M365 VVT für jede App?

Britta · 13. Dezember 2023 um 10:22

Hallo zusammen,
wir sind gerade dabei M365 im Unternehmen als Projekt umzusetzen. Eine VVT wird erstellt, aber muss ich das für jede zukünftige App auch machen oder kann ich nicht eine VVT M365 erstellen und hier grundsätzliches mit aufnehmen, so dass ich bei neuen Apps lediglich einen Nachtrag machen muss. Ich bin eigentlich eine ISB und da habe ich ja übergreifende Themen.
Viele Grüße
Britta

haderner · 13. Dezember 2023 um 20:44

Es ist nicht formal definiert, was “Verarbeitungstätigkeiten” sind. MS365 ist für mich eine (undurchschaubare) Anwendungssuite und als solche Infrastruktur. Ich würde nur abstrahierend Aspekte betrachten, zB Office, Mail … aber schon bei MS Teams wird das schwierig.

Beabel · 18. Dezember 2023 um 07:24

Dafür gibt es keine gesetzliche vorgeschriebene Form. Natürlich ist es möglich, einen Eintrag mit allgemeinen Angaben zum Gesamtpaket MS 365 zu machen und dann separate Abschnitte zu den einzelnen Apps.

Domasla · 18. Dezember 2023 um 07:58

Eine “Verarbeitungstätigkeit” scheint es zu sein, sich undurchsichtige weitere Funktionen auszudenken und überraschend einzuführen bzw. schon länger mitlaufen zu haben.

D., der das als “Glücksrad” o. ä. bezeichnen würde. Zweck: unbekannt bzw. unehrlich; Rechtsgrundlage: keine; Datenempfänger: unbekannt; TOM: keine (geeigneten); Risiken: na ja…

Britta · 18. Dezember 2023 um 08:30

Vielen Dank für die Antworten. Ich hab mir sowas in die Richtung bereits gedacht, dass es sinnvoll ist übergreifend eine VVT zu erstellen und dann höchstens Abschnitte für einzelne Apps zu erstellen.

Wi1h31m5 · 18. Dezember 2023 um 08:56

Die Frage, wie “granular” man Verarbeitungen dokumentiert ist letztlich eine Grundsätzliche.

Ich empfehle dazu wärmstens das Werk des Kollegen Roth:
https://shop.ruw.de/Verzeichnis-von-Verarbeitungstaetigkeiten/978-3-8005-1875-3

haderner · 18. Dezember 2023 um 10:48

@Domasla evilgrin

Der Vorschlag, einzelne Apps zu betrachten, ist eher aussichtslos, https://m365maps.com/files/Microsoft-365-E3.htm zumal das weder stabil noch vollständig ist

Für ein VVT braucht man kein langatmiges Buch: man kann zB die Hilfen der GDD nehmen, https://www.gdd.de/service/publikationen-und-aktionen/#gdd-praxis oder eine einfache Lösung des Anwaltsvereins, https://anwaltverein.de/de/anwaltspraxis/muster-vorlagen-tipps?file=files/anwaltverein.de/downloads/praxis/datenschutz/dav_muster-verzeichnis-der-verabreitungstaetigkeiten-nach-art-30-dsgvo-1.xlsx

l.huesker · 19. Dezember 2023 um 13:39

Hallo,

Nach meiner Auffassung ist es zwar möglich eine Verarbeitung “M365” zu erstellen, macht aber keinen Sinn.

Warum?
M365 ist ein “Mittel der Verarbeitung” (abgesehen von den Datenverarbeitung im Betrieb von M365 (Telemetrie, User-Logging, etc.)) und selber keine Verarbeitung zu einem Zweck.
Daher ist auch die DSFA von MS für M365 eine Datenschutz-Technologiefolgenabschätzung und keien DSFA i.S.d. Art. 35 DSGVO. M.E. wurde da Datenschutz nicht richtig verstanden.

Die DSGVO hat in fast allen Belangen eine risiko- und betroffenenbasierte Sicht. Das wäre bei einer solchen Verarbeitung nicht umsetzbar.

Lösungsgedanken:
Das Verzeichnis der Verarbeitungstätigkeiten wird inzwischen - nach meiner Wahrnehmung als “Gute Praxis” - in der Regel um alle weiteren Angaben zu einer Verarbeitung erweitert, die es ermöglichen, die Rechtskonfomität der Verarbeitung nachzuweisen. (Vorgabe aus Art. 5(2) und Art. 24(1))
Bedeutet in der Praxis: Man “hängt” an die jeweilige Verarbeitung weitere Angaben, die man z.B. auch in der Datenschutzerklärung und für die Betroffenenrechte braucht, mit an.
Das sind z.B.:

Angaben zur AV, inkl. Vertrag und Prüfprotokoll
Herkunft der Daten, Angaben zur Erfüllung Info-Pflichten
Rechtsgrundlage (Art. 6 bis 10, inkl. Muster-Einwilligung oder Interessenabwägung)
Begründung für Löschfristen (Verweis auf Rechtsvorschrift oder andere Begründung)
Nachweis geeigneter Garantien bei Drittlandverarbeitung etc.
Risiko-Analyse
spezifische toM
etc.
Dieses Vorgehen ermöglicht erst den Nachweis und eine Prüfung und Optimierung, wie sie in Art. 24 gefordert wird.
Wenn man jetzt noch die Verarbeitungen soweit granularisiert, dass man zu einer Betroffenengruppe und einem Rechtszweck EINE Rechtsgrundlage hat, dann ist auch klar und intern transparent welche Betroffenenrechte ggf. umzusetzen sind. (Zur Erinnerung: Es gibt Abhängigkeiten zwischen den Betroffenenrechten und den Rechtsgrundlagen der Verarbeitung!) Das kann man dann in der Datenschutzerklärung auch gut transparent machen. Ein solches VVT sorgt dann auch für Prozess-Sicherheit bei Betroffenenanfragen.

Unter diesen Prämissen ist es unsinnig “M365” als Verarbeitung zu erfassen.
Es sollte als Mittel der Verarbeitung an den relevanten Verarbeitungen dokumentiert werden und dann dort zu einer Neu-Bewertung der Risiken führen. Kommt man dann hier zu höheren Risiken, so kann man nach den Vorgaben von Art. 25 überlegen, ob ggf. zusätzliche Maßnahmen ergriffen werden müssen.

Domasla · 19. Dezember 2023 um 14:00

…deshalb hat mein Verzeichnis-Fragebogen 20 Seiten. Davon behandelt nur die erste Seite die Pflichtdokumentation aus Art. 30. Der Rest die Hintergründe, wie es zum Eintrag vorn kommt, bzw. alle Eventualitäten abgefragt. Folgenabschätzungen wären extra (sind ja für mehrere ähnliche Sachen gemeinsam möglich) und eskalieren aus einer kurzen Risikobewertung heraus.

Verarbeitungsmittel können durchaus zu eigenständigen Verarbeitungszwecken werden; z. B. ausufernde bzw. unerwünschte Funktionen von 365, die abseits von den eigenen Zwecken zu beschreiben sind. Und so weit wie möglich einzudosen, damit sie sich (vermeintlich) beherrschen lassen.

D., der Verzeichniseinträge durchaus von 2 Seiten angeht: 1. Das Vorhaben des Geschäftsbereichs. 2. Was die jeweils eingesetzten Systeme so mitbringen, z. B. Berechtigungsstruktur, Datenhaltung, Löschen; teilweise für mehrere Verarbeitungen. Aber mehr Einträge zu 1. als 2.