Update MS 365: Zwischen Totalausfall und Datenschutzpanne (H1)
In diesem Artikel:
1. Was ist MS 365?
2. Was steckt eigentlich hinter dem neuesten MS 365 Update?
3. Cloud Act
4. Welche Sicherheitsrisiken bestehen und welche Daten werden bezogen?
5. Wie kann man seine Daten schützen?
6. Die wichtigsten Risiken & To-Dos
7. Welche Herausforderungen gibt es bei der Umsetzung?
8. Fazit
Das Microsoft 365 Update steht sinnbildlich für einen Spagat: mehr Produktivität, aber auch offene Fragen zur DSGVO-Konformität, Informationssicherheit und Betriebsstabilität. Besonders öffentliche Einrichtungen, Schulen und Behörden sind davon stark betroffen. Das heißt, wer MS 365 datenschutzkonform nutzen will, muss die Datenflüsse verstehen, vertragliche Rollen sauber regeln und Konfigurationen laufend prüfen. Mit Einführung der EU-Datengrenze (EU Data Boundary) hat Microsoft zwar spürbar nachgebessert und Kundendaten sowie Protokolldaten u.v.m. werden nun innerhalb der EU/EFTA verarbeitet, jedoch wurden dadurch bei weitem nicht alle Risiken beseitigt. Gerade bei Supportfällen und globalen Telemetrie-Pfaden bleiben Ausnahmen möglich und müssen dokumentiert werden.
Um sicher, sauber und effizient zu arbeiten, ist es entscheidend, alle Systeme und Richtlinien vorab strukturiert und korrekt zu migrieren.
1. Was ist MS 365?
Microsoft 365 (MS 365) ist eine Cloud basierte Sammlung von Software und Plattformdiensten. Neben den klassischen Office Programmen Microsoft Word, Excel und Outlook umfasst das Paket Microsoft Teams für Zusammenarbeit, Microsoft Exchange Server für E Mails sowie weitere Apps wie OneDrive, SharePoint und Azure basierte Tools. Im öffentlichen Sektor wird Microsoft 365 häufig als integrierte Plattform für Kommunikation, Dokumentenverwaltung und projektübergreifende Zusammenarbeit eingesetzt. Anders als bei der früheren lokalen Office Installation laufen viele Dienste heute ausschließlich in Rechenzentren von Microsoft und sind über das Internet erreichbar, was neue Abhängigkeiten, aber auch Chancen mit sich bringt.
2. Was steckt eigentlich hinter dem neuesten MS 365 Update?
Mit der EU-Datengrenze (EU Data Boundary) für die Microsoft Cloud verpflichtete sich Microsoft, personenbezogene Daten für Enterprise-Onlinedienste innerhalb der EU/EFTA zu verarbeiten.
Dies erfolgte in drei Ausbaustufen:
– Phase 1 (seit 2023): Produktivitäts- & Nutzungsdaten verbleiben in EU/EFTA Rechenzentren.
– Phase 2 (seit 2024): Verarbeitung zahlreicher Diagnose-/Telemetrie-Daten nun ebenfalls EU-gebunden.
– Phase 3 (finalisiert in 2025): Supportdaten, Debug-Logs & Service-Notes sollen ebenfalls innerhalb EU/EFTA verarbeitet werden.
Dies gilt jedoch nicht für alle Datenkategorien und Szenarien:
• Supportdaten können weiterhin in Drittländer übertragen werden.
• Bei Multi-Geo-Konfigurationen fallen einzelne Workloads automatisch aus dem Boundary-Scope. Verantwortliche sollten deshalb die eigene Data Location im Admin-Center prüfen und Abweichungen (z. B. bei Support/Logdaten) in der DSFA abbilden.
• Diagnose- und Telemetriepfade enthalten weiterhin Ausnahmen. Hierzu ist daher eine Datenschutzfolgeabschätzung (DSFA) bzw. ein Transfer Impact Assessment (TIA) zu erstellen.
