Kategorie: Datenschutz
Die Betriebsratsperspektive auf M365 – Astrid Hückelkamp im Datenschutz Talk

Der Einsatz von Microsoft 365 (M365) ist in Unternehmen, die einen Betriebsrat haben, nicht ohne weiteres möglich. Das Betriebsverfassungsgesetz verpflichtet Arbeitgeber den Betriebsrat bei der Einführung und Veränderung von Systemen, die der Leistungs- und Verhaltenskontrolle dienen, zu beteiligen. Wie das konkret aussieht und welche Informationsquellen zur Verfügung stehen, bespricht Heiko Gossen mit Astrid Hückelkamp, Betriebsrätin seit über 10 Jahren bei Microsoft Deutschland.
Astrid Hückelkamp ist Betriebsrätin und Technologiespezialistin bei Microsoft Deutschland. Sie war bereits zu den Themen Purview und Priva im Datenschutz Talk Podcast.
Weitergehende Informationen:
Rechtsprechung zum Mitbestimmungsrecht bei M365
- LAG Köln, Beschluss vom 21.5.2021 – 9 TaBV 28/20 (ArbG Bonn)
- „Mitbestimmung bei Einführung von Microsoft Office 365“
- Bundesarbeitsgericht, Beschluss vom 8. März 2022 – 1 ABR 20/21
- „Die unternehmenseinheitliche Nutzung von Microsoft Office 365 mit der Möglichkeit einer zentralen Kontrolle von Verhalten und Leistung der Arbeitnehmer erfordert aus zwingenden technischen Gründen eine betriebsübergreifende Regelung, für die der Gesamtbetriebsrat zuständig ist.“
- Volltext
- Verpflichtung des Arbeitgebers
- „Nach der Rechtsprechung des BVerwG (wie des BAG zur entsprechenden Vorschrift des § 87 Abs. 1 Nr. 6 BetrVG) ist der Tatbestand bereits dann erfüllt, wenn die technische Einrichtung objektiv geeignet ist, Verhalten oder Leistung der Beschäftigten zu überwachen. Es reicht also aus, wenn die Einrichtung zuerst anderen Zwecken dient (Beispiel: Videoanlage zwecks Aufklärung von Unregelmäßigkeiten im Betriebsablauf; automatische Telefondatenerfassung zwecks Abrechnung von Privatgesprächen); eine Kontrollabsicht in Bezug auf das Verhalten der Beschäftigten ist nicht erforderlich. Noch weitergehend meint das BVerwG, dass eine technische Einrichtung auch dann zur Kontrolle des Verhaltens oder der Leistung der Beschäftigten bestimmt ist, „wenn sie ohne unüberwindliche Hindernisse mit einem zur Überwachung geeigneten Programm versehen werden kann.“ Mitbestimmungspflichtig ist danach bereits die Beschaffung der Hardware, also der EDV-Anlage, wenn nur die Möglichkeit besteht, sie zukünftig nach der Beschaffung entsprechender Programme (Software) zur Verhaltens- bzw. Leistungskontrolle einzusetzen.“
Links:
- Microsoft Roadmap
- Anmeldelink für den aktuellen BR Roundtable
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/die-betriebsratsperspektive-auf-m365-astrid-huckelkamp-im-datenschutz-talk
Windows Diagnosedaten – Friedhelm Peplowski im Datenschutz Talk

Das weit verbreitete Betriebssystem Windows übermittelt Diagnosedaten an Microsoft Deutschland. Diese Diagnose- bzw. Telemetriedaten sind nicht selten pseudonymisierte Daten. D.h. dass diese immer noch als personenbezogene Daten gelten und daher datenschutzrechtliche Beachtung finden sollten.
Die niederländische Regierung hat dazu bereits vor einigen Jahren eine Datenschutz Folgenabschätzung erstellen lassen:
DPIA Windows 10 Enterprise v.1809 and preview v. 1903
In dieser Folge spricht Heiko Gossen mit Friedhelm Peplowski von Microsoft Deutschland die wichtigsten Punkte durch:
- Wann werden welche Daten übermittelt (Telemetriedaten, Diagnosedaten, Dienstedaten)?
- Was kann man als Nutzer bzw. Administrator alles einstellen?
- Wie sehen die Löschfristen bei Microsoft für diese Daten aus?
- Wie komme ich am besten den Informationspflichten gegenüber Mitarbeitenden nach?
- Was bedeutet das Lock-Box-Verfahren?
- Muss man als Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) vornehmen?
Links zur Vertiefung:
- Ein Leitfaden für IT- und Compliance-Experten
- Übersicht über den Diagnosedatenanzeige
- Löschen von Diagnosedaten:
- Aufbewahrung:
- Diagnosedaten:
- Übersicht über die Datenschutzsteuerungen für Microsoft 365 Apps for Enterprise. – Deploy Office | Microsoft Docs
- Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise – Deploy Office | Microsoft Docs
- Diagnosedaten in Office (microsoft.com)
- Diagnostic Data Viewer
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/windows-diagnosedaten-friedhelm-peplowski-im-datenschutz-talk
Datenschutz im Online-Handel – Sicherheit in der Verarbeitung
Die prinzipielle Anforderung an eine sichere Verarbeitung ergibt sich unmittelbar aus den Grundsätzen, die im Artikel 5 „Grundsätze für die Verarbeitung von personenbezogenen Daten“ definiert sind. Hier sieht die DSGVO vor, dass personenbezogene Daten nur entsprechend vertraulich und ausreichend geschützt, bzw. gesichert verarbeitet werden dürfen. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen (vgl. Artikel 5 Abs. 1 lit. f DSGVO). Für die Einhaltung dieser Anforderung ist das Unternehmen verantwortlich und muss auch in der Lage sein, aus seiner Rechenschaftspflicht heraus die Einhaltung nachzuweisen.
Verschlüsselung in M365 – Stephanus Schulte im Datenschutz Talk

Damit Verschlüsselung in M365 ihren Zweck erfüllen kann, muss man als Kunde sich über einiges im Vorfeld Gedanken machen und bei der Umsetzung beachten. In dieser Folge spricht Heiko Gossen mit Stephanus Schulte von Microsoft Deutschland über die datenschutzrelevanten Details und was Unternehmen berücksichtigen sollten.
Neben den Fragen, welche Verschlüsselungsmöglichkeiten M365 überhaupt bietet, geht auch um Risikobewertungen, Schlüsselmanagement, Ende-zu-Ende-Verschlüsselung und die Frage, ob mir Verschlüsselung tatsächliche DSGVO-Compliance bringt. Darüber hinaus werfen die beiden auch einen kurzen Blick auf ein paar angrenzende Themen, wie physische Sicherheit in Rechenzentren und für wen ein HSM (Hardware Security Module) sinnvoll ist.
Weiterführende Links:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/verschlusselung-in-m365-stephanus-schulte-im-datenschutz-talk
Datenflüsse in MS Teams – Friedhelm Peplowski im Datenschutz Talk

