Datenschutz bei Microsoft 365 und Copilot
Rechtliche Begründung, interne Freigabe, Datenschutz-Folgenabschätzung und Compliance-Prozesse
Published on 28. April 2025
283 pages
978-3-8005-9759-8 (ISBN)
Description
"Das ist alles sehr kompliziert und schwierig" ist ein häufiger Start bei der Darstellung von komplexen juristischen Themen.
In diesem Buch soll mit dem entgegengesetzten Ansatz gestartet werden: "Eigentlich ist alles sehr einfach." Denn Datenschutz bei Microsoft 365 und Copilot kann leicht in drei Punkten zusammengefasst werden:
- Es gibt keine rechtlich eindeutige und unbestrittene pauschale Antwort auf die Frage, ob Microsoft 365 und Copilot rechtskonform eingesetzt werden können.
- Mit dieser Unsicherheit muss man umgehen können und dafür gibt es Lösungen.
- Mit einer tragfähigen Begründung und angemessener Dokumentation können Microsoft 365 und Copilot in den meisten Anwendungsfällen mit minimalen Restrisiken eingesetzt werden.
Das Buch bietet für alle drei Punkte Lösungen, indem es die Kritik der Aufsichtsbehörden ausführlich aufarbeitet, eine eigene rechtliche Bewertung vornimmt und sich auch ausführlich dem Umgang mit Unklarheiten und Restrisiken widmet - sowohl aus datenschutzrechtlicher Sicht als auch aus Management-Perspektive.
Anhand zahlreicher Hinweise und Checklisten lassen sich Risiken erkennen und minimieren, was dazu beiträgt, eine Haftung von Geschäftsführern und Vorständen zu vermeiden. Ergänzend stehen zahlreiche Musterdokumente zur Verfügung, darunter eine Datenschutz-Folgenabschätzung zum Einsatz von Exchange und Outlook, dem Office-Paket, SharePoint, OneDrive und Teams sowie ein Transfer Impact Assessment.
Der Autor berät seit über zehn Jahren zum Datenschutz bei Microsoft-Produkten und führt in diesem Buch technisch fundiert und zugleich praxisnah in die Möglichkeiten ein, Microsoft 365 und Copilot trotz der aufsichtsbehördlichen Positionen zu nutzen. Dabei werden
auch die Lizenzvarianten und das Microsoft-Vertragswerk, wie Product Terms, Data Protection Addendum und Zusatzvereinbarungen, vorgestellt und erläutert. Auch auf Sonderthemen wird eingegangen, z. B. § 203 StGB sowie Microsoft-Funktionen wie EU Data Boundary und Customer Lockbox.
Mit Grußworten von Dr. Stefan Brink, Frederick Richter und Michael Will.
In diesem Buch soll mit dem entgegengesetzten Ansatz gestartet werden: "Eigentlich ist alles sehr einfach." Denn Datenschutz bei Microsoft 365 und Copilot kann leicht in drei Punkten zusammengefasst werden:
- Es gibt keine rechtlich eindeutige und unbestrittene pauschale Antwort auf die Frage, ob Microsoft 365 und Copilot rechtskonform eingesetzt werden können.
- Mit dieser Unsicherheit muss man umgehen können und dafür gibt es Lösungen.
- Mit einer tragfähigen Begründung und angemessener Dokumentation können Microsoft 365 und Copilot in den meisten Anwendungsfällen mit minimalen Restrisiken eingesetzt werden.
Das Buch bietet für alle drei Punkte Lösungen, indem es die Kritik der Aufsichtsbehörden ausführlich aufarbeitet, eine eigene rechtliche Bewertung vornimmt und sich auch ausführlich dem Umgang mit Unklarheiten und Restrisiken widmet - sowohl aus datenschutzrechtlicher Sicht als auch aus Management-Perspektive.
Anhand zahlreicher Hinweise und Checklisten lassen sich Risiken erkennen und minimieren, was dazu beiträgt, eine Haftung von Geschäftsführern und Vorständen zu vermeiden. Ergänzend stehen zahlreiche Musterdokumente zur Verfügung, darunter eine Datenschutz-Folgenabschätzung zum Einsatz von Exchange und Outlook, dem Office-Paket, SharePoint, OneDrive und Teams sowie ein Transfer Impact Assessment.
