Rechtskonformer Einsatz von MICROSOFT 365

Wo stehen wir bei M 365?

• Microsoft 365-Projekte in Zeiten von EuGH Schrems II
• Kritik und Meinungsstand der Datenschutzbehörden
• Datenschutzbehörden fordern: Verbot vom 25.04.22 für Microsoft 365
• Was tun? Ist Microsoft 365 noch einsetzbar?
• Rechtsprechung, insbesondere des EuGH, zu M 365
• Reaktionen auf Kritik und Lösungsansätze von Microsoft
• Microsoft-Verträge auf dem Prüfstand, insbesondere
  DPA, Online Service Terms usw. Welche
  Anpassungen
  können erreicht werden? Verhandlungstaktik
  mit Microsoft
• Welche Zusatzvereinbarungen sollten angestrebt werden → Mustervorlage für Zusatzvereinbarung
• Datenschutzhinweise für M 365 gestalten → Mustervorlage

Herausforderung internationaler Datentransfer

• EuGH Schrems II und M 365, Rechtslage in den USA
• Welche US-Gesetze gelten für Microsoft? Section 702 FISA, E.O. 12333 etc.
• Die neuen Standarddatenschutzklauseln rechtssicher
  einsetzen
• Fragenkatalog der Behörden, wie bereiten Sie sich optimal vor?
• Welche Einwilligungen können für M 365 genutzt
  werden? Transfer nach Art. 49 DSGVO Einwilligungen
  für Bilder, Private Nutzung, Compliance-Kontrollen usw.
• Datentransfer im Konzern, konzernweite Prozesse umsetzen, Einsatz von M 365 in Konzernstrukturen
• Das neue EU-US Data Privacy Framework vom 25.03.22 (Nachfolger Privacy Shield),
  Executive Order
  vom 07.10.22

Integrierter Workshop:
Erstellung Transfer Impact Assessment (TIA) für M365

Anhand von Mustervorlagen und Textbausteinen erstellen die Teilnehmenden unter Anleitung des
Referenten ihr individuelles Transfer Impact Assessment für M 365

• Risikomindernde Zusatzmaßnahmen / Zusatzvereinbarungen / Einwilligungen
• Subauftragnehmer und Übertragungswege
• Speicherort und Supportzugriff

Sicherheitskonzept von Microsoft

• Verschlüsselungslösungen für M 365: Double Key Encryption,
  Bring your own Key etc.
• Zugriffskontrolle, Kunden-Monitoring durch Customer Lockbox
• Conditional Access, Multi-Factor Authentication (MFA),
  Privileged Identity Management (PIM)
• Intune MDM & MAM
• Sicherheitsstandards für M 365
• Gapanalyse, Risikomatrix erstellen

365 im Arbeitsverhältnis

• Verhaltens- und Leistungskontrollen mit M 365
• Telemetrie- und Analysemaßnahmen (Delve, MyAnalytics, Power BI usw.) zulässig einsetzen
• Mitbestimmung und Gestaltung einer Betriebsvereinbarung für M 365 → Mustervorlage

Integrierter Workshop:
Erstellung Datenschutzfolgenabschätzung (DSFA) für M365

Anhand von Mustervorlagen und Textbausteinen erstellen die Teilnehmenden
unter Anleitung des Referenten ihre individuelle Datenschutzfolgenabschätzung
für M 365

• Verhältnismäßigkeitsprüfung
• Erforderlichkeit – Alternativprodukte
• Verfahrensvorgaben, Beteiligung DSB, Betriebsrat, Betroffene