Microsoft Teams ist spätestens seit Beginn der Corona-Pandemie aus vielen Unternehmen nicht mehr wegzudenken. Nach dem ersten Überblick in unserer ersten Reihe mit Microsoft Ende 2021 gehen wir in diese Folge etwas tiefer in die Details. Friedhelm Peplowski erläutert unter anderen die Fragen von Heiko Gossen zur Löschung, zur Verschlüsselung und zu den Diagnosedaten sowie dem aktuellen Stand zum EU Boundary-Projekt. Er gibt auch noch einige praktische Tipps, die man als Admin bzw. DSB wissen sollte.
Die technischen Details gibt es hier zum Nachlesen im Fakten-Check: „Information GDPR Microsoft Teams“
Weitere Folgen zum Thema:
- Was sollten Kunden beim Einsatz von M365 berücksichtigen – Fatih Ataoglu im Datenschutz Talk
- Datenschutz unter Microsoft M365 – Fatih Ataoglu im Datenschutz Talk
- Microsoft und der CLOUD Act – Fatih Ataoglu im Datenschutz Talk
- Datenschutz Basics: Office365 – Warum wird der Einsatz im Unternehmen problematisch gesehen?
- Microsoft Purview und Priva – Astrid Hückelkamp im Datenschutz Talk
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/datenflusse-in-ms-teams-friedhelm-peplowski-im-ds-talk
Datenschutz im Online-Handel – Finanzinstitute
Dieser Beitrag knüpft an unseren letzten Blog- Beitrag „Datenschutz im Online-Handel – Bonitätsprüfung“ an und ist Bestandteil der Reihe „Datenschutz im Online-Handel und Zahlungsverkehr“. Zum einen sollen einige der angesprochenen Themen etwas weiter vertieft werden, zum anderen soll deren Relevanz für Finanzinstitute in den Fokus gerückt werden. Letzteres erscheint angezeigt, da der bereits erschienene Beitrag seinen Fokus auf den Online-Handel legte, sich bei Finanzinstituten jedoch ein paar Besonderheiten daraus ergeben, da sie Bestandteil der „kritischen Infrastruktur“ sind.
Datenschutz im Online-Handel – Bonitätsprüfung
Ein Online-Händler wird, soweit er das nicht ohnehin schon weiß, sehr schnell feststellen, dass nicht jede Bezahlform in jedem Fall eine optimale Einhaltung der Zahlungsverpflichtungen seitens des Bestellers/Kunden hervorruft. Vor diesem Hintergrund wird er alsbald beginnen, sich Gedanken darum zu machen, wie er sicherstellen kann, dass er auch die Bezahlung für seine Ware oder Dienstleistung erhält. Dazu gehört, dass er sich Informationen beschafft.
Indem er dies tut, führt er bei seinen Kunden eine Prüfung der Kreditwürdigkeit oder auch Bonitätsprüfung durch.
Datenschutz im Online-Handel – Zahlungsdiensteanbieter (Payment Service Provider)
Wie bereits in dem Blogbeitrag von David Schmidt „Datenschutz im Online-Handel – Was müssen Webshop-Betreiber beachten?“ erwähnt, ist die Einbindung von Zahlungsdiensteanbietern auch im Bereich des Online-Handels mit datenschutzrechtlichen Anforderungen verbunden.
Für den Online-Händler ergibt sich daraus natürlich ein Risiko, dass der Kunde nach Erhalt der Lieferung die Rechnung nicht bezahlen wird oder der Händler einem Betrüger aufgesessen ist. Laut der ECC-Studie sind bereits 40 Prozent der Online-Händler Opfer von Betrügern geworden.
Um das Risiko zu minimieren, nutzen viele Betreiber von Web-Shops bereits die Unterstützung von Zahlungsdiensteanbietern. Das reicht von der einfachen Bonitätsprüfung oder das Inkasso bis zum kompletten Factoring.
Datenschutz im Online-Handel – Was müssen Webshop-Betreiber beachten?
Im Jahr 2021 erzielte das Onlinegeschäft in Deutschland einen Umsatz von rund 99,1 Milliarden Euro. Dies ist eine Steigerung von knapp 19 % im Vergleich zum Vorjahr.
In Anbetracht der fortschreitenden Digitalisierung und nur langsam abklingenden Pandemie, ist davon auszugehen, dass dieser Trend sich auch in den nächsten Jahren fortsetzen wird. Betreiber von Webshops müssen dabei jedoch zunehmenden gesetzlichen Anforderungen gerecht werden, dazu gehört auch die Umsetzung der datenschutzrechtlichen Vorgaben.
Bußgelder und Schadensersatz – Tim Wybitul im Datenschutz Talk


Durch die vielen Urteile, die deutsche und europäische Gerichte in den letzten Monaten zu den Themen Haftung und Schadensersatz erlassen haben, wird deutlich, dass hier für Unternehmen auch ein finanzielles Risiko liegt. Daneben fallen auch die Bußgelder, die durch Datenschutzaufsichts- behörden verhängt werden, zunehmend ins Gewicht.
Wir unterhalten uns mit Tim Wybitul von der Kanzlei Latham & Watkins zu den Artikeln 82 und 83 der Datenschutzgrundverordnung. Rechtsanwalt Tim Wybitul vermittelt uns seine Eindrücke und Erfahrungen, die er und seine Kollegen in Gerichtsverhandlungen gesammelt haben.
Eine kurzweilige Folge, die auch für Entscheider spannend sein kann.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/bussgelder-und-schadensersatz-tim-wybitul-im-datenschutz-talk