle angeboten:

Einmalige technische Analyse und Gutachten

Fortlaufende technische Analyse und gutachterliche Stellungnahme (Managed Service Modell)

VI. Preise
Die Preise orientieren sich an den ausgewählten Modulen und sind auf Anfrage erhältlich.

Unsere Partner

Bereit für das PRW® COMPLIANCE SET: M365?