Der Autor berät seit über zehn Jahren zum Datenschutz bei Microsoft-Produkten und führt in diesem Buch technisch fundiert und zugleich praxisnah in die Möglichkeiten ein, Microsoft 365 und Copilot trotz der aufsichtsbehördlichen Positionen zu nutzen. Dabei werden
auch die Lizenzvarianten und das Microsoft-Vertragswerk, wie Product Terms, Data Protection Addendum und Zusatzvereinbarungen, vorgestellt und erläutert. Auch auf Sonderthemen wird eingegangen, z. B. § 203 StGB sowie Microsoft-Funktionen wie EU Data Boundary und Customer Lockbox.
Mit Grußworten von Dr. Stefan Brink, Frederick Richter und Michael Will.
More details
Series
Edition
1. Auflage 2025
Language
German
Place of publication
Frankfurt
Germany
Target group
Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, IT-Beauftragte, Geschäftsführer, Aufsichtsbehörden, Behörden und Institutionen, Compliance-Beauftragte, HR
File size
11,34 MB
ISBN-13
978-3-8005-9759-8 (9783800597598)
Schweitzer Classification
Other editions
Additional editions
Olaf Koglin
Datenschutz bei Microsoft 365 und Copilot
Rechtliche Begründung, interne Freigabe, Datenschutz-Folgenabschätzung und Compliance-Prozesse
E-Book
04/2025
Fachmedien Recht und Wirtschaft
€74.99
Available for download
Olaf Koglin
Datenschutz bei Microsoft 365 und Copilot
Rechtliche Begründung, interne Freigabe, Datenschutz-Folgenabschätzung und Compliance-Prozesse
Book
04/2025
Fachmedien Recht und Wirtschaft
€89.00
Available immediately
Person
Dr. Olaf Koglin ist seit 2002 als Rechtsanwalt im Bereich IT/IP und Datenschutz tätig. Inhouse-Erfahrung sammelte er u. a. bei Capgemini, Accenture und Axel Springer, wo er die Einführung von Microsoft Office 365 verantwortete. Seit 2021 ist er auf Datenschutz-Support zu Microsoft-Produkten spezialisiert. 2021 folgte auch die Gründung von LegalCheck.
Dr. Koglin veröffentlicht regelmäßig Fachbeiträge zum Thema Datenschutz und hält Vorträge zum Datenschutzrecht. Des Weiteren gehört er zum Beirat der Fachzeitschrift "Datenschutz-Berater."
Dr. Koglin veröffentlicht regelmäßig Fachbeiträge zum Thema Datenschutz und hält Vorträge zum Datenschutzrecht. Des Weiteren gehört er zum Beirat der Fachzeitschrift "Datenschutz-Berater."
