Die Anwendungen, die Microsoft 365 bietet, sind zahlreich und deren Einsatz aus dem Alltag von Unternehmen mittlerweile kaum mehr wegzudenken. Nicht selten stehen die Anwender dann vor der Frage, ob und wie man die Tools datenschutzkonform einsetzen kann. Eine dieser angebotenen Anwendungen von MS 365 ist Microsoft Power BI.
Die Anwendung
Bei Power BI handelt es sich um ein Tool, welches die Möglichkeit bietet, Daten in einer strukturierten, grafischen Form in sogenannten Dashboards bzw. Berichten darzustellen und anschließend mit einem festlegbaren Personenkreis zu teilen. Art und Umfang der verarbeiteten Daten und damit die Datenbasis sind abhängig vom konkreten Einsatzzweck und werden in einem ersten Schritt vom Nutzer des Tools selbst bestimmt. Als Datenquellen können u.a. Excel-Tabellen, Datenbanken, Webservices und andere Dateien herangezogen werden, welche mittels Schnittstelle in den Power BI Desktop übertragen werden. Erst in einem zweiten Schritt nutzt Power BI die gewählte Datenbasis, um dort hinterlegte Daten zu visualisieren bzw. in ein Verhältnis zueinander zu setzen.
Vorgelagerte Datenerhebung beachten
Daten, die in Power BI hochgeladen werden, müssen zuvor jedoch auch DSGVO-konform erhoben worden sein. Das Vorliegen einer Rechtsgrundlage für die hier in Rede stehende Datenverarbeitung über Power BI ist damit Teil des vorgelagerten Prozesses zur Datenerhebung. Die Daten, die die Datenbasis bilden, müssen also bereits auf der ersten Stufe rechtmäßig erhoben worden sein. Erst dann kann die zweite Stufe – eine Datenverarbeitung durch Power BI – näher beleuchtet und die Rahmenbedingungen geklärt werden.
Rahmenbedingungen klären
Wenn personenbezogene Daten verarbeitet werden, sind generell u.a. folgenden Grundpflichten nach der Datenschutz-Grundverordnung (DSGVO) Rechnung zu tragen:
- Vorhandensein bzw. Klärung der Rechtsgrundlage für die Datenverarbeitung im Rahmen von Power BI;
- Dokumentation der Verarbeitungsprozesse im Rahmen eines Verfahrensverzeichnisses nach Art. 30 Abs. 1 DSGVO;
- Implementierung eines Löschkonzeptes;
- Festlegung eines sog. Rollen- und Berechtigungskonzepts;
- Abschluss ggf. erforderlicher Verträge zur Auftragsverarbeitung oder Standardvertragsklauseln (inwieweit sich Nutzer hierbei künftig auf den am 10.07.2023 erlassenen Angemessenheitsbeschluss zwischen der EU und den USA stützen können, ist konkret zu prüfen);
- Sicherstellung, dass bei der Bearbeitung von Betroffenenanfragen (Auskunft, Löschung, Widerspruch, etc.) die mit Power BI verarbeiteten Daten berücksichtigt werden;
- Erfüllung der Transparenzanforderungen / Informationspflichten gegenüber den Betroffenen (Information nach Art. 13, 14 DSGVO);
- Prüfung, in wieweit Daten anonymisiert oder pseudonymisiert verarbeitet werden können (Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO);
- Berücksichtigung weiterer datenschutzrechtlicher Grundsätze nach Art. 5 DSGVO (Zweckbindung, Erforderlichkeit, Verhältnismäßigkeit, Speicherbegrenzung, etc.).
Microsoft-interne Datenverarbeitung
Sind diese Rahmenbedingungen erst einmal geklärt, wird der Anwender es nicht umgehen können, sich auch mit der Microsoft-internen Datenverarbeitung zu befassen, die Microsoft als eigene verantwortliche Stelle parallel durchführt. Über die bestehenden Kritikpunkte am Prozedere von Microsoft sowie dem Microsoft Products and Services Data Protection Addendum (Microsoft-DPA) aus datenschutzrechtlicher Sicht berichteten wir bereits mehrfach.
Fazit
Letztlich hängt die Rechtmäßigkeit des Einsatzes von Power BI aus datenschutzrechtlicher Sicht davon ab, welche Daten mit Power BI verarbeitet werden und damit vom konkreten Anwendungsfall. Da die Einsatzzwecke sehr unterschiedlich sein können und keine Use Cases vorgegeben sind, bleibt jeder Nutzer von Microsoft Power BI selbst dafür verantwortlich, dass die Verarbeitung von personenbezogenen Daten im Rahmen dieser Anwendung den Datenschutzvorgaben entspricht.
Christoph Schmees pc-fluesterer.info
3. August 2023 @ 11:09
„… stehen die Anwender dann vor der Frage, ob und wie man die Tools datenschutzkonform einsetzen kann.“
Da bereits die Frage „ob“ mit NEIN beantwortet werden muss, erübrigt sich das „wie“.
https://www.bundestag.de/resource/blob/796102/ea53ffe8e08a9ab11e270719263d8c53/WD-3-181-20-pdf-data.pdf