Olaf Koglin

Koglin, Olaf: Datenschutz bei Microsoft 365 und Copilot. Rechtliche Begründung, interne Freigabe, Datenschutz-Folgenabschätzung und Compliance-Prozesse; 1. Auflage, Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main 2025 (258 S., 89,- €), ISBN 978-3-8005-1957-6

Das mit Informationen dicht gepackte Werk ist in zwölf Kapitel recht tief gegliedert, somit lassen sich gesuchte Themen schnell auffinden. Die ersten zwei Kapitel dienen der Hinführung zum Kernthema und dem Prüfumfang von Microsoft 365 (M365). In dem werden auch die Kritikpunkte der Datenschützer aufgeführt. Das gesamte 3. Kapitel widmet sich den Risiken beim Einsatz vom M365, vornehmlich aus Sicht der Datenschutz-Aufsichtsbehörden. Kritisch hebt der Autor hervor, dass zum Beispiel die angepassten Data Protection Addendum des Hauses Microsoft nicht berücksichtigt wurden. Es werden auch die veränderten Einstellungen zu einzelnen Komponenten im Zeitablauf benannt, indem der Autor die zugelassenen Verwendungen in sieben Bundesländern aufführt, deren Empfehlungen jedoch seiner Meinung nach in eine Schatten-IT münden (Beispiel: pseudonymisierte E-Mail-Adressen). In diesem Kapitel beschäftigt sich der Autor auch mit der Abgrenzung Telekommunikationsrecht und Datenschutzrecht und dem daraus resultierenden Problem der unklaren Zuständigkeiten. Einem Abschnitt zu kritischen Auseinandersetzungen in der Literatur folgt eine Synapse der verschiedenen Standpunkte.

Argumente pro Einsatz M365 werden im 4., dem umfangreichsten Kapitel, aufgeführt. Der Autor geht detailliert in die Tiefe der Argumentation der verschiedenen Parteien und deren Vertragswerke ein. An dieser Stelle sollte herausgehoben werden, dass der Autor seine aufgeführten Punkte umfassend mit Quellenangaben belegt hat, auch wenn heute der eine oder andere Link nicht mehr verfügbar ist. Gegenstand seiner Betrachtung sind also vertiefende Einblicke in das Data Protection Addendum für M365 und auch in die relevante Verträge insgesamt. Ergänzend kommentiert er den von Microsoft auch für Amts- und Berufsgeheimnisträger, die unter den § 203 StGB fallen, gelieferten Zusatz, der bei Abschluss eine Strafbarkeit der Verantwortlichen ausschließen soll. Das Kapitel endet mit Empfehlungen für die erforderlichen Maßnahmen bei Einsatz von M365.

In den folgenden Kapiteln geht der Autor auch auf Restrisiken, Prüfungstiefe und Business Judgment (sic!) Rules ein, deren Anwendung seiner Meinung nach zugunsten der Anwendung des Produktes sprechen. Ein separates Kapitel führt eine Checkliste mit technischen und organisatorischen Maßnahmen sowie einen Katalog möglicher Maßnahmen auf. Ein weiterer Abschnitt geht auf die Erfordernisse und die Durchführung einer Datenschutz-Folgenabschätzung ein, die ebenfalls der Dokumentation der Einhaltung von Business Judgement Rules dienen soll. Auch sie liegt als Checkliste vor. Checklisten und Vorlagen prägen auch die Kapitel zum Eintrag ins Verzeichnis der Verarbeitungstätigkeiten und einem Data Transfer Impact Assessment (TIA). Bevor das Thema Anhang mit Hinweisen und Quellen das Buch schließen, geht der Autor noch auf den Copilot ein. Er beschreibt die verschiedenen Varianten und deren Verwendung in der Praxis, die selbst für Admins nicht immer einfach ist.

Die vom Autor akribisch gegenübergestellten Argumente pro und contra M365 untermauern sein Plädoyer für einen möglichen Einsatz von Microsoft 365 unter Beibehaltung eines gewissen Restrisikos. Wer für den Einsatz von Microsoft 365 nachvollziehbare Argumente sucht, wird sie im Werk von Dr. Olaf Koglin finden.