Content
- Cover
- Titel
- Impressum
- Zur Verwendung dieses Buchs
- Für alle
- Grußwort von Dr. Stefan Brink
- Grußwort von Frederick Richter
- Grußwort von Michael Will
- Inhaltsverzeichnis
- Abkürzungsverzeichnis
- 1. Kapitel: Überblick über die zentralen Themen
- 1.1 Einführung
- 1.2 Datenschutzrechtlicher Rahmen
- 1.3 Datenschutzrechtliche Risiken
- 1.4 Markt und Alternativen zu Microsoft 365
- 1.5 Entscheidung der Geschäftsleitung und BusinessJudgment Rule
- 1.6 Maßnahmen zur Risikominimierung
- 2. Kapitel: Herangehensweise und Prüfungsumfang beim Microsoft 365-Projekt
- 2.1 Projektmanagement zum Datenschutz bei der Microsoft 365-Migration
- 2.2 Eingrenzung der Themen: In Scope/Out of Scope
- 2.3 Datenklassifizierung zur Bewertung "Out of Scope"
- 2.4 Umgang mit ausgegrenzten Themen
- 3. Kapitel: Risiken beim Einsatz von Microsoft 365, insb. aus Sicht der Aufsichtsbehörden
- 3.1 Grundsätze der DSGVO und Problemfelder bei SaaS
- 3.1.1 Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a DSGVO)
- 3.1.2 Transparenz der Datenverarbeitung (Art. 5 Abs. 1 lit. a DSGVO)
- 3.1.3 Erforderlichkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. c DSGVO)
- 3.1.4 Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 lit. a DSGVO)
- 3.1.5 Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
- 3.2 DSK & Co.: Struktur und Relevanz der Datenschutzaufsicht in EU und DE
- 3.2.1 Aufbau der Datenschutzaufsicht in der EU: EDSA und EDSB
- 3.2.2 Aufbau der Datenschutzaufsicht in Deutschland: Zahlreiche Aufsichtsbehörden
- 3.2.3 Datenschutzkonferenz (DSK), "Berlin Group" und weitere inoffizielle Gruppierungen
- 3.2.4 Rechtliche Natur der Aufsichtsbehörden in der Gewaltenteilung
- 3.2.5 Zusammenfassung zu Aufsichtsbehörden und ihren nichtbehördlichen Gruppen
- 3.3 Darstellung der Auffassung der Aufsichtsbehörden
- 3.3.1 Beschluss der Art.-29-Datenschutzgruppe zum Microsoft Online Services DPA (2014)
- 3.3.2 Der DSK-Beschluss aus 2020
- 3.3.3 Der DSK-Beschluss aus 2022
- 3.3.3.1 Kritikpunkte der DSK in der beschlossenen "Festlegung" (2022)
- 3.3.3.2 Weitere Kritikpunkte der DSK in der "Zusammenfassung" (2022)
- 3.3.4 Stellungnahme des LfDI BW zu M365 an Schulen (2022)
- 3.3.5 "Praxis-Tipps": Handreichung einiger Aufsichtsbehörden (8-9/2023)
- 3.3.5.1 Herausgeber/Beteiligte Behörden
- 3.3.5.2 Inhalt und Reaktionen
- 3.3.5.3 Spezifizierung der Daten und betroffenen Personen
- 3.3.5.4 Nutzung von E-Mail-Adressen ohne Namen
- 3.3.6 LfD Niedersachsen: Einsatz von Teams im Innenministerium ist akzeptabel
- 3.3.6.1 Hintergrund
- 3.3.6.2 Die niedersächsische "Zusatzvereinbarung"
- 3.3.6.3 Bewertung des LfD Niedersachsen als akzeptabel
- 3.3.7 Weitere Stellungnahmen deutscher Aufsichtsbehörden
- 3.3.8 Verfahren des EDSB gegen die EU-Kommission und darauffolgende Klagen
- 3.3.8.1 Hintergrund: Rechtlicher Rahmen und Rolle des EDSB
- 3.3.8.2 Kritik des EDSB an Microsoft 365
- 3.3.8.3 Entgegnung und Relevanz für den derzeitigen Einsatz von M365
- 3.3.8.4 Klage der EU-Kommission und von Microsoft Irland gegen den Beschluss des EDSB
- 3.3.8.5 Antwort der EU-Kommission und Pressemitteilung des EDSB vom Dezember 2024
- 3.3.8.6 Zusammenfassung und Bedeutung für die Praxis
- 3.3.8.7 Inhalt der Klagen von Kommission und Microsoft gegen den EDSB
- 3.3.9 Positionen zu Videokonferenzen und Abgrenzung zum Telekommunikationsrecht
- 3.3.9.1 Überblick über die aufsichtsbehördlichen Stellungnahmen
- 3.3.9.2 Komplexität und Heterogenität der Anforderungen
- 3.3.9.3 Beispiel: End-to-End-Verschlüsselung
- 3.3.9.4 Einheitlicher Bewertungsmaßstab oder zweierlei Maß?