Die EU Data Boundary benennt explizit die Länder im Geltungsbereich sowie die (angekündigten/aktiven) Rechenzentrums-Standorte in Europa. Auch wenn vereinzelt weiterhin Daten außerhalb Europas verarbeitet werden können, verdeutlicht die EU Data Boundary, dass Microsoft seine Dienste stärker an den rechtlichen Anforderungen der EU und der DSGVO ausrichtet.
Die Übermittlung an Dienstleister, die nach dem Angemessenheitsbeschluss zum sog. EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, bleibt davon unberührt. Durch das DPF wird verbindlich bestätigt, dass US-Organisationen, die im offiziellen Register zum DPF aufgeführt sind, ein dem EU-Standard entsprechendes Schutzniveau für personenbezogene Daten aus Europa bieten. Hier gilt weiterhin, dass die Pflichten aus der DSGVO (u.a. DSFA bzw. TIA) erfüllt werden müssen.
Wer personenbezogene Daten in Länder ohne Angemessenheitsbeschluss übermittelt oder mit US-Dienstleistern arbeitet, die nicht nach dem DPF zertifiziert sind, kommt um die bekannten Schutzmechanismen der DSGVO nicht herum. In solchen Fällen müssen weiterhin Standardvertragsklauseln (SCC) abgeschlossen und die Risiken der Übermittlung sorgfältig geprüft werden. Je nach Ergebnis können zudem zusätzliche technische oder organisatorische Maßnahmen notwendig werden, um ein angemessenes Schutzniveau sicherzustellen.
3. Cloud Act
Neben der EU Data Boundary gilt weiterhin der Cloud Act („Clarifying Lawful Overseas Use of Data Act“) als US Bundesgesetz aus dem Jahr 2018. Dieses Gesetz verpflichtet US-Unternehmen, auf rechtliche Herausgabeverlangen amerikanischer Behörden zu reagieren, unabhängig vom Speicherort der Daten. Der Cloud Act schafft keine unmittelbare Zugriffsmöglichkeit auf europäische Cloudsysteme. Eine Herausgabe setzt immer ein formelles Verfahren voraus und ist nur dann möglich, wenn der Anbieter technisch Zugriff auf die Daten hat. Befindet sich der Schlüssel ausschließlich beim Kunden, reduziert sich die praktische Zugriffsmöglichkeit erheblich. Gleichwohl bleibt ein Restrisiko bestehen, das öffentliche Stellen bei der Risikobewertung berücksichtigen müssen.
4. Welche Sicherheitsrisiken bestehen und welche Daten werden bezogen?
Ein Großteil der Risiken entsteht durch Fehlkonfigurationen (Berechtigungen, Freigaben, Mobile-Nutzung), nicht primär durch „Hacking“. Parallel erhebt Microsoft erforderliche Dienstdaten und Diagnose-/Telemetriedaten, die für Lizenzierung, Update-Verteilung, Stabilität und Fehleranalyse nötig sind. Laut Microsoft umfassen diese u. a. Geräte- und Sitzungskennungen, App-/Build-Versionen, Feature- und Nutzungsereignisse, Leistungs-/Absturzinformationen, Fehler- und Statuscodes, Aktivierungs-/Lizenzdaten sowie dienstgenerierte Protokolle (z. B. Anmelde-/Dienstaufrufe). Inhalte (Dateitext, E-Mails etc.) sind nicht Teil dieser Diagnosedaten; Ereignisse können jedoch pseudonyme IDs enthalten. Umfang und Sichtbarkeit werden über die Privacy-Policies in den Microsoft 365 Apps gesteuert.
