Teil 2: Microsoft 365: Entscheidet sich ein Unternehmen oder eine öffentliche Stelle für den Einsatz von Microsoft 365, muss dies immer auch eine bewusste Entscheidung der Leitung sein. Fälschlicherweise wird bei der Einführung oft auf die IT oder Datenschutzbeauftragte gezeigt.

Bei öffentlichen Stellen sollte zudem eine Aussprache zur Entscheidung in den demokratisch gewählten Gremien, wie Gemeinderat oder Hochschulsenat erfolgen.

Aber warum? Die Realität ist nicht schwarz-weiß. Neben der kaufmännischen oder haushaltsrechtlichen Fragen, müssen beim Einsatz von Microsoft 365 unter anderem folgende Themen berücksichtigt werden:

  • Datenschutz
  • Informationssicherheit
  • Nachhaltigkeit
  • Energieeffizienz
  • Digitale Barrierefreiheit
  • Benutzerfreundlichkeit
  • Arbeitsschutzrechtliche Ergonomie
  • Schnittstellenverfügbarkeit
  • Lizenzsicherheit
  • Schulungsaufwand für Beschäftigte
  • Innovationspotenzial

Aus dieser komplexen Anforderungsmatrix wird ersichtlich, dass eine 100% Erfüllung nicht möglich ist.

Dabei bleiben selbstverständlich die gesetzlichen Mindestanforderungen zu berücksichtigen. Jedoch sind diese etwa im Datenschutz nicht deckungsgleich mit den Verlautbarungen der Datenschutzaufsichten. Das Delta zwischen Meinung der Aufsicht und den gesetzlichen Mindestanforderungen und der daraus verfügbare Gestaltungsspielraum (genannt seien etwa das Verzeichnis der Verarbeitungstätigkeiten, die Gesetz Informationspflichten, die Erforderlichkeit der Datenschutzfolgeabschätzung) des Verantwortlichen kann durch fundierte Expertise dem Verantwortlichen aufgezeigt werden.

Um die Mehrdimensionalität der Anforderungen bestmöglich auszuleuchten lohnt sich zudem die Diskussion in den demokratischen Gremien. Hier zeigt sich am deutlichsten, ob beim jeweiligen Verantwortlichen etwa der Umweltschutz oder die Inklusion mehr Gewicht in der Abwägung erhalten sollen und der Datenschutz nur angemessen, aber nicht bestmöglich umgesetzt werden soll.

Im Rahmen der Entscheidung durch die Leitung sind dann Restrisiken wie etwa Rechtsprechungsentwicklung im Datenschutz, in der Informationssicherheit die Herstellerabhängigkeit und Internetabhängigkeit bezüglich der Verfügbarkeit zu übernehmen, da eine andere Behandlung dieser Risiken oft kaum möglich.

Daraus wird auch offensichtlich, dass die Einführungsentscheidung nicht eine Entscheidung der IT-Abteilung und erst recht keine Entscheidung des Datenschutzbeauftragten ist. Gleichwohl begleiten diese dann die Umsetzung nach der Leitungsentscheidung, selbst wenn diese sich gegen deren Rat entscheiden haben.

Zusätzlicher Praxistipp zu Microsoft 365 zum Datenschutz

Datenschutzbeauftragten sollten die Rolle des Global Readers in Microsoft 365 gegeben werden und die Berechtigung dann jeweils temporär mit einer kurzen Begründungspflicht erteilt werden. In dieser Rolle kann sich der Datenschutzbeauftragte von Datenschutzdesign, Datenschutzfreundlichkeit und den technischen und organisatorischen Maßnahmen in Microsoft 365 überzeugen.

Insidas berät Sie umfassend zu allen datenschutzrechtlichen Fragen der Nutzung von Microsoft 365 und unterstützt Sie mit speziell auf Ihren Bedarf zugeschnittenen Cloud-Check-Paketen wirkungsvoll bei der rechtskonformen Umsetzung.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Datenschutzkonforme Veröffentlichung von Sitzungsunterlagen

    Datenschutzkonforme Veröffentlichung von Sitzungsunterlagen

    Grundsätzlich müssen über die Sitzungen der Gemeinderäte, der Kreistage und ihrer beschließenden Ausschüsse Niederschriften gefertigt werden siehe (Art. 54 Abs. 1 Satz 1, Art. 45 Abs. 2 Satz 2 Gemeindeordnung (GO) sowie Art. 48 Abs. 1 Satz 1, Art. 40 Abs. 2 Satz 2...

    read more