- 3.3.9.5 Behördenauffassungen betr. Abgrenzung zur Telekommunikation
- 3.3.9.6 Bewertung und weitere Differenzierung: Connected Experiences, Exchange
- 3.3.9.7 Folgen falscher Abgrenzung
- Zuständigkeit
- 3.4 Kritik in der rechtswissenschaftlichen Literatur
- 3.5 Weitere mögliche Kritikpunkte
- 3.6 Zusammenfassung des Spektrums von Meinungen und Freigaben
- 3.7 Ergebnis
- 4. Kapitel: Argumentationslinien für einen Einsatz von Microsoft 365
- 4.1 Überblick über den Rechtsrahmen von Verfassungen und Datenschutzrecht
- 4.1.1 Datenschutz-Basics: Verfassungen, Primärrecht und EU-Grundrechte-Charta
- 4.1.2 Relevanz von Erwägungsgründen
- 4.1.3 DSGVO als Sekundärrecht unter der EU-GRCh
- 4.1.4 Weitere, insb. nationale Normen
- 4.1.5 Zusammenfassung
- 4.2 Überblick über das Vertragswerk zu Microsoft 365
- 4.2.1 Product Terms als Rahmen einzelner Dokumente
- 4.2.2 Privacy & Security Terms: Definition der Core Services und EU Data Boundary
- 4.2.3 Das Data Protection Addendum
- 4.2.3.1 Übersicht zum Data Protection Addendum
- 4.2.3.2 Data Protection Addendum: Vertragspartner, Lizenzen und Abschluss
- 4.2.3.3 Data Protection Addendum: Neue Versionen und Aktualisierung bei Bestandskunden
- 4.2.3.4 Data Protection Addendum: Auftragsverarbeitung und Standarddatenschutzklauseln
- 4.2.3.5 Data Protection Addendum: Rangfolgeregelungen
- 4.2.3.6 Ausschlüsse vom DPA, sog. eigene Zwecke
- 4.2.3.7 Relevanz der "Core Online Services"
- 4.2.3.8 Angaben zu Arten der Daten, Zwecken etc.
- 4.2.3.9 Änderungen in der DPA-Fassung vom 18.02.2025
- 4.2.3.10 Änderungen in der DPA-Fassung vom 01.04.2025
- 4.2.4 Berufsgeheimnisträger Zusatzvereinbarung und § 203StGB
- 4.2.5 Weitere Zusatzvereinbarungen und Rahmenverträge
- 4.3 Einordnung: Wesen der DSK und Relevanz von aufsichtsbehördlichen Positionen
- 4.3.1 Rechtsnatur und Relevanz der Datenschutzkonferenz
- 4.3.2 Keine Verbindlichkeit der Positionen von Aufsichtsbehörden
- 4.3.3 Zusammenfassung
- 4.4 Bewertung der Hauptkritikpunkte der Aufsichtsbehörden
- 4.4.1 Kritikpunkt: Einhaltung der Rechtmäßigkeit nicht nachweisbar
- 4.4.1.1 Inhalt der Kritik
- 4.4.1.2 Bewertung
- 4.4.1.3 Ergebnis
- 4.4.2 Kritikpunkt: Transparenz über "eigene Zwecke" von Microsoft und eingesetzte Drittanbieter
- 4.4.2.1 Eigene Tätigkeiten
- 4.4.2.2 Tätigkeiten zur Leistungserbringung: Connected Experiences, Telemetrie- und Diagnosedaten
- 4.4.2.3 Die Connected Experiences ("verbundene Erfahrungen")
- 4.4.2.4 Exkurs: Darstellung von Connected Experiences
- 4.4.2.5 Exkurs: Darstellung der optionalen Connected Experiences, insb. "Giphy"
- 4.4.2.6 Telemetrie- und Diagnosedaten
- 4.4.2.7 Bewertung zu Connected Experiences
- Telemetrie und Diagnose
- 4.4.2.8 Zusammenfassung
- 4.4.3 Kritikpunkt: Übermittlung von Daten in die USA und Offenlegung an (US-)Sicherheitsbehörden
- 4.4.3.1 EU-US Privacy Framework
- 4.4.3.2 Gültigkeit des DPF
- 4.4.4 Kritikpunkt: "Latente Übermittlung"
- 4.4.5 Kritikpunkt: Subunternehmer