5. Datenschutz
Microsoft 365 kann datenschutzkonform betrieben werden, wenn der Einsatz professionell gesteuert wird. Dies bestätigen auch mehrere deutsche Aufsichtsbehörden im Rahmen Ihrer Handreichungen zu Microsoft 365. Erforderlich sind ein Auftragsverarbeitungsvertrag, ein transparenter Umgang mit Unterauftragsverarbeitern, ein konsistentes Berechtigungskonzept und ein bewusster Umgang mit Telemetrie- und Diagnosedaten. Eine DSFA ist in vielen Einsatzszenarien unverzichtbar. Diese dient in dieser Funktion nicht als Formalität, sondern als Instrument zur Risikosteuerung und -abschätzung.
6. Informationssicherheit: Zertifizierung ≠ Freifahrtschein
Microsoft verweist auf Audits (wie die Zertifizierung nach ISO/IEC 27001) als Nachweis für ein strategisches Sicherheitsmanagement sowie auf den Microsoft Secure Score als herstellereigenes, internes Steuerungsinstrument zur kontinuierlichen Verbesserung des Sicherheitsniveaus in der eigenen Umgebung. Obwohl diese Instrumente Vertrauen schaffen und die Einhaltung von Standards belegen, ersetzen sie nicht die eigenen Pflichten:
Die grundlegenden Sicherheitsmaßnahmen umfassen den Schutz von Identitäten (durch die Implementierung der Multi-Faktor-Authentifizierung (MFA) und die Trennung von administrativen Aufgaben), die stringente Verwaltung der rollenbasierten Zugriffssteuerung (RBAC), den Einsatz von Data Loss Prevention (DLP) und Sensitivity Labels sowie das Betreiben von Protokollierungs- und Überwachungsmechanismen (Logging/Auditing). Der Secure Score identifiziert Schwachstellen und priorisiert notwendige Korrekturmaßnahmen; die verantwortlichen Personen sollten diese Maßnahmen regelmäßig überprüfen und anpassen.
7. Wie kann man seine Daten schützen?
Der Schutz sensibler Daten beginnt mit klaren Regeln für ihren Umgang. Dazu gehören eine verständliche Einteilung der Daten, eindeutige Aufbewahrungsfristen und ein Berechtigungskonzept, das nur notwendige Zugriffe erlaubt (Least-Privilege-Prinzip). Ergänzend sollten Schutzmechanismen wie Kennzeichnungen sensibler Informationen, Maßnahmen gegen Datenabflüsse sowie regelmäßige Auswertungen von Protokollen und Sicherheitsbewertungen eingesetzt werden. Datenschutzrichtlinien in den Microsoft 365-Apps reduzieren dabei Diagnose- und Telemetriedaten auf das erforderliche Maß. Ebenso wichtig ist die Prüfung, wo Daten gespeichert werden und ob sie innerhalb der EU verarbeitet werden; bei Übermittlungen in Drittländer müssen geeignete Schutzmechanismen dokumentiert und bei Bedarf zusätzliche Verschlüsselungsmaßnahmen ergänzt werden. Die Umsetzung all dieser Maßnahmen ist jedoch anspruchsvoll, weil Microsoft 365 aus vielen eng verknüpften Diensten besteht, deren Einstellungen sich gegenseitig beeinflussen. Fehlentscheidungen oder unkoordinierte Änderungen können zu Störungen oder kompletten System-Ausfällen führen und erfordern im Ernstfall aufwendige Wiederherstellungsmaßnahmen, die den Betrieb und die IT-Teams erheblich belasten.
Maßnahmen zur Minimierung der größten Risiken
• Fehlkonfigurationen in Teams/SharePoint/Exchange: Standard-Freigaben restriktiv, Gastzugriffe kontrollieren, Sensitivity Labels + DLP verpflichtend.
• Mobile Nutzung (Apps auf Smartphones): Ohne Mobile Device Management (MDM)/Mobile Application Management (MAM) kaum steuerbar; Conditional Access, App-Schutzrichtlinien und Bring Your Own Device (BYOD)-Regeln sind Pflicht.
• Transparenz über Tracking/Telemetry: Dokumentieren, welche Diagnosedaten erhoben werden (Geräte-IDs, Feature-Events, Crash-Infos, Lizenzdaten), welche Inhalte explizit nicht; Privacy-Policies konsequent setzen.
• Datenübermittlungen in Drittländer: DPF nutzen, sonst SCC + Zusatzmaßnahmen (Kryptografie, Minimierung, TIA) anwenden und jährlich überprüfen.
• Schlüsselhoheit erhöhen: Customer Key für Exchange Online und SharePoint/OneDrive (damit auch Teams) evaluieren; Rotation & Break-Glass planen.
• Betrieb/Migration: Exchange-Cutover vs. Staged vs. Hybrid bewusst wählen; Pilotgruppen, Off-Hours-Cutover, Rollback und Kommunikationsplan festlegen.
• Datenschutz: Auftragsverarbeitungsvertrag schließen, Unterauftragsverarbeiter prüfen, Boundary-Status/Supportpfade protokollieren; DSFA und ggf. TIA regelmäßig aktualisieren
8. Fazit
Das aktuelle Microsoft 365-Update macht deutlich, dass der datenschutzkonforme und sichere Einsatz von Cloud-Diensten ein komplexes Thema mit vielen Abhängigkeiten und individuellen Fallstricken bleibt. Die EU Data Boundary und das EU-U.S. Data Privacy Framework verbessern die Ausgangslage, beseitigen aber weder alle Risiken noch alle rechtlichen Unsicherheiten – insbesondere im Zusammenspiel mit Telemetrie, Supportpfaden und dem Cloud Act. Ob Microsoft 365 im Einzelfall DSGVO-konform betrieben werden kann, hängt wesentlich von der konkreten Nutzung, den gewählten Einstellungen und den ergänzenden technischen und organisatorischen Maßnahmen ab. Erforderlich sind daher eine sorgfältige Risikoabwägung, eine belastbare Dokumentation (insbesondere DSFA/TIA) sowie ein kontinuierlicher Überprüfungs- und Anpassungsprozess.
________________________________________
Wie die actago Unternehmensgruppe Sie unterstützen kann
Wir begleiten Sie von der Einrichtung Ihrer Microsoft 365-Umgebung über die technische Absicherung bis hin zum fertigen Datenschutz- und Sicherheitskonzept – alles aus einer Hand.
Dabei kombinieren wir technisches Know-how mit datenschutzrechtlicher Expertise, um Ihre Umgebung optimal an die Anforderungen der DSGVO und Ihrer Organisation anzupassen.
Die actago4IT GmbH kann Sie bei der konkreten Umsetzung unterstützen, damit Sie Microsoft 365 so einsetzen, dass es produktiv, sicher und rechtssicher funktioniert – und zu einem echten Gewinn für Ihre Einrichtung wird.
Sprechen Sie uns an – wir machen Ihr Microsoft 365 Update sicher, stabil und datenschutzkonform.
Hier klicken und Beratungstermin vereinbaren!
Das Microsoft 365 Update steht sinnbildlich für einen Spagat: mehr Produktivität, aber auch offene Fragen zur DSGVO-Konformität, Informationssicherheit und Betriebsstabilität. Besonders öffentliche Einrichtungen, Schulen und Behörden sind davon stark betroffen. Das heißt, wer MS 365 datenschutzkonform nutzen will, muss die Datenflüsse verstehen, vertragliche Rollen sauber regeln und Konfigurationen laufend prüfen. Mit Einführung der EU-Datengrenze (EU Data Boundary) hat Microsoft zwar spürbar nachgebessert und Kundendaten sowie Protokolldaten u.v.m. werden nun innerhalb der EU/EFTA verarbeitet, jedoch wurden dadurch bei weitem nicht alle Risiken beseitigt. Gerade bei Supportfällen und globalen Telemetrie-Pfaden bleiben Ausnahmen möglich und müssen dokumentiert werden. Um sicher, sauber und effizient zu arbeiten, ist es entscheidend, alle Systeme und Richtlinien vorab strukturiert und korrekt zu migrieren.
1. Was ist MS 365?
Microsoft 365 (MS 365) ist eine Cloud‑basierte Sammlung von Software‑ und Plattformdiensten. Neben den klassischen Office‑Programmen Microsoft Word, Excel und Outlook umfasst das Paket Microsoft Teams für Zusammenarbeit, Microsoft Exchange Server für E‑Mails sowie weitere Apps wie OneDrive, SharePoint und Azure‑basierte Tools. Im öffentlichen Sektor wird Microsoft 365 häufig als integrierte Plattform für Kommunikation, Dokumentenverwaltung und projektübergreifende Zusammenarbeit eingesetzt. Anders als bei der früheren lokalen Office‑Installation laufen viele Dienste heute ausschließlich in Rechenzentren von Microsoft und sind über das Internet erreichbar, was neue Abhängigkeiten, aber auch Chancen mit sich bringt.
2. Was steckt eigentlich hinter dem neuesten MS 365 Update?
Mit der EU-Datengrenze (EU Data Boundary) für die Microsoft Cloud verpflichtete sich Microsoft, personenbezogene Daten für Enterprise-Onlinedienste innerhalb der EU/EFTA zu verarbeiten.
Phase 2 (seit 2024): Verarbeitung zahlreicher Diagnose-/Telemetrie-Daten nun ebenfalls EU-gebunden.
Phase 3 (finalisiert in 2025): Supportdaten, Debug-Logs & Service-Notes sollen ebenfalls innerhalb EU/EFTA verarbeitet werden.
Dies gilt jedoch nicht für alle Datenkategorien und Szenarien:
Supportdaten können weiterhin in Drittländer übertragen werden.
Bei Multi-Geo-Konfigurationen fallen einzelne Workloads automatisch aus dem Boundary-Scope. Verantwortliche sollten deshalb die eigene Data Location im Admin-Center prüfen und Abweichungen (z. B. bei Support/Logdaten) in der DSFA abbilden.
Diagnose- und Telemetriepfade enthalten weiterhin Ausnahmen. Hierzu ist daher eine Datenschutzfolgeabschätzung (DSFA) und ein Transfer Impact Assessment (TIA) zu erstellen. Letzteres bleibt im Hinblick auf die Rechtsunsicherheiten notwendig, die mit Data Privacy Framework und dem Cloud Act verbunden sind.
Die EU Data Boundary benennt explizit die Länder im Geltungsbereich sowie die (angekündigten/aktiven) Rechenzentrums-Standorte in Europa. Auch wenn vereinzelt weiterhin Daten außerhalb Europas verarbeitet werden können, verdeutlicht die EU Data Boundary, dass Microsoft seine Dienste stärker an den rechtlichen Anforderungen der EU und der DSGVO ausrichtet.
Die Übermittlung an Dienstleister, die nach dem Angemessenheitsbeschluss zum sog. EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, bleibt davon unberührt. Durch das DPF wird verbindlich bestätigt, dass US-Organisationen, die im offiziellen Register zum DPF aufgeführt sind, ein dem EU-Standard entsprechendes Schutzniveau für personenbezogene Daten aus Europa bieten. Hier gilt weiterhin, dass die Pflichten aus der DSGVO (u.a. DSFA bzw. TIA) erfüllt werden müssen.
Wer personenbezogene Daten in Länder ohne Angemessenheitsbeschluss übermittelt oder mit US-Dienstleistern arbeitet, die nicht nach dem DPF zertifiziert sind, kommt um die bekannten Schutzmechanismen der DSGVO nicht herum. In solchen Fällen müssen weiterhin Standardvertragsklauseln (SCC) abgeschlossen und die Risiken der Übermittlung sorgfältig geprüft werden. Je nach Ergebnis können zudem zusätzliche technische oder organisatorische Maßnahmen notwendig werden, um ein angemessenes Schutzniveau sicherzustellen.
