Die Diskussion um Microsoft 365 und Datenschutz beschäftigt seit Jahren Behörden und Unternehmen in Europa. Vor allem die Frage, ob die Nutzung der Cloud-Dienste mit den Anforderungen der DSGVO vereinbar ist, stand lange im Raum. Nun hat der Europäische Datenschutzbeauftragte (EDSB) bestätigt: Die EU-Kommission setzt Microsoft 365 inzwischen im Einklang mit den geltenden Datenschutzvorschriften für EU-Organe und -Einrichtungen ein.
Unser Projekt mit einer großen deutschen Bank
Mit 6,5 Mio. Euro kassierte das höchste Bußgeld im November die spanische The Phone House S.L. Ausgangspunkt war eine Ransomware-Attacke, die das Unternehmen an die spanische Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) gemeldet hatte. Von dem Angriff waren rund 13 Mio. Kunden betroffen, teils wurden auch deren Daten offengelegt. Darunter befanden sich Adressen, Telefonnummern, Ausweisdokumente und Bankverbindungen. Bei der Prüfung des Vorfalls stellte die AEPD fest, dass Mängel der technischen und organisatorischen Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten. Insgesamt hätten keine hinreichenden Maßnahmen bestanden, um sich gegen bestimmte Risiken aus Cyberangriffen abzusichern. Die Strafe setzt sich aus zwei Bußgeldern von je 4 Mio. und 2,5 Mio. Euro zusammen. Ein Einspruch gegen den Bußgeldbescheid wurde bereits abgelehnt.
Ärzte und andere Behandelnde sind nach § 603 des bürgerlichen Gesetzbuchs (BGB) dazu verpflichtet, die Patientenakte für eine Dauer von 10 Jahren aufzubewahren, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen gelten.
Mit weiteren Datenschutzbehörden hat die LDI NRW eine Handreichung für Verantwortliche für den Einsatz von MS 365 erstellt.
Das Verwaltungsgericht Ansbach verurteilte die bayrische Datenschutzaufsichtsbehörde zum Eingreifen.