- 4.4.5.1 Angebliche Pflicht zur Überprüfung von Unterauftragsverarbeitern
- 4.4.5.2 Information über Änderungen der eingesetzten Unterauftragsverarbeiter
- 4.4.6 Besonderheit: Telekommunikationsrecht
- 4.5 Änderungen durch das EU-US Data Privacy Framework (2023)
- 4.6 Weitere Änderungen seit dem DSK-Beschluss aus 2022
- 4.7 Faktisches Argument: Nutzung von M365 durch Behörden
- 4.8 Sekundäre Argumente gegen die Auffassung der DSK
- 4.9 Besonderheiten bei speziellen Arten von Verantwortlichen und Branchen
- 4.9.1 Einsatz von M365 in Behörden und anderen öffentlichen Stellen
- 4.9.1.1 Kein "berechtigtes Interesse" bei behördlichen Aufgaben
- 4.9.1.2 Sensible Daten und Teilnahmezwang
- 4.9.1.3 Privatrechtliche Gesellschaften in öffentlicher Hand
- 4.9.2 Gesundheitsdatenschutz und branchenspezifische Regulierung
- 4.9.3 Datenschutz bei Kirchen und religiösen Vereinigungen (Art. 91 DSGVO)
- 4.9.4 Datenschutz bei journalistisch-redaktionellen Tätigkeiten
- 4.10 Zusammenfassung der datenschutzrechtlichen Situation
- 4.11 Vergleich mit Alternativen zu Microsoft 365 und IT-Governance
- 4.11.1 Alternative Cloud-Angebote
- 4.11.2 Digitale Souveränität
- 4.11.3 Betrieb on premise und IT-Goverance
- 4.11.4 Datensicherheit und Vermeidung von Datenpannen
- 4.11.5 Zusammenfassung
- 4.12 Zusammenfassung: Konkrete Risiken und Maßnahmen bei einem M365-Einsatz
- 4.13 Maßnahmenplan zur Risikoreduzierung
- 5. Kapitel: Restrisiken, Prüfungstriefe und Business Judgment Rule
- 5.1 Verbleibende Unklarheiten
- 5.2 Erforderliche Prüfungstiefe
- 5.3 Umgang mit Restrisiken
- 5.3.1 Handhabung im datenschutzseitigen Projektmanagement
- 5.3.2 Kommunikative Handhabung
- Empfehlungen und "Abraten"
- 5.3.3 Rechtliche Handhabung von Ungewissheiten
- 5.4 Management-Entscheidungen und Business Judgment Rule
- 5.4.1 Die Business Judgment Rule
- 5.4.2 Business Judgment Rule im deutschen Recht
- 5.4.3 Inhalt der Business Judgment Rule
- 5.4.4 Anwendung der Business Judgment Rule auf eine Entscheidung für M365
- 5.5 Ergebnis
- 6. Kapitel: Individuelle Projektbeschreibung
- Technische und Organisatorische Massnahmen
- 6.1 Beschreibung des Verantwortlichen und Projektstatus
- 6.2 Checkliste zur Bestandsaufnahme u. speziellen Risiken beim M365-Einsatz
- 6.3 In die M365-Migration einbezogene Abteilungen und Daten
- 6.4 Verwendete Dienste und zur Risikobegegnung vorgesehene Maßnahmen
- 6.5 Katalog möglicher Maßnahmen
- 6.6 Beispiel für technische Einstellungen: CIS-Benchmarks
- 7. Kapitel: Datenschutz-Folgenabschätzung (DSFA)
- 7.1 Überblick zur Datenschutz-Folgenabschätzung
- 7.1.1 Inhalt und Zweck der Datenschutz-Folgenabschätzung
- 7.1.2 Interne Zuständigkeit für die Erstellung der DSFA
- 7.1.3 Weitere Schritte und "Konsultation" der Aufsichtsbehörde
- 7.1.4 Zeitpunkt der DSFA-Durchführung
- 7.2 Erforderlichkeit der DSFA im konkreten Fall
- 7.2.1 Vorprüfung: Ist eine DSFA durchzuführen (sog. "Schwellwertanalyse")?
