Updates Microsoft
01
Einleitung
In der Arbeit als Konzerndatenschutzbeauftragter tauchen im Tagesgeschäft immer wieder sogenannte “Elefanten“ im Raum auf, welche man gar nicht wahrnehmen möchte. Entweder ist keine Zeit da oder es fehlen einfach die Ressourcen, um die präsenten Herausforderungen gemäß eigenen, fachlichen Ansprüchen zu meistern. Einer dieser Elefanten sind die Microsoft Dienste. Die europäischen Datenschutzaufsichtsbehörden konfrontieren Microsoft seit Jahren mit dem Thema Datenschutz. Microsoft selbst verteidigt sich mit Aussagen wie: “Ein ausufernder Aufsichtsansatz, der keinen Betroffenenschutz mehr verfolgt, macht Datenschutz zum dogmatischen Selbstzweck. Er überfordert und lähmt Verantwortliche.” (Quelle: Seite 2 aus der Stellungnahme von Microsoft Deutschland zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK). Vielleicht ist es diese Lähmung, welche dazu führt, dass viele Datenschützer in Unternehmen Microsoft zwar als Risiko sehen, aber keine Lust und Zeit haben, sich für diesen sog. “dogmatischen Selbstzweck” aufzuopfern.
Fünf Gegner
In unserem zweiten Video gehen wir auf die fünf Herausforderungen ein, welche die datenschutzkonforme Prüfung der Microsoft-Dienste im Konzern so erschweren. Vorab sei gesagt, Microsoft entwickelt sich immer weiter. Selbst professionelle Implementierungspartner von Microsoft müssen täglich am Ball bleiben, da Microsoft seine Nutzeroberflächen fortlaufend ändert. Deswegen sind die im zweiten Video beschriebenen Knackpunkte grundsätzlicher Natur, da sie meiner Meinung nach immer einen starken Einfluss auf die datenschutzrechtliche Bewertung und Einschätzung haben werden.
Neben der komplexen technischen Interaktion innerhalb der Microsoft Dienste ist es die fehlende Teamarbeit im Unternehmen und das zu späte Einbinden des Datenschutzteams im Implementierungsprozess. Zudem erhaltet ihr von uns eine Vorlage zu einem möglichen Management Summary für die Geschäftsleitung, wenn es daarum geht das Thema im Konzern richtig zu platzieren.
02
03
Struktur & Methode
2019 betonte der damalige europäische Datenschutzbeauftragte Giovanni Buttarelli in einer Handlungsanweisung, dass es keine vorgeschriebene Standardmethode für die Durchführung einer DSFA gibt. Danach folgten unzählige dogmatische Vorschläge, wie man eine solche Abschätzung verfassen könnte. Zudem haben in den letzten Jahren die Mitglieder des Europäischen Datenschutzausschusses (EDSA) verschiedene Leitlinien zu dem Thema DSFA definiert. Im dritten Video lernst du den Aufbau, Struktur und Methodik der Datenschutzfolgenabschätzung kennen. Hier bekommst du einen guten Überblick über die einzelnen Prüfungspunkte der „klassischen“ Datenschutzfolgenabschätzung. Zudem beleuchten wir die Anforderungen und Empfehlungen der Datenschutzgrundverordnung, der Leitlinien der EDSA, der DSK sowie der CNIL zum Aufbau und Gewichtung der Abschätzung. Wir vergleichen die verschiedenen Prüfungsansätze miteinander und stellen dir einen praktikablen Prüfungsablauf hinsichtlich der DSFA zu MS365 vor.
Automatisierung
Wer mich etwas kennt, weiß von meiner kritischen Haltung zu dem Buzzword LEGAL TECH. Das Problem in der Juristerei ist, sie ist nicht endlich logisch. Zu viele Ermessenspielräume, zu viele Variablen in einer von Menschen geschaffen Kunstwelt. Da muss man sich den Prüfungsbereich entweder bewusst klein halten oder man erschafft eine eigene logische Welt mit einer eigenen Sprache. Jetzt kommt das Projekt DSFA MS365 dazu. Was wäre, wenn man die DSFA MS365 zu 80 Prozent automatisiert erstellen könnte und dass zu einer hohen juristischen Qualität? Genau vor diesen Herausforderungen standen wir auch. Anfang 2022 haben wir das Thema professionell aufgegriffen. Mit einem Team aus Juristen, Softwareentwicklern und ganz wichtig Sparringpartnern – sprich DSB/KDSB die vor gleichem Problem standen. Dieses vierte Video soll euch einen Einblick in den Entwicklungsprozess geben, welchen wir die letzten Monate durchlebt haben.
04
Sparringpartner
Michael Zeck,
General Counsel
HD+
Thomas Waldhelm,
Leiter IT-Compliance
INTREAL
Jennifer Trüb,
Konzerndatenschutzkoordinatorin
MARQUARDT GRUPPE
Nikolaus Kümmel, LL.M.,
Datenschutzbeauftragter
HUGO BOSS
Ekkehard Krull,
Konzerndatenschutzbeauftragter
C&A
