In den Kommunen wird die digitale Transformation vorangetrieben. Die Verwaltung soll effizienter, transparenter und bürgerfreundlicher werden. Viele Kommunen setzen dabei auf moderne Cloud-Lösungen wie MS365, denn diese bieten Werkzeuge an, die die Zusammenarbeit und Kommunikation verbessern.
Der Einsatz von MS365 wirft aber auch Fragen, insbesondere datenschutzrechtlicher Art, auf. Denn bei einer Cloud-Lösung verbleiben die verarbeiteten Daten nicht innerhalb des IT-Systems einer Kommune, sondern werden auf den unter Umständen weltweit verteilten Servern des Cloud-Anbieters gespeichert und verarbeitet.
Diskutiert wird auch, ob für MS365 eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss. Grundsätzlich gilt: Eine DSFA muss nicht bei allen Datenverarbeitungsvorgängen durchgeführt werden, sondern nach Art. 35 Abs. 1 DSGVO nur dann, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Dies wird im Rahmen einer Erforderlichkeitsprüfung oder Schwellwertanalyse geprüft.
In der Erforderlichkeitsprüfung oder Schwellwertanalyse wird anhand verschiedener Prüffragen ermittelt, ob eine DSFA notwendig ist. Dazu werden die „Leitlinien zur DSFA“ des Europäischen Datenschutzausschusses (europäische Datenschutzgruppe nach Artikel 29) herangezogen. Wenn mehrere Fragen positiv beantwortet werden, ist eine DSFA erforderlich.
Bei MS365 handelt es sich um eine Datenverarbeitung in großem Umfang, denn es werden große Mengen personenbezogener Daten auf regionaler, nationaler, möglicherweise auch supranationaler Ebene verarbeitet, die eine große Zahl von Personen betreffen können. Eine weitere Prüffrage bezieht sich darauf, ob die Daten von schutzbedürftigen Personen betroffen sind. Auch das wird bejaht, denn mit MS365 kann die Arbeitsleistung von Arbeitnehmern bewertet werden. Wenn bei MS365 ein KI-Assistent, z. B. der Copilot, eingesetzt wird, liegt zudem das Kriterium einer innovativen Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen vor. Ergebnis einer Erforderlichkeitsprüfung oder Schwellwertanalyse ist, dass für MS365 eine DSFA zu erstellen ist.
In einer DSFA werden Risiken betrachtet, die durch Gegenmaßnahmen minimiert werden können. Bei MS365 hängt der Umfang der Verarbeitung personenbezogener Daten vor allem von den genutzten Modulen, den Lizenzvereinbarungen, den Einstellungen und weiteren Faktoren ab. Das bedeutet, dass beim Einsatz von MS365 in einer DSFA jeder Einzelfall dahingehend betrachtet werden muss, welche konkreten Einsatzszenarien bei einer Kommune geplant sind und welche Maßnahmen zur Risikominimierung getroffen wurden.
Mit Microsoft 365 können Kommunen ihre Verwaltungsprozesse verschlanken und modernisieren. Wichtig ist eine enge Abstimmung mit den Datenschutzbehörden, um eine sichere und nachhaltige Nutzung zu gewährleisten.
