Zum Inhalt springen

Der Datenschutz Talk

Datenschutz unter Microsoft M365 - Fatih Ataoglu im Datenschutz Talk

Datenschutz unter Microsoft M365 – Fatih Ataoglu im Datenschutz Talk

    In dieser Themenfolge begrüßt Heiko Gossen den Head of Data Privacy & Security von Microsoft Deutschland, Herrn Fatih Ataoglu. Als Start einer kleinen Reihe zum Thema Datenschutz bei Microsoftprodukten im Business-Umfeld geht es heute zunächst um den datenschutzvetraglichen Rahmen bei Nutzung der M365 Produkte (bspw. MS Teams, Exchange & Outlook, Sharepoint, One Drive, Powerpoint, Word, Excel etc.).

    Dabei stehen die vertraglichen Rahmenparamenter (wer ist Vertragspartner, wo finde ich die aktuellen Verträge etc.) sowie die geeigneten Garantien nach Art. 28 Abs. 1 DSGVO im Mittelpunkt. Die beiden schauen aber auch kritisch darauf, welche Daten Microsoft zu eigenen Zwecken verarbeitet und welche Schutzmaßnahmen Micorsoft ergreift, damit Support-Mitarbeiter nicht unbefugt auf Daten der Kunden zugreifen können.

    In der Folge angesprochenen Links:

    Aktuelle Blogs und Pressemitteilungen gibt es auf dem Microsoft News Center Deutschland: https://news.microsoft.com/de-de/

    Anlaufstelle zu den Themen IT, Sicherheit und Compliance ist das Microsoft Trust Center: https://www.microsoft.com/de-de/trust-center

    Lockbox-Verfahren in Office 356 à https://docs.microsoft.com/de-de/microsoft-365/compliance/customer-lockbox-requests?view=o365-worldwide

    In Teil 2 dieser Reihe geht es dann um Microsoft und der CLOUD Act.

    Weitere Links:

    Datenschutz hat bei Microsoft oberste Priorität: https://news.microsoft.com/de-de/im-daten-dschungel-wie-wir-bei-microsoft-daten-schuetzen/

    Microsoft Data Protection Addendum (DPA): https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx / https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

    Wie Microsoft die Datenschutz-Grundverordnung umsetzt: https://news.microsoft.com/de-de/im-daten-dschungel-wie-microsoft-die-datenschutz-grundverordnung-umsetzt/

    Weitere nationale und internationale Anforderungen (ISO 27001, ISO 27018, ISO 27701, etc.): https://news.microsoft.com/de-de/im-daten-dschungel-wo-speichert-microsoft-eigentlich-meine-daten/

    Microsoft Initiative “Defending your Data”: https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/

    Microsoft erklärt Diagnosedaten: https://news.microsoft.com/de-de/videos/webinar-diagnosedaten-in-microsoft-365-und-windows-10/

    Microsoft erklärt funktionale Daten: https://news.microsoft.com/de-de/im-daten-dschungel-telemetrie/

    Microsoft erklärt legitime Geschäftstätigkeiten: https://news.microsoft.com/de-de/im-daten-dschungel-nach-welchen-regeln-wir-daten-verarbeiten/

    Stellungnahme zum Vermerk „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“: https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/

    Datenschutz in Microsoft Teams: https://www.microsoft.com/de-de/microsoft-teams/security

    Digitale Bildung mit Microsoft Teams: https://news.microsoft.com/de-de/features/digitale-bildung-mit-microsoft-teams/

    migosens Podcast

    Infektionsschutzgesetz (IfSG) fordert Datenverarbeitung – Datenschutz News KW 47/2021