- 7.2.2 Ergebnis: Zumindest vorsorgliche DSFA
- 7.2.3 Ausnahme bei kleinen Organisationen ohne Datenschutzbeauftragten
- 7.3 Durchführung der Datenschutz-Folgenabschätzung
- 7.3.1 Vorgehen
- 7.3.1.1 Gesetzliche Anforderungen an die Durchführung (Art. 35 Abs. 7 DSGVO)
- 7.3.1.2 Best Practices: Risikomatrix
- 7.3.1.3 Durchführung der DSFA nach Diensten und Phasen
- 7.3.1.4 Scope der Risikoanalyse: Beschränkung auf M365-spezifische Aspekte
- 7.3.2 Besondere Risikofaktoren beim Verantwortlichen
- 7.3.2.1 Rechtliche Besonderheiten
- 7.3.2.2 Betriebs-/ Dienstvereinbarung
- 7.3.2.3 Risikobezogene Besonderheiten
- 7.3.2.4 Organisatorische Umsetzung und laufende Änderungen
- 7.3.2.5 Durchführung als fortlaufende Folgenabschätzung: Initial "DSFA light" plus M365-Gremium
- 7.3.3 Erfassungs- oder Vorbereitungsphase (Art. 35 Abs. 7 lit. a DSGVO)
- 7.3.3.1 Exchange/Outlook Online
- 7.3.3.2 Word/ppt/xls Online
- 7.3.3.3 OneDrive, SharePoint Online
- 7.3.3.4 Teams
- 7.3.4 Bewertungsphase (Art. 35 Abs. 7 lit. b und c DSGVO)
- 7.3.4.1 Exchange/Outlook Online
- 7.3.4.2 Word/PowerPoint/Excel Online
- 7.3.4.3 OneDrive, SharePoint Online
- 7.3.4.4 Teams
- 7.3.5 Gesamt-Risikobewertung vor Maßnahmen
- 7.3.6 Maßnahmenphase (Art. 35 Abs. 7 lit. d DSGVO)
- 7.3.7 Risikobewertung nach Maßnahmen
- 7.3.8 Abschließende Bewertung
- 7.3.9 Dokumentation zur DSFA
- Änderungen und Versionskontrolle
- 7.4 Anhänge zur Datenschutz-Folgenabschätzung
- 7.4.1 Anhang 1: Vorbereitende Risikoanalyse
- 7.4.2 Anhang 2: Hilfsmittel und DSFA-Muster für M365
- 7.4.2.1 Hilfsmittel zur DSFA-Erstellung
- 7.4.2.2 Muster und Informationen von Microsoft
- 7.4.2.3 Veröffentlichte DSFA-Muster zu M365
- 7.4.2.4 Veröffentlichte DSFA-Muster zu Copilot
- 8. Kapitel: Entscheidung und Rat des Datenschutzbeauftragten
- 8.1 Rat des Datenschutzbeauftragten im Rahmen der DSFA
- 8.2 Entscheidung des Verantwortlichen (durch die Geschäftsführung)
- 9. Kapitel: Transfer Impact Assessment (TIA)
- 9.1 Notwendigkeit eines Transfer Impact Assessments
- 9.2 Sinnhaftigkeit eines SCC-TIA für die USA seit Geltung des DPF
- 9.3 Terminologie: Drittlandtransfer, Standarddatenschutzklauseln, "EU-US"
- 9.4 Anforderungen an ein Transfer Impact Assessment
- 9.4.1 Hintergrund: Schrems II-Entscheidung
- 9.4.2 Neufassung der SCC 2021 und Kodifizierung des Transfer Impact Assessment
- 9.4.3 Meinungsstand zu Inhalt und Ablauf
- 9.4.4 Zuständigkeit für das TIA und Parteien der SCC im Microsoft-DPA
- 9.4.5 Zeitpunkt der Durchführung und regelmäßige Überprüfung
- 9.4.6 Inhalt der Prüfung laut Klausel 14 SCC
- 9.5 Vertragswerk
- 9.6 Durchführung des Transfer Impact Assessments
- 9.6.1 Beschreibung der Übermittlung
- 9.6.1.1 Anwendungsbereich des "Microsoft Products and Services Data Protection Addendum"
