Hochschulinstitut Psychologie und Microsoft 365
Ein Hochschulinstitut der Psychologie wandte sich im Zusammenhang mit Microsoft 365 an die Datenschutzbeauftragte. Das Institut verfügt über Daten, die dem Berufsgeheimnis unterstehen.
Die zuständigen Personen des Instituts waren nicht sicher, ob sie diese Daten mit Microsoft 365 in der Cloud bearbeiten dürfen. Die Datenschutzbeauftragte wurde auf die Website der zentralen Informatik der Hochschule hingewiesen, wo die Nutzung von Microsoft 365 für Personendaten, die dem Berufsgeheimnis unterstehen, erlaubt wird. Es müsse der Zusatzdienst einer Kunden-Lockbox eingesetzt werden.
Kundinnen und Kunden können mit der Kunden-Lockbox von Microsoft 365 den Zugriff von Microsoft-Mitarbeitenden bei Support- und Wartungsfällen steuern. Mit der zusätzlichen Funktion der Kunden-Lockbox kann ihr Zugriff eingeschränkt werden. Wenn Mitarbeitende von Microsoft zu Support- und Wartungszwecken auf die Daten zugreifen wollen, müssen sie vorher die Auftraggeberin oder den Auftraggeber ausdrücklich um Genehmigung fragen.
Daten, die dem Berufsgeheimnis unterstehen, dürfen nicht in die Cloud von Microsoft ausgelagert werden, auch nicht mit der Kunden-Lockbox.
Der Schutz der Kunden-Lockbox kommt nicht zur Anwendung, wenn eine US-Behörde von Microsoft Zugriff auf Daten ihrer Kundinnen und Kunden verlangt und sich dabei auf den CLOUD Act stützt. Daten, die dem Berufsgeheimnis unterstehen, dürfen deshalb nicht in die Cloud von Microsoft ausgelagert werden, auch nicht mit der Kunden-Lockbox.