Microsoft 365 = datenschutzkonform?

Microsoft 365 = datenschutzkonform?

Wie datenschutzkonform ist Microsoft 365? Entdecken Sie die Einstellungen und Optionen zur Kontrolle von Diagnosedaten.

Web-Compliance
MC 365
Inhalt dieser Seite

Viele Unternehmen arbeiten mit Microsoft Office 365. Doch aus datenschutzrechtlicher Sicht ist dieser Dienst nicht unbedenklich: es mangelt an Sicherheitsstandards.

Microsoft´s Antwort: Microsoft 365. Denn so heißt der ehemalige Service Office 365 nun. Geworben wird mit einer Komplettlösung, die innovative Office-Anwendungen, intelligente Cloud-Dienste und erstklassige Sicherheit vereint.

Klingt versöhnlich – nicht wahr? Wir gehen der Sache mit Fokus auf die datenschutzrechtlichen Aspekte auf den Grund und zeigen Ihnen, wie Sie das Datenschutzlevel im Umgang mit Microsoft 365 verbessern können.

Mangelnder Datenschutz bei Microsoft Office 365

Damit wir alle auf den gleichen Wissensstand bringen können: was wurde eigentlich an Office 365 bemängelt? Wie genau spiegelten sich die Sicherheitslücken wider?

Nach einer Datenschutz-Folgenabschätzung aus den Niederlanden wurden 8 Problempunkte bei der Verwendung von Office 365 detektiert:

Microsoft reagierte darauf und minimierte die Datenschutzrisiken – dies gelang jedoch nur bei den Punkten 1 und 2 in zufriedenstellender Weise.

Wann ist eine Datenschutzfolgeabschätzung nötig?

Eine Datenschutz-Folgenabschätzung sollte dann durchgeführt werden, wenn bei „Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben könnte.

Das zu untersuchende Risiko stellt nicht nur ein möglicher Kontrollverlust personenbezogener Daten dar, sondern auch wirtschaftliche wie gesellschaftliche Schäden wie beispielsweise Betrug oder Diskriminierung. Für den Standort Oldenburg kann Sie der externe Datenschutzbeauftragte Oldenburg beraten und und unterstützen machen.

Schwellwertanalyse bei Microsoft 365

Bei der Nutzung von Outlook oder Teams stellt das Kriterium 5 aus der Schwellwertanalyse eine entscheidenden Faktor dar. Microsoft verarbeitet Daten von Mitarbeitern, externen Partnern und Gästen. Dabei werden E-Mail-Adressen und Nutzungsdaten, aber auch Inhaltsdaten wie versendete Dateien, Metadaten in großem Umgang und über einen langen Zeitraum erhoben und verarbeitet.

Insbesondere Arbeitnehmer gelten aus Sicht der Aufsichtsbehörden zu der Gruppe besonders schutzwürdiger betroffener Personen nach Kriterium 7 der Schwellwertanalyse, da diese in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen.

Ablauf einer DSFA zur Risikoanalyse der Nutzung von Microsoft 365

Der Ablauf und die Methodik der Datenschutz-Folgenabschätzung ergibt sich aus Art. 35 Abs. 2 und 7 DSGVO. Demzufolge lassen sich folgende Pflichtbestandteile ableiten:

  1. Die systematische Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke
  2. Eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit
  3. Ermittlung der Eintrittswahrscheinlichkeit von Schäden und ihre voraussichtliche Höhe
  4. Ermittlung und Umsetzung von Abhilfemaßnahmen zur Minderung des ermittelten Risikos

Ermittlung der Notwendigkeit

Die Notwendigkeit einer Datenschutz-Folgenabschätzung kann auf der sogenannten Positivliste nachvollzogen werden – abhängig von den Verarbeitungstätigkeiten.

Auf der Positivliste genannt werden beispielsweise die Verarbeitung von Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen, biometrische oder genetische Daten, die Datenverarbeitung unter dem Einsatz von KI oder von Algorithmen u.v.m.

Liegt eine nicht beabsichtigte Datenverarbeitung vor, muss eine Schwellwertanalyse durchgeführt werden. Diese ist meistens ausschlaggebend für die Ermittlung der Notwendigkeit.

Der Schwellwertanalyse zugrunde liegt eine Liste von Kriterien (10 ff.), welche unter anderem die systematische Überwachung, das Bewerten natürlicher Personen durch Profilbildung, die Verarbeitung höchstpersönlicher Daten oder die Nutzung neuer Technologien wie Fingerabdruck- und Gesichtserkennung beinhaltet. Sofern mindestens zwei der aufgelisteten Kriterien erfüllt sind, ist eine DSFA zwingend erforderlich.

Fällt die Schwellenwertanalyse jedoch negativ aus, bleibt die Erforderlichkeit der DSFA anhand allgemeiner Kriterien des Art. 35 Abs. 1 DSGVO zu prüfen.

Abhilfemaßnahmen

Nach der Dokumentation der Datenerhebung und der Ermittlung des sich daraus ergebenden Risikos, ist es wichtig angemessene Abhilfemaßnahmen festzulegen. Auf technischer Ebene sind die Möglichkeiten für Unternehmen begrenzt, da diese Maßnahmen vom Betreiber Microsoft selbst zur Verfügung gestellt werden müssten. NutzerInnen von Microsoft 365 können sich auf organisatorische Maßnahmen konzentrieren.

Dazu gehören Sicherheitseinstellungen, die das Datenschutzniveau erhöhen, aber auch die Rechenzentren, in denen Microsoft die Daten speichert, können bestimmt werden. So können NutzerInnen sichergehen, dass die Daten in der EU verarbeitet werden. Dies ist insbesondere in Blick auf das Schrems II Urteil ein entscheidender Faktor in der Risikominimierung im Sinne der DSGVO.

Des Weiteren sollte ein Berechtigungskonzept aufgestellt werden, sodass nur bestimmten Personen der Zugriff auf diese Daten ermöglicht wird. Eine besonders große Rolle spielt in diesem Zusammenhang außerdem die Schulung der Mitarbeitenden in Bezug auf Risiken und effektive Maßnahmen. Alle Hinweise und Vorschriften muss auch der externe Datenschutzbeauftragte in Berlin berücksichtigen.

Datenschutzfreundliche Einstellungen bei Microsoft

Kurz gesagt: In diesem Verzeichnis müssen all Ihre Verarbeitungsvorgänge aufgelistet werden. Und da darf Microsoft 365 nicht fehlen.

Doch was genau muss solch ein Verzeichnis enthalten?

Hier finden Sie ein Muster für ein VVT von Johannes Nehlsen.

Nutzen Sie noch weitere Dienste von Microsoft? Dies sind unter anderem:

  • Forms (Online Formulare)
  • Planer für die Arbeitsorganisation
  • Office Online (Word, PowerPoint, Excel, OneNote, usw.)
  • Office Lens (zur Digitalisierung von Dokumenten)
  • OneDrive Business
  • Teilen eigener Dateien
  • Stream (Interne Videoplattform)
  • Sway (Alternative zu Prezi)
  • Teams (Zusammenarbeit und Kommunikation)
  • To Do (Aufgabenverwaltung)
  • Whiteboard

Erstellen Sie Datenschutzinformationen für die Beschäftigten:

Was gibt es aus datenschutzrechtlicher Sicht beim Umgang mit Microsoft 365 zu beachten?

Sensibilisieren Sie Ihre Mitarbeiter beispielsweise in einem Seminar oder in einer Schulung über die Risiken und die datenschutzkonforme Nutzungsweise von Microsoft 365.

Hier können Sie sich an folgenden Bereichen orientieren:

  • Machen Sie Ihren Mitarbeitern klar, dass die Verwendung von Microsoft 365 im Unternehmen auch nur zu dienstlichen Zwecken genutzt werden darf
  • Auch sind die Mitarbeiter selbst für die Sicherung und Archivierