Wie datenschutzkonform ist Microsoft 365? Entdecken Sie die Einstellungen und Optionen zur Kontrolle von Diagnosedaten.
Viele Unternehmen arbeiten mit Microsoft Office 365. Doch aus datenschutzrechtlicher Sicht ist dieser Dienst nicht unbedenklich: es mangelt an Sicherheitsstandards.
Microsoft´s Antwort: Microsoft 365. Denn so heißt der ehemalige Service Office 365 nun. Geworben wird mit einer Komplettlösung, die innovative Office-Anwendungen, intelligente Cloud-Dienste und erstklassige Sicherheit vereint.
Klingt versöhnlich – nicht wahr? Wir gehen der Sache mit Fokus auf die datenschutzrechtlichen Aspekte auf den Grund und zeigen Ihnen, wie Sie das Datenschutzlevel im Umgang mit Microsoft 365 verbessern können.
Damit wir alle auf den gleichen Wissensstand bringen können: was wurde eigentlich an Office 365 bemängelt? Wie genau spiegelten sich die Sicherheitslücken wider?
Nach einer Datenschutz-Folgenabschätzung aus den Niederlanden wurden 8 Problempunkte bei der Verwendung von Office 365 detektiert:
Microsoft reagierte darauf und minimierte die Datenschutzrisiken – dies gelang jedoch nur bei den Punkten 1 und 2 in zufriedenstellender Weise.
Sie haben bereits einen externen Datenschutzbeauftragten und möchten einen schnellen Preis-Leistungs-Vergleich? Nutzen Sie unsere Rechner für eine individuelle Preiskonfiguration.
Eine Datenschutz-Folgenabschätzung sollte dann durchgeführt werden, wenn bei „Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben könnte.
Das zu untersuchende Risiko stellt nicht nur ein möglicher Kontrollverlust personenbezogener Daten dar, sondern auch wirtschaftliche wie gesellschaftliche Schäden wie beispielsweise Betrug oder Diskriminierung. Für den Standort Oldenburg kann Sie der externe Datenschutzbeauftragte Oldenburg beraten und und unterstützen machen.
Bei der Nutzung von Outlook oder Teams stellt das Kriterium 5 aus der Schwellwertanalyse eine entscheidenden Faktor dar. Microsoft verarbeitet Daten von Mitarbeitern, externen Partnern und Gästen. Dabei werden E-Mail-Adressen und Nutzungsdaten, aber auch Inhaltsdaten wie versendete Dateien, Metadaten in großem Umgang und über einen langen Zeitraum erhoben und verarbeitet.
Insbesondere Arbeitnehmer gelten aus Sicht der Aufsichtsbehörden zu der Gruppe besonders schutzwürdiger betroffener Personen nach Kriterium 7 der Schwellwertanalyse, da diese in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen.
Der Ablauf und die Methodik der Datenschutz-Folgenabschätzung ergibt sich aus Art. 35 Abs. 2 und 7 DSGVO. Demzufolge lassen sich folgende Pflichtbestandteile ableiten:
Die Notwendigkeit einer Datenschutz-Folgenabschätzung kann auf der sogenannten Positivliste nachvollzogen werden – abhängig von den Verarbeitungstätigkeiten.
Auf der Positivliste genannt werden beispielsweise die Verarbeitung von Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen, biometrische oder genetische Daten, die Datenverarbeitung unter dem Einsatz von KI oder von Algorithmen u.v.m.
Liegt eine nicht beabsichtigte Datenverarbeitung vor, muss eine Schwellwertanalyse durchgeführt werden. Diese ist meistens ausschlaggebend für die Ermittlung der Notwendigkeit.
Der Schwellwertanalyse zugrunde liegt eine Liste von Kriterien (10 ff.), welche unter anderem die systematische Überwachung, das Bewerten natürlicher Personen durch Profilbildung, die Verarbeitung höchstpersönlicher Daten oder die Nutzung neuer Technologien wie Fingerabdruck- und Gesichtserkennung beinhaltet. Sofern mindestens zwei der aufgelisteten Kriterien erfüllt sind, ist eine DSFA zwingend erforderlich.
Fällt die Schwellenwertanalyse jedoch negativ aus, bleibt die Erforderlichkeit der DSFA anhand allgemeiner Kriterien des Art. 35 Abs. 1 DSGVO zu prüfen.
Nach der Dokumentation der Datenerhebung und der Ermittlung des sich daraus ergebenden Risikos, ist es wichtig angemessene Abhilfemaßnahmen festzulegen. Auf technischer Ebene sind die Möglichkeiten für Unternehmen begrenzt, da diese Maßnahmen vom Betreiber Microsoft selbst zur Verfügung gestellt werden müssten. NutzerInnen von Microsoft 365 können sich auf organisatorische Maßnahmen konzentrieren.
Dazu gehören Sicherheitseinstellungen, die das Datenschutzniveau erhöhen, aber auch die Rechenzentren, in denen Microsoft die Daten speichert, können bestimmt werden. So können NutzerInnen sichergehen, dass die Daten in der EU verarbeitet werden. Dies ist insbesondere in Blick auf das Schrems II Urteil ein entscheidender Faktor in der Risikominimierung im Sinne der DSGVO.
Des Weiteren sollte ein Berechtigungskonzept aufgestellt werden, sodass nur bestimmten Personen der Zugriff auf diese Daten ermöglicht wird. Eine besonders große Rolle spielt in diesem Zusammenhang außerdem die Schulung der Mitarbeitenden in Bezug auf Risiken und effektive Maßnahmen. Alle Hinweise und Vorschriften muss auch der externe Datenschutzbeauftragte in Berlin berücksichtigen.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Kurz gesagt: In diesem Verzeichnis müssen all Ihre Verarbeitungsvorgänge aufgelistet werden. Und da darf Microsoft 365 nicht fehlen.
Doch was genau muss solch ein Verzeichnis enthalten?
Hier finden Sie ein Muster für ein VVT von Johannes Nehlsen.
Nutzen Sie noch weitere Dienste von Microsoft? Dies sind unter anderem:
Erstellen Sie Datenschutzinformationen für die Beschäftigten:
Was gibt es aus datenschutzrechtlicher Sicht beim Umgang mit Microsoft 365 zu beachten?
Sensibilisieren Sie Ihre Mitarbeiter beispielsweise in einem Seminar oder in einer Schulung über die Risiken und die datenschutzkonforme Nutzungsweise von Microsoft 365.
Hier können Sie sich an folgenden Bereichen orientieren:
Darüber hinaus können Sie eine Hausordnung für die Nutzung von Microsoft 365 verwenden.
So wissen alle Mitarbeiter genau, wie Sie sich mit den Diensten von Microsoft verhalten sollen. Inhalte könnten folgende sein (am Beispiel Microsoft Teams):
Beurteilen, optimieren und ggf. dokumentieren Sie den Einsatz von Microsoft 365 im Hinblick auf die IT-Sicherheit.
Hierunter fallen Belange unterschiedlicher Art, die sich auch nach den Standards in Ihrem Unternehmen orientieren. Haben Sie Fragen? Dann kontaktieren Sie uns gerne!
Deaktivieren bzw. konfigurieren Sie die Telemetrie Funktionen bei Microsoft 365. Denn Microsoft sammelt Informationen auf den Endgeräten des Users und nutzt diese für eigene Geschäftsinteressen.
Jedoch gibt es Tricks, durch die der Umfang der Datensammlung begrenzt werden kann.
Microsoft bietet mittlerweile die Möglichkeit, die Übermittlung der Diagnosedaten zu kontrollieren.
Verwalten Sie Ihr Betriebssystem zentral und nutzen Sie die Editionen Enterprise oder Education, stehen Ihnen noch weitere Optionen zur Einschränkung des Sendeverhaltens zu Diagnosedaten zur Verfügung.
Der Umgang mit Diagnosedaten von Microsoft kann in vier Ebenen unterteilt werden: „Sicherheit“, „Einfach“, „Erweitert“ und „Vollständig“.
Setzen Sie das Level „Sicherheit“, wenn Sie Ihren digitalen Fußabdruck verkleinern wollen.
Trotz der Einstellung „Sicherheit“ kann es sein, dass weitere Diagnosedaten erhoben werden. Sie können diese jedoch anzeigen („Diagnosedaten anzeigen“) und löschen („Diagnosedaten löschen“), indem Sie in Ihren Einstellungen unter dem Menüpunkt „Datenschutz“ „Diagnose und Feedback“ wählen.
Unsere Empfehlung: verwalten Sie Office 365 zentral.
Wählen Sie dann zwischen den Optionen: „Erforderlich“, „Optional“ sowie „Weder noch“. Die Kategorie „Weder noch“ ist vorzugswürdig, wenn Sie Ihren digitalen Fußabdruck verkleinern möchten.
Achtung: Für einige Nutzergruppen kann das Level „Optional“ notwendig sein, wenn Sie auf bestimmte Funktionen zugreifen wollen.
Frühere Office 365 Versionen bieten diese Möglichkeiten nicht. Hier gibt es lediglich die Möglichkeit, die übermittelten Diagnosedaten über einen Viewer einzusehen.
Auf einen Blick: Die Anleitung zu den Datenschutzeinstellungen
Das Schrems II Urteil hat die Nutzung amerikanischer Dienstleistungen deutlich erschwert. Bei genauerem Hinschauen hat die Kritik an Microsoft 365 durchaus seine Berechtigung und sollte daher nicht ignoriert werden.
Auch wenn der Einsatz von Microsoftprodukten und -diensten weltweit üblich und bewährt ist, sollte dieser immer hinterfragt werden und Alternativen in Betracht gezogen werden.
Microsoft hat mit Microsoft 365 auf die Vorwürfe der Sicherheitslücken reagiert. Jedoch bleiben einige Punkte undurchsichtig. Es müssen also einige individuelle Einstellungen getätigt werden, um die Datenübermittlung an Microsoft zu minimieren und wirklich datenschutzkonform zu arbeiten. Werden diese Schritte jedoch beachtet, steht der Verwendung von Microsoft 365 nichts mehr im Wege.
Wenn Sie keine Alternative für Microsoft 365 nutzen möchten oder können, sollten Sie sich mit einer Datenschutz-Folgenabschätzung durch eine/n Datenschutzexperten oder -expertin, wie zum Beispiel der externe Datenschutzbeaftragte Dortmund, absichern und gemeinsam Maßnahmen zur Risikominimierung einleiten.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
