CompliantDesk

DSGVO für den Mittelstand

DSGVO-konforme Nutzung von Microsoft 365 & Azure

DSGVOArt. 28 & 44 ff. DSGVO

Microsoft 365 und Azure lassen sich datenschutzkonform einsetzen - vorausgesetzt, AVV, Verarbeitungsort und Drittlandfragen sind sauber geregelt. Die EU Data Boundary erleichtert die Verarbeitung in der EU.

Worum geht es?

Bei der Nutzung von Microsoft 365 und Azure verarbeitet Microsoft personenbezogene Daten in Ihrem Auftrag, sodass nach Art. 28 DSGVO ein Auftragsverarbeitungsvertrag erforderlich ist - bei Microsoft über das Data Protection Addendum abgebildet. Da Microsoft ein US-Konzern ist, sind zusätzlich die Regeln für Drittlandtransfers nach Art. 44 ff. DSGVO relevant. Mit der EU Data Boundary bietet Microsoft die Verarbeitung und Speicherung von Kundendaten innerhalb der EU an, was das Schutzniveau deutlich erhöht. Der US CLOUD Act bleibt ein Diskussionspunkt, weil er US-Behörden unter Umständen Zugriff auf Daten US-amerikanischer Anbieter ermöglichen kann; er ist im Rahmen der Risikobewertung einzuordnen, schließt eine Nutzung aber nicht pauschal aus. Eine konsequente EU-Verarbeitung ist hier ein echter Vorteil für die Nachweisbarkeit.

Das müssen Sie konkret tun

  • Abschluss eines AVV mit Microsoft (Data Protection Addendum) nach Art. 28 DSGVO
  • Prüfung von Verarbeitungsort und Datenresidenz, idealerweise innerhalb der EU
  • Bewertung von Drittlandtransfers nach Art. 44 ff. DSGVO inklusive Standardvertragsklauseln
  • Einordnung des US CLOUD Act im Rahmen einer Risikobewertung
  • Konfiguration angemessener technischer Schutzmaßnahmen wie Verschlüsselung und Zugriffskontrollen

So setzen Sie es mit CompliantDesk um

  • Microsoft als Auftragsverarbeiter im Lieferanten-Modul anlegen und AVV samt Anlagen hinterlegen
  • Die Microsoft-365-Verarbeitungen als eigene Einträge im VVT-Modul dokumentieren
  • EU-Datenresidenz und Drittlandfragen im Risiko-Register bewerten und Restrisiken festhalten
  • Sicherheitskonfiguration als überprüfbare Kontrollen im Kontroll-Modul nachverfolgen
  • Konfigurationsnachweise und das Data Protection Addendum im Dokumente-Modul ablegen

Typische Fehler

Microsoft 365 ohne abgeschlossenen AVV produktiv nutzen
Den Verarbeitungsort nicht prüfen und so vermeidbare Drittlandtransfers in Kauf nehmen
Den CLOUD Act ignorieren, statt ihn in der Risikobewertung sauber einzuordnen
EU-Datenresidenz-Optionen nicht aktivieren, obwohl sie verfügbar sind

Häufig gestellte Fragen

Ist Microsoft 365 DSGVO-konform nutzbar?

Ja, bei sauberer Umsetzung: mit abgeschlossenem AVV (Data Protection Addendum), möglichst EU-Datenresidenz über die EU Data Boundary, geprüften Drittlandtransfers und angemessenen technischen Maßnahmen. Entscheidend ist die nachweisbare Konfiguration und Dokumentation.

Was bedeutet der US CLOUD Act für meine Daten?

Der CLOUD Act kann US-Behörden unter Umständen Zugriff auf Daten US-amerikanischer Anbieter ermöglichen. Er schließt eine Nutzung nicht pauschal aus, sollte aber im Rahmen Ihrer Risikobewertung dokumentiert und durch EU-Verarbeitung sowie technische Maßnahmen adressiert werden.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen