Datenschutzerklärung für OneDrive

(2 Bewertungen, 4.50 von 5)

Worum geht's?

OneDrive ist ein Cloud-Speicher von Microsoft. Unternehmen können über den Dienst Dateien online ablegen und bearbeiten. Oftmals nutzen Unternehmen OneDrive in Kombination mit Microsoft Office. Sie erstellen dabei im Cloud-Speicher beispielsweise Dokumente und teilen und bearbeiten diese mit anderen Personen. Wie bei jeder Cloud sind alle online abgelegten Dateien jederzeit und ortsunabhängig zugänglich.

 

Für OneDrive benötigen Sie einen Passus in Ihrer Datenschutzerklärung

Datenschutzerklärung kostenlos erstellen

 

Warum ist OneDrive datenschutzrechtlich relevant?

Speichern Unternehmen Kundendaten in OneDrive, kann Microsoft diese einsehen. Denn: Microsoft scannt gespeicherte Daten, um eigenen Angaben zufolge Schadcode zu identifizieren. Und: Es scannt Dateien, um Auflagen des US-Gesetzgebers zu erfüllen. Das erklärt der Konzern in den Nutzungsbedingungen. Microsoft kann daher – je nach Art der Daten – auf personenbezogene Daten zugreifen. Die Server, auf denen die Daten bei OneDrive liegen, befinden sich in den USA. Damit geben Unternehmen ihre Kundendaten an einen Dritten außerhalb der EU weiter. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Wie können Seitenbetreiber OneDrive datenschutzkonform verwenden?

Um bei der Verwendung von OneDrive die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten, müssen Unternehmen diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Artikel 28 DSGVO schreibt vor: Geben Unternehmen personenbezogene Daten an einen Dritten weiter, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Nutzen Unternehmen also OneDrive, um personenbezogene Kundendaten abzulegen, müssen sie mit Microsoft einen derartigen Vertrag eingehen. Darin sollten sie erklären,

  • welche personenbezogenen Daten sie an Microsoft weitergeben,
  • wie lange Microsoft diese Daten speichert,
  • warum Microsoft diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Verarbeiten und speichern Unternehmen über OneDrive personenbezogene Daten, geben sie diese an Microsoft und damit an einen Dritten weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. In diesem Kontext sollten sie erwähnen, dass sie für die Datenweitergabe mit Microsoft einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie angeben,

  • warum sie über OneDrive personenbezogene Daten erheben,
  • wie lange sie die personenbezogenen Daten speichern,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Um Nutzern einen tieferen Einblick in die Verarbeitung ihrer Daten zu geben, sollten Unternehmen in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Microsoft aufmerksam machen. Nutzer können dann selbst überprüfen, was Microsoft mit ihren Daten macht.

Einen Hinweis auf den Privacy Shield sollten Unternehmen aus ihrer Datenschutzerklärung entfernen. Denn: Der Europäische Gerichtshof (EuGH) erklärte diesen kürzlich für unwirksam, um darüber Daten in ein Drittland außerhalb der EU zu versenden.

Standardvertragsklauseln prüfen

Microsoft übermittelt Daten aus OneDrive auf Basis von Standardvertragsklauseln in die USA. Deutsche Unternehmen dürfen eine Datenweitergabe über Standardvertragsklauseln jedoch nur vornehmen, wenn in dem Zielland ein ähnliches Datenschutzniveau herrscht. In den USA gibt es derzeit kein Datenschutzniveau, das dem der DSGVO entspricht. Es ist daher unklar, inwiefern Unternehmen auf der Basis von Standardvertragsklauseln Daten über OneDrive in die USA übersenden dürfen.

Rechtsprechung zu OneDrive

Im Juli 2020 entschied der EuGH: Der Privacy Shield eignet sich nicht als rechtliche Basis, um personenbezogene Daten in die USA zu verschicken. Denn: Dort kommen Überwachungsprogramme zum Einsatz, die nicht auf das zwingend erforderliche Maß beschränkt sind. Zudem haben europäische User keine Klagemöglichkeit, wenn US-amerikanische Firmen oder Behörden ihre Daten missbrauchen sollten (Az. C-311/18).

Die Datenschutzbehörde Hamburg belegte im Dezember 2018 ein Versandunternehmen mit einer Strafe von 5250 Euro. Der Grund: Das Unternehmen hatte mit einem beauftragten Dienstleister, der Zugriff auf personenbezogene Daten erhielt, keinen Vertrag zur Auftragsverarbeitung geschlossen. Grundsätzlich ist bei einem derartigen Verstoß ein Bußgeld von bis zu 10 Millionen Euro oder alternativ bis zu 2 Prozent des Jahresumsatzes möglich.

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutzerklärung für Mautic
Weiterlesen...
Datenschutzerklärung für Google Pay
Weiterlesen...
Datenschutzerklärung für Amazon CloudFront CDN
Weiterlesen...
Datenschutzerklärung für Cookiebot
Weiterlesen...
Datenschutzerklärung für ActiveCampaign
Weiterlesen...
Datenschutzerklärung für Zoho CRM
Weiterlesen...
Datenschutzerklärung für Kommentarfunktion
Weiterlesen...
Datenschutzerklärung für Borlabs Cookie
Weiterlesen...
Datenschutzerklärung für Wix
Weiterlesen...
Datenschutzerklärung für Tidio
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support