- 9.6.1.2 Kategorien der personenbezogenen Daten
- 9.6.1.3 Zweck der Verarbeitung
- 9.6.1.4 Speicherort der übermittelten Daten
- EU Data Boundary
- 9.6.2 Identifizierung der Bestimmungen im Drittland
- 9.6.2.1 Erläuterung der Problematik, insb. FISA 702 und CLOUD Act
- 9.6.2.2 Datenschutzrechtliche Relevanz der "latenten Zugriffsmöglichkeit"
- 9.6.3 Identifizierung der technischen, vertraglichen und organisatorischen Maßnahmen zum Schutz der übermittelten Daten
- 9.6.4 Datenschutzniveau unter Berücksichtigung des EU-US Data Privacy Framework
- 9.6.4.1 Das EU-US Data Privacy Framework
- Executive Order 14086
- 9.6.4.2 Bestand des DPF
- Latombe-Klage/"Schrems III"
- 9.6.4.3 Bewertung des Datenschutzniveaus im konkreten Fall
- 9.6.5 Argumentationen jenseits des DPF
- 9.7 Gesamtbewertung des TIA
- 10. Kapitel: Eintrag im Verarbeitungsverzeichnis
- 10.1 Einleitung
- 10.2 Vorlage Verarbeitungsverzeichnis
- 11. Kapitel: Copilot-Varianten und Datenschutz
- 11.1 Einleitung
- 11.2 Die Copilot-Varianten
- 11.2.1 Microsoft 365 Copilot Chat
- 11.2.2 Microsoft 365 Copilot
- 11.2.3 Umgang mit laufenden Änderungen der Copiloten
- 11.2.4 Unterscheidung in der Praxis
- 11.2.5 Zugriff des Microsoft 365 Copilot auf eigene und Unternehmensdaten
- 11.2.6 Zugriff des Microsoft 365 Copilot Chat auf eigene und Unternehmensdaten
- 11.2.7 Einstellungen zu Microsoft 365 Copilot (Chat) im Admin-Center und in Teams
- 11.3 Datenschutzregeln von Microsoft für die Copilot-Varianten
- 11.3.1 Geltung des Data Protection Addendum (DPA)
- 11.3.2 Copiloten als "Products and Services" im Sinne des DPA und der Product Terms
- 11.3.3 Copiloten als Core Online Services
- 11.3.4 Copiloten und EU Data Boundary
- 11.3.5 Bing-Suchanfragen und Verwendung von Web-Daten
- 11.3.6 Commercial Data Protection und andere Datenschutz-Programme von Microsoft
- 11.3.7 Terms of Use & AI-Zusagen von Microsoft
- 11.3.8 Zusammenfassung
- 11.4 Fallgruppen bei der Verwendung von Copilot
- 11.4.1 Use Case 1: Unkritische Daten
- 11.4.2 Use Case 2: Mittelkritische Daten
- 11.4.2.1 Spezifische Risiken beim Microsoft 365 Copilot
- 11.4.2.2 Risikoreduzierung bei Microsoft 365 Copilot
- 11.4.2.3 Datenschutz-Folgenabschätzung für Microsoft 365 Copilot in Use Case 2
- 11.4.3 Use Case 3: Sehr kritische Daten sowie Hochrisiko-KI i. S. d. Art. 6 KI-VO
- 11.4.3.1 Bewertung als Hochrisiko-KI
- 11.4.3.2 Datenschutz-Folgenabschätzung
- 11.5 Datenschutz-Folgenabschätzungen zu Microsoft (365) Copilot
- 12. Kapitel: Anlagen
- 12.1 FAQ für Mitarbeitende und Öffentlichkeitsarbeit
- 12.2 Links und weiterführende Literatur
- 12.2.1 DSK-Dokumente zu M365
- 12.2.2 Weitere Stellungnahmen der Datenschutzaufsicht
- 12.2.3 Links und Literatur zu Microsoft 365
- 12.2.4 Berichte über die Nutzung von Microsoft 365 und Azure in öffentlichen Stellen