3. Cloud Act
Neben der EU Data Boundary gilt weiterhin der Cloud Act („Clarifying Lawful Overseas Use of Data Act“) als US‑Bundesgesetz aus dem Jahr 2018. Dieses Gesetz verpflichtet US-Unternehmen, auf rechtliche Herausgabeverlangen amerikanischer Behörden zu reagieren, unabhängig vom Speicherort der Daten. Der Cloud Act schafft keine unmittelbare Zugriffsmöglichkeit auf europäische Cloudsysteme. Eine Herausgabe setzt immer ein formelles Verfahren voraus und ist nur dann möglich, wenn der Anbieter technisch Zugriff auf die Daten hat. Befindet sich der Schlüssel ausschließlich beim Kunden, reduziert sich die praktische Zugriffsmöglichkeit erheblich. Gleichwohl bleibt ein Restrisiko bestehen, das öffentliche Stellen bei der Risikobewertung berücksichtigen müssen.
4. Welche Sicherheitsrisiken bestehen und welche Daten werden bezogen?
Ein Großteil der Risiken entsteht durch Fehlkonfigurationen (Berechtigungen, Freigaben, Mobile-Nutzung), nicht primär durch „Hacking“. Parallel erhebt Microsoft erforderliche Dienstdaten und Diagnose-/Telemetriedaten, die für Lizenzierung, Update-Verteilung, Stabilität und Fehleranalyse nötig sind. Laut Microsoft umfassen diese u. a. Geräte- und Sitzungskennungen, App-/Build-Versionen, Feature- und Nutzungsereignisse, Leistungs-/Absturzinformationen, Fehler- und Statuscodes, Aktivierungs-/Lizenzdaten sowie dienstgenerierte Protokolle (z. B. Anmelde-/Dienstaufrufe). Inhalte (Dateitext, E-Mails etc.) sind nicht Teil dieser Diagnosedaten; Ereignisse können jedoch pseudonyme IDs enthalten. Umfang und Sichtbarkeit werden über die Privacy-Policies in den Microsoft 365 Apps gesteuert.
Datenschutz
Microsoft 365 kann datenschutzkonform betrieben werden, wenn der Einsatz professionell gesteuert wird. Dies bestätigen auch mehrere deutsche Aufsichtsbehörden im Rahmen Ihrer Handreichungen zu Microsoft 365. Erforderlich sind ein Auftragsverarbeitungsvertrag, ein transparenter Umgang mit Unterauftragsverarbeitern, ein konsistentes Berechtigungskonzept und ein bewusster Umgang mit Telemetrie- und Diagnosedaten. Eine Datenschutz-Folgeabschätzung (DSFA) ist in vielen Einsatzszenarien unverzichtbar. Diese dient in dieser Funktion nicht als Formalität, sondern als Instrument zur Risikosteuerung und -abschätzung.
Microsoft verweist auf Audits (wie die Zertifizierung nach ISO/IEC 27001) als Nachweis für ein strategisches Sicherheitsmanagement sowie auf den Microsoft Secure Score als herstellereigenes, internes Steuerungsinstrument zur kontinuierlichen Verbesserung des Sicherheitsniveaus in der eigenen Umgebung. Obwohl diese Instrumente Vertrauen schaffen und die Einhaltung von Standards belegen, ersetzen sie nicht die eigenen Pflichten: Die grundlegenden Sicherheitsmaßnahmen umfassen den Schutz von Identitäten (durch die Implementierung der Multi-Faktor-Authentifizierung (MFA) und die Trennung von administrativen Aufgaben), die stringente Verwaltung der rollenbasierten Zugriffssteuerung (RBAC), den Einsatz von Data Loss Prevention (DLP) und Sensitivity Labels sowie das Betreiben von Protokollierungs- und Überwachungsmechanismen (Logging/Auditing). Der Secure Score identifiziert Schwachstellen und priorisiert notwendige Korrekturmaßnahmen; die verantwortlichen Personen sollten diese Maßnahmen regelmäßig überprüfen und anpassen.
