Datenschutz-Folgenabschätzung bei Microsoft 365 – nötig oder nicht?
DP+
Bild: iStock.com / Jean-Luc-Ichard
Kritiker behaupten, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Ist der Verantwortliche anderer Meinung, so muss er den rechtskonformen Einsatz per Datenschutz-Folgenabschätzung nachweisen. Doch ist eine DSFA bei Microsoft 365 in jedem Fall verpflichtend?
Das klingt auf den ersten Blick plausibel. Doch muss jeder, der Microsoft 365 einsetzt, eine DSFA durchführen? Wir stellen häufige Aussagen rund um Microsoft 365 auf den Prüfstand.
Aussage 1: Eine DSFA ist bei Microsoft 365 immer Pflicht
Die Datenschutz-Grundverordnung (DSGVO) bestimmt gemäß Art. 35 Abs. 1, dass eine DSFA verpflichtend ist, wenn die Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. In der Regel besteht ein hohes Risiko
- bei einer systematischen und umfassenden Bewertung, insbesondere beim Profiling,
- bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 und 10 DSGVO oder
- bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.
Beispiele für ein hohes Risiko
Diese Fallbeispiele sind keinesfalls abschließend. Die Art.-29-Datenschutzgruppe, der Vorläufer des Europäischen Datenschutzausschusses (EDSA), hat darüber hinaus neun Kriterien entwickelt, die für ein hohes Risiko sprechen. Ein hohes Risiko ist anzunehmen
- bei einer Verarbeitung vertraulicher oder höchst persönlicher Daten,
- bei schutzbe…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?
Verfasst von
Kristin Benedikt
Kristin Benedikt ist Richterin und Datenschutzbeauftragte am Verwaltungsgericht Regensburg. Zuvor leitete sie den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.
