Bereits in unserem Blogbeitrag vom Januar (»Office 365 – Noch immer ist alles im Fluss«) und nochmals in unserem Beitrag aus dem vergangenen Monat (»Bewertung der Datenschutzkonferenz zu Office365 und noch immer keine Gewissheit für die Praxis«) haben wir dazu geraten, parallel zur Einführung von Office365 auf der Plattform der Microsoft-Cloud eine Exit-Strategie aufzubauen, um im Fall einer negativen weiteren Entwicklung und einem möglichen Wegfall der Rechtsgrundlagen für die Verarbeitung unverzüglich reagieren zu können.
“Deutlich schwerer als die technischen und organisatorischen Fragen eines möglichen Exits wiegt wohl meist das Eingeständnis, dass eine datenschutzrechtlich unbedenkliche Nutzung und ein finanziell risikofreier Einsatz von Office 365 nach wie vor weder möglich und nicht in Sicht sind.” – Matthias Herkert
Seit dem EuGH-Schrems-II-Urteil ist der internationale Datentransfer aus Europa in die USA ist nur noch eingeschränkt möglich. Die veränderte Rechtslage hat den Blick in den Geschäftsführungen und IT-Abteilungen in den vergangenen Monaten wieder auf die Notwendigkeit der Entwicklung von Ausstiegsstrategie bei der Verwendung von Microsoft-Cloud Diensten gelenkt. Und auch wenn die momentane Entwicklung eine Lösung mit Microsoft wahrscheinlich werden lässt (hierzu unser Blogartikel »Microsoft stärkt die Rechte seiner Nutzer«), bleiben zahlreiche Risiken, die eine betriebliche Exit-Strategie auch zukünftig erfordern werden.
Doch was sich so einfach liest, ist indes in der Praxis kein leichtes Unterfangen. Bedeutet es doch, dass die verantwortliche Fachabteilung neben dem oft nicht unerheblichen Budget für die Umstellung auf die Onlinedienste von Microsoft, ein zweites Budget zur Freigabe vorlegen sollte, in dem, für den Fall einer erforderlichen Vertragsbeendigung, etwa wegen einer erzwungenen Offenlegung personenbezogener Daten aufgrund des CLOUD-Acts durch US-amerikanische Behörden, alles wieder rückgängig gemacht werden muss.
Komponenten der Exit-Strategie
Die Diözesandatenschutzbeauftragten für die (Erz-)Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier haben in ihrem jüngst vorgelegten Tätigkeitsbericht (hier geht es zur PDF-Datei auf der Homepage des Katholischen Datenschutzzentrums Frankfurt am Main) Bausteine einer sinnvollen Exit-Strategie aufgezeigt, die den Verantwortlichen helfen sollen, den Risiken aus dem Einsatz der Microsoft Clouddienste in anstehenden Umstellungsprojekten zu begegnen.
- Prognose der im Fall einer Rückmigration anfallenden Datenvolumen erstellen - Da in den nicht-cloudbasierten Microsoftprogrammen der Speicherplatz auf Anwenderebene meist geringer ist als in der Microsoft-Cloud (bei Outlook z.B. 1 GB konventionell je Postfach statt 100 GB je Postfach in Office 365), sollte im Fall einer Rückübertragung mit deutlich höheren Datenmengen kalkuliert werden. Bestehende Inhouse-Rechenzentrumsinfrastrukturen werden die zukünftig anfallende Datenmengen daher bereits nach wenigen Betriebsjahren kaum mehr aufnehmen können, was eine Planung von Speicherplatzalternativen oder konsequente Speicherplatzbegrenzungen auch in den Cloudservices im Rahmen der Ausstiegsstrategie erforderlich macht.
- Rückübertragung der Daten in das eigenen Rechenzentrum (Insourcings) oder zu eine europäischen Cloud-Dienstleister planen — Da eine Rückmigration in eigene Rechenzentren in vielen Fällen kaum möglich sein wird, unter anderem weil die benötigten Rechenzentrumsinfrastruktur nach der Verlagerung meist abgebaut oder zumindest nicht weiter ausgebaut werden wird, sollten geeignete Dienstleister identifiziert und vertraglich gebunden werden, auf die eine Rückübertragung der Dienste und Daten kurzfristig, regelmäßig wohl innerhalb der meistens 90-tägigen Kündigungsfrist der Microsoft-Services, möglich ist.
- Prognose der im Fall einer Rückmigration anfallenden Personalressourcen und Infrastrukturen — Die erwarteten personellen sowie hardware- und softwareseitigen Beschaffungen im Fall einer Rückübertragung der Produktivsysteme sollte prognostiziert und in Beschaffungsplänen fixiert werden. Da mit der Migration in die Microsoft-Cloud in vielen Fällen auch ein Ausbau der Nutzung der angebotenen Services verbunden sein wird, sollte bei jeder Aktivierung von bislang nicht genutzten Diensten (z.B. Microsoft Teams) auch festgelegt werden, ob diese im Fall einer Rückmigration beibehalten werden sollen. Die in diesem Fall (i.d.R. zusätzlich) erforderliche Hard- und Software sollte in den Beschaffungsplänen berücksichtigt und im Budget eingepreist werden.
- Simulation der Rückübertragung - Um sicherzustellen, dass im Fall einer erforderlichen Rückübertragung aller Verarbeitungen aus der Plattform der Microsoft-Cloud im gegebenen Zeitrahmen migriert werden können, sollte die Rückmigration anhand von Stichproben simuliert und überprüft werden. Die Simulationen ermöglichen eine Prognose der Laufzeit einer möglichen Datenrückübertragung und unterstützt dabei, mögliche Hard- und Softwareprobleme aufzudecken.
- Laufende Verifizierung und Anpassung der Ausstiegsstrategie – Mit Blick auf die laufende Weiterentwicklung der Office 365 Dienste und der Angebote der Microsoft-Cloud, aber auch mit Blick auf sich ändernde technische Standards und branchenspezifische Vorgaben, ist die Exit-Strategie regelmäßig zu überprüfen und anzupassen. In diesem Rahmen sollten auch die zuvor erstellen Prognosen verifiziert werden, um gegebenenfalls Dienstleitungsverträge und Beschaffungspläne anpassen zu können.
Fazit
Die insbesondere von kirchlichen Datenschutzaufsichten regelmäßig geforderten Exit-Strategien beim Einsatz von Office365 auf der Plattform der Microsoft-Cloud wir in der Praxis von Unternehmen und Einrichtungen häufig »stiefmütterlich« behandelt. Dabei ist der Entwurf einer geeigneten Strategie zur Rückmigration aller Daten im Rahmen eines notwendigen Ausstiegs aus der Onlinewelt von Microsoft bei weitem nicht so komplex wie vielfach befürchtet. Deutlich schwerer als die technischen und organisatorischen Fragen wiegt wohl meist das Eingeständnis, dass eine datenschutzrechtlich unbedenkliche Nutzung und ein finanziell risikofreier Einsatz von Office 365 nach wie vor weder möglich und nicht in Sicht sind.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]