5. Wie kann man seine Daten schützen?
Der Schutz sensibler Daten beginnt mit klaren Regeln für ihren Umgang. Dazu gehören eine verständliche Einteilung der Daten, eindeutige Aufbewahrungsfristen und ein Berechtigungskonzept, das nur notwendige Zugriffe erlaubt (Least-Privilege-Prinzip).
Ergänzend sollten Schutzmechanismen wie Kennzeichnungen sensibler Informationen, Maßnahmen gegen Datenabflüsse sowie regelmäßige Auswertungen von Protokollen und Sicherheitsbewertungen eingesetzt werden.
Datenschutzrichtlinien in den Microsoft 365-Apps reduzieren dabei Diagnose- und Telemetriedaten auf das erforderliche Maß.
Ebenso wichtig ist die Prüfung, wo Daten gespeichert werden und ob sie innerhalb der EU verarbeitet werden; bei Übermittlungen in Drittländer müssen geeignete Schutzmechanismen dokumentiert und bei Bedarf zusätzliche Verschlüsselungsmaßnahmen ergänzt werden.
Die Umsetzung all dieser Maßnahmen ist jedoch anspruchsvoll, weil Microsoft 365 aus vielen eng verknüpften Diensten besteht, deren Einstellungen sich gegenseitig beeinflussen. Fehlentscheidungen oder unkoordinierte Änderungen können zu Störungen oder kompletten System-Ausfällen führen und erfordern im Ernstfall aufwendige Wiederherstellungsmaßnahmen, die den Betrieb und die IT-Teams erheblich belasten.
Mobile Nutzung (Apps auf Smartphones): Ohne Mobile Device Management (MDM)/Mobile Application Management (MAM) kaum steuerbar; Conditional Access, App-Schutzrichtlinien und Bring Your Own Device (BYOD)-Regeln sind Pflicht.
Transparenz über Tracking/Telemetry: Dokumentieren, welche Diagnosedaten erhoben werden (Geräte-IDs, Feature-Events, Crash-Infos, Lizenzdaten), welche Inhalte explizit nicht; Privacy-Policies konsequent setzen.
Das aktuelle Microsoft 365-Update macht deutlich, dass der datenschutzkonforme und sichere Einsatz von Cloud-Diensten ein komplexes Thema mit vielen Abhängigkeiten und individuellen Fallstricken bleibt. Die EU Data Boundary und das EU-U.S. Data Privacy Framework verbessern die Ausgangslage, beseitigen aber weder alle Risiken noch alle rechtlichen Unsicherheiten – insbesondere im Zusammenspiel mit Telemetrie, Supportpfaden und dem Cloud Act. Ob Microsoft 365 im Einzelfall DSGVO-konform betrieben werden kann, hängt wesentlich von der konkreten Nutzung, den gewählten Einstellungen und den ergänzenden technischen und organisatorischen Maßnahmen ab. Erforderlich sind daher eine sorgfältige Risikoabwägung, eine belastbare Dokumentation (insbesondere DSFA/TIA) sowie ein kontinuierlicher Überprüfungs- und Anpassungsprozess.
Wie die actago Unternehmensgruppe Sie unterstützen kann
Wir begleiten Sie von der Einrichtung Ihrer Microsoft 365-Umgebung über die technische Absicherung bis hin zum fertigen Datenschutz- und Sicherheitskonzept – alles aus einer Hand. Dabei kombinieren wir technisches Know-how mit datenschutzrechtlicher Expertise, um Ihre Umgebung optimal an die Anforderungen der DSGVO und Ihrer Organisation anzupassen.
Die actago4IT GmbH kann Sie bei der konkreten Umsetzung unterstützen, damit Sie Microsoft 365 so einsetzen, dass es produktiv, sicher und rechtssicher funktioniert – und zu einem echten Gewinn für Ihre Einrichtung wird.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
