Teil 2: Microsoft 365: Entscheidet sich ein Unternehmen oder eine öffentliche Stelle für den Einsatz von Microsoft 365, muss dies immer auch eine bewusste Entscheidung der Leitung sein. Fälschlicherweise wird bei der Einführung oft auf die IT oder Datenschutzbeauftragte gezeigt.
Bei öffentlichen Stellen sollte zudem eine Aussprache zur Entscheidung in den demokratisch gewählten Gremien, wie Gemeinderat oder Hochschulsenat erfolgen.
Aber warum? Die Realität ist nicht schwarz-weiß. Neben der kaufmännischen oder haushaltsrechtlichen Fragen, müssen beim Einsatz von Microsoft 365 unter anderem folgende Themen berücksichtigt werden:
- Datenschutz
- Informationssicherheit
- Nachhaltigkeit
- Energieeffizienz
- Digitale Barrierefreiheit
- Benutzerfreundlichkeit
- Arbeitsschutzrechtliche Ergonomie
- Schnittstellenverfügbarkeit
- Lizenzsicherheit
- Schulungsaufwand für Beschäftigte
- Innovationspotenzial
Aus dieser komplexen Anforderungsmatrix wird ersichtlich, dass eine 100% Erfüllung nicht möglich ist.
Dabei bleiben selbstverständlich die gesetzlichen Mindestanforderungen zu berücksichtigen. Jedoch sind diese etwa im Datenschutz nicht deckungsgleich mit den Verlautbarungen der Datenschutzaufsichten. Das Delta zwischen Meinung der Aufsicht und den gesetzlichen Mindestanforderungen und der daraus verfügbare Gestaltungsspielraum (genannt seien etwa das Verzeichnis der Verarbeitungstätigkeiten, die Gesetz Informationspflichten, die Erforderlichkeit der Datenschutzfolgeabschätzung) des Verantwortlichen kann durch fundierte Expertise dem Verantwortlichen aufgezeigt werden.
Um die Mehrdimensionalität der Anforderungen bestmöglich auszuleuchten lohnt sich zudem die Diskussion in den demokratischen Gremien. Hier zeigt sich am deutlichsten, ob beim jeweiligen Verantwortlichen etwa der Umweltschutz oder die Inklusion mehr Gewicht in der Abwägung erhalten sollen und der Datenschutz nur angemessen, aber nicht bestmöglich umgesetzt werden soll.
Im Rahmen der Entscheidung durch die Leitung sind dann Restrisiken wie etwa Rechtsprechungsentwicklung im Datenschutz, in der Informationssicherheit die Herstellerabhängigkeit und Internetabhängigkeit bezüglich der Verfügbarkeit zu übernehmen, da eine andere Behandlung dieser Risiken oft kaum möglich.
Daraus wird auch offensichtlich, dass die Einführungsentscheidung nicht eine Entscheidung der IT-Abteilung und erst recht keine Entscheidung des Datenschutzbeauftragten ist. Gleichwohl begleiten diese dann die Umsetzung nach der Leitungsentscheidung, selbst wenn diese sich gegen deren Rat entscheiden haben.
Zusätzlicher Praxistipp zu Microsoft 365 zum Datenschutz
Datenschutzbeauftragten sollten die Rolle des Global Readers in Microsoft 365 gegeben werden und die Berechtigung dann jeweils temporär mit einer kurzen Begründungspflicht erteilt werden. In dieser Rolle kann sich der Datenschutzbeauftragte von Datenschutzdesign, Datenschutzfreundlichkeit und den technischen und organisatorischen Maßnahmen in Microsoft 365 überzeugen.
Insidas berät Sie umfassend zu allen datenschutzrechtlichen Fragen der Nutzung von Microsoft 365 und unterstützt Sie mit speziell auf Ihren Bedarf zugeschnittenen Cloud-Check-Paketen wirkungsvoll bei der rechtskonformen Umsetzung.