Microsoft 365 unterliegt der Mitbestimmung

Datenschutzrechtlich ist bei dem Betrieb der cloudbasierten Version von Office = Microsoft 365,

neben dem Abschluss einer Auftragsverarbeitungsvereinbarung zusammen mit den Standardvertragsklauseln und zusätzlichen Garantien (Auffassung von Microsoft: der Download des Nachtrags zum Datenschutz vom 09.12.2020 und die Nutzung als konkludentes Handeln sind ausreichend, a. A. LfDI MV, HmbBfDI und LfDI Bremen prüfen),

eine Einbeziehung des Betriebsrats erforderlich, da der Betrieb in der Cloud ein höheres Sicherheitsrisiko birgt und die Überwachungsmöglichkeiten des Arbeitgebers steigen.

Insgesamt ist auch für Unternehmen ohne Betriebsrat die Verhältnismäßigkeit bei Leistungs- und Verhaltenskontrollen zu wahren. Vollkontrollen oder stetiger Überwachungsdruck sind nicht zulässig und lassen sich nicht mit § 26 Abs. 1 BDSG sowie Art. 88 Abs. 2 DS-GVO als Rechtsgrundlage rechtfertigen. Gegenüber Lieferanten, Kunden und Kommunikationsteilnehmern sind die Rechtsgrundlagen des Art. 6 DS-GVO und des Art. 9 DS-GVO heranzuziehen.

Ein Muster für die Unternehmen, die in der datenschutzrechtlichen Betreuung beim vdw Sachsen sind, wird auf Anfrage zur Verfügung gestellt.

Denken Sie bitte an das Verarbeitungsverzeichnis und die Datenschutzinformation für die Beschäftigten und die Externen (Kunden, Vertragspartner oder Kommunikationspartner).

Vereinbaren Sie mit Microsoft als Datenspeicherort den EWR.

Setzen Sie Verschlüsselungstechnologien ein und dokumentieren Sie die getroffenen Maßnahmen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)