      Luxemburgische Datenschutzbehörde verhängt DSGVO-Bußgeld wegen unzureichender Einbindung des Datenschutzbeauftragten
      Anforderungen des Datenschutzes zur 3G-Regel am Arbeitsplatz ab 24.11.
      BfDI ist für datenschutzfreundlichere Umsetzung der 3G-Regel am Arbeitsplatz
      VG Berlin entscheidet, dass Berliner Senat personenbezogene Daten der Berliner Richterinnen und Richter ohne deren Einwilligung nicht zugänglich machen muss
      Gerichtshof der Europäischen Union: Urteil zu „Inbox advertising“ nur mit Einwilligung zulässig (Rechtssache C-102/20)
      Bei einem personalisierten Gutschein muss die Informationspflicht gem. Art. 14 DSGVO erfüllt werden
      Laut finnischer Datenschutzbehörde umfasst Protokoll-/Logdaten nicht den Auskunftsanspruch nach Art. 15 DSGVO
      Datenschützer Max Schrems legt sich nun auch mit der irischen Datenschutzbehörde an
      Neuer Koalitionsvertrag der Ampel u.a. zur Nutzung von Daten und Datenrecht
      Laut FBI birgt die VPN-Software Sicherheitslücken
      Neue Phishing-Mails im Umlauf

      migosens Podcast

      Auf Hackerangriff folgt Bußgeld – Datenschutz News KW 46/2021

        LG Mainz verurteilt Inkassounternehmen aufgrund rechtswidrigem Eintrag zu bisher höchstem Schadenersatz (AZ 3 O 12/20)
        Best Practices der Fernwartung in der Gesundheitsversorgung
        Niederländische Aufsicht verhängt Bußgeld in Höhe von 400 TSD Euro gegen Airline aufgrund Verstoß gegen Art. 32 DSGVO
        AG Köln entscheidet Videokamera in Hausflur eines MFH nach Art.6 DSGVO nicht zulässig
        AZ 210 C 24/21
        Einwilligungssystem des IAB Europe nicht mit der GDPR vereinbar
        Nationale Aufsichtsbehörden untersuchen Datenverarbeitung von vinted.com
        EuGH-Generalanwalt sieht Verstoß gegen Unionsrecht
        Präsentationen der BvD-Herbstkonferenz Datenschutz und Behördentag 2021 online verfügbar

        migosens Podcast

        Abmahnung wegen Cookiebanner – DS News KW 45/2021

          BMI evaluiert BDSG: Wer ist Adressat von DSGVO-Geldbußen?
          Messbarkeit des immateriellen Schadens: Landgericht München, Urteil vom 2.9.2021 – 23 O 10931/20
          Auslegungssache: Schadensersatz nach Art. 82 DSGVO
          Urteil: Haftung für unbekannte Unterauftragnehmer
          Urteil LG Essen: Notwendigkeit der Verschlüsselung
          Unzulässige Cookiebanner auch UWG-relevant – Abmahnung gerechtfertigt
          Entscheidung VG Hannover: Abfrage des Geburtsdatums durch Online-Apotheken rechtswidrig (Az. 10 A 502/19)
          700.000 Corona-Testdaten im Netz
          MediaMarkt und Saturn Opfer eines Cyberangriffs
          Ransomware-Angriff auf IT-Dienstleister für Gesundheitswesen
          Unsere Themenfolge
          Anonymous hackt Hildmann und Provider – Personenbezogene Daten unverschlüsselt
          Sicherheitslücken in VMWare vCenter, Serverporzessoren von AMD, Firewalls von Palo Alto und Siemens Nucleus OS
          Facebook (Meta) schränkt Targeting ein
          Microsoft: Neue Funktionen sollten vor Einsatz datenschutzseitig geprüft und klaren Regeln für Admins unterworfen werden
          Arbeitspapier zur Verarbeitung des Impfstatus im Unternehmen
          Orientierungshilfen für den datenschutzkonformen Einsatz von Messengerdiensten im Unternehmen

          der-datenschutz-talk-news-der-woche-kw44-2021

          DSB haftet nicht für Verstöße des Unternehmens – DS News KW 44-2021

            Beschluss zur Vorlage beim EuGH: Verarbeitung von Gesundheitsdaten eigener Mitarbeiter durch den MDK zulässig? BAG, Beschluss vom 26.08.2021 – 8 AZR 253/20 (A)
            Bußgeld für unzureichende Einbindung des DSB
            Urteil: Haftung des DSB für Verstöße seines Auftraggebers
            Urteil: Namentliche Nennung von Eigentümern bei Legionellenbefall
            Immaterieller Schadensersetz gem. Art. 82 DSGVO, Landesarbeitsgericht Niedersachsen 16. Kammer, Urteil vom 22.10.2021, 16 Sa 761/20
            Urteil: DSGVO: Geltungsbereich und Ansprüche nach Art. 77, 78 DSGVO
            Amtsantritt in Hamburg
            BSI finalisiert „Mindeststandard für Videokonferenzdienste“, Bericht zur Lage der IT Sicherheit in DE
            Interessiert an einer Mitarbeit bei der migosens? Hier geht’s direkt zu den Details: https://karriere.migosens.de
            Anmeldung noch möglich: Der Datenschutz Talk als Webinar zum TTDSG am 10.11.2021. Anmeldung per E-Mail an datenschutztalk@migosens.de oder via LinkedIn

            der-datenschutz-talk-news-der-woche-kw43-2021

            DSK-Beschluss zu Impfstatus bei Beschäftigten – DS News KW 43-2021

              Auslegungshinweise zur Dokumentationspflicht einer Einwilligung von der Bundesnetzagentur
              Urteil zu Anspruch auf Einschreiten der Datenschutzaufsicht
              Scoolio gelobt Besserung: 400.000 Schülerdaten abrufbar
              EuGH soll entscheiden, ob Schufa in den Anwendungsbereich des Art. 22 Abs. 1 DSGVO fällt
              Apple führt App-Datenschutzberichte ein
              Ausweitung von umstrittener Vorratsspeicherung von Telefon- und Internetdaten gewünscht
              Hinweise zur datenschutzkonformen Verarbeitung des Impfstatus von Beschäftigten
              Widerspruch nicht möglich: Verarbeitung von Bewegungsprofilen über Apps
              Neue detaillierte Handreichung für den Einsatz von Videokonferenzsystemen
              LfD Niedersachsen: Handreichung zum Datenschutz für kommunale Abgeordnete
              Tätigkeitsbericht 2020 aus Thüringen veröffentlicht
              Ankündigung: Der Datenschutz Talk als kostenloses Webinar zum TTDSG am 10.11.2021. Anmeldung per E-Mail an datenschutztalk@migosens.de oder via LinkedIn

              Cover DS News KW 42

              IKEA: Videoüberwachung in Lager-Toilette – DS News KW 42-2021

                Verschlüsselungstrojaner lähmt Schwerins Behörden
                Stadtverwaltung Witten nach Cyberangriff ebenso lahmgelegt
                Wir empfehlen dazu auch unsere Themenfolge zu dem Thema Cybercrime: https://migosens.de/cybercrime-uniklinik-duesseldorf-peter-vahrenhorst-im-datenschutz-talk/

                LfDI BaWü stellt klar: „Lockerung der Maskenpflicht scheitert nicht an Datenschutz“
                Übermittlung von Telemetriedaten ohne Möglichkeit des Widerspruchs durch Handy-Hersteller
                Sicherheit auf dem stillen Örtchen – Ikea überwacht heimlich Mitarbeiter-Toiletten in UK
                Ist Apples Tracking-Schutz eine Mogelpackung?
                Urteil zum Umfang des Auskunftsrecht beim OLG München, Endurteil v. 04.10.2021 – 3 U 2906/20

                Warnung durch das BSI

                Urteil: Berechtigtes Interesse einer Wirtschaftsauskunftei an Verarbeitung von Schuldnerdaten

                Windows: „PrintNightmare“ – Probleme mit Netzwerkdruckern reißen nicht ab
                Noyb widmet sich unzulässigem Adresshandel

                Amtsübergabe in Berlin
                Ankündigung: Der Datenschutz Talk als Webinar zum TTDSG am 10.11.2021. Anmeldung per E-Mail an datenschutztalk@migosens.de oder via LinkedIn
                Veranstaltungstipp: Öffentliche Tagung der Konferenz der Informationsfreiheitsbeauftragten

                Cover DS News KW 41

                Die Woche der Sicherheitslücken – DS News KW 41-2021

                  Neue Datenschutz-Themenfolge zum PIPL
                  Twitch veröffentlicht Grund für Datenpanne
                  Irische Datenschutzaufsicht billigt Opt-In bei Facebook
                  Instagram plant Schutzfunktion für Jugendliche
                  Neue Back-Up-Verschlüsselung bei WhatsApp
                  Google sorgt für mehr Online-Sicherheit für Kinder

                  Apple-App-Store fordert Möglichkeit zur Account-Löschung
                  Big-Data-Analysen durch Europol
                  Negativ-Auskunft nach Festplattenzerstörung
                  Bußgeld für mangelnde Informationspflicht bei der Videoüberwachung Sehbehinderter
                  Sicherheitsupdates bei OpenOffice, Exchange, Microsoft & Co. erforderlich
                  Google erwartet Phishing-Angriffe aus Russland

                  Cyberkriminelle könnten Auge auf IT-Dienstleister werfen
                  Großbritannien wertet Ransomware-Attacken aus
                  Hamburgs Datenschutzbeauftragter kritisiert Facebook

                  Cover Episode 112

                  Das neue chinesische Datenschutzgesetz – Pia Stoffels im Datenschutz Talk

                    In China wird in Kürze – am 1. November 2021 – das erste Gesetz zum Schutz personenbezogener Daten in Kraft treten. Die Pekinger Zentralregierung reagiert damit auf zunehmende Sorgen in der chinesischen Bevölkerung über Datenmissbrauch durch die Wirtschaft und insbesondere große Internetfirmen. Staatliche Stellen bleiben von den neuen Regeln größtenteils ausgenommen.

                    Außerdem wird vermutet, dass damit auch der heimische Technologiesektor etwas beschränkt werden soll. Daher spricht Markus Zechel in dieser Folge mit Pia Stoffels – einer echten Expertin, die beruflich viel mit China zu tun hat. Als Data Privacy & Compliance Counsel muss sie sich regelmäßig mit der Frage der Zulässigkeit von Datentransfers in asiatische Länder beschäftigen. Die beiden beleuchten die Gemeinsamkeiten mit der DSGVO sowie einige Unterschiede, aber auch die Frage, ob dies ein wichtiger Schritt in Richtung eines Angemessenheitsbeschlusses werden könnte.

                    migosens Podcast

                    DFB verbietet WhatsApp – DS News KW 40/2021

                      LfDI BaWü verdeutlicht Rechtslage zum Datenschutz bei Lohnfortzahlung im Quarantäne-Fall
                      IT-Konzerne bilden Allianz zur Einschränkung/Neuregelung des staatlichen Datenzugriffs
                      Öffentliches Konsultationsverfahren zur KI im Bereich der Strafverfolgung und Gefahrenabwehr
                      EU-Abgeordnete fordern Verbot von biometrischer Massenüberwachung und Social Scoring
                      Erneut ein Fall für den EuGH: Fragen zur Datenverarbeitung durch SCHUFA (VG Wiesbaden, Beschluss vom 31.08.2021 – 6 K 226/21.WI)
                      USA: Unbefugter Zugriff auf Mobilfunkdaten über 5 Jahre
                      VG Arnsberg, Urteil vom 10. Juni 2021, Az. 7 K 3522/19 (Volltext): Zur Abgrenzung von personenbezogenen Daten und Sachdaten im Kontext von IFG-Anfragen.
                      Deutscher Fußballbund untersagt dienstliche Nutzung von WhatsApp
                      Google führt 2-Faktor-Authentifizierung für alle ein
                      Datenleak bei Twitch: Einahmen von Streamern veröffentlicht
                      Vorträge der Privacy Conference 2021 nun kostenfrei auf YouTube verfügbar
                      LfDI BaWü aktualisiert Handreichung zum internationalem Datentransfer
                      Erinnerung: Alte SCC nicht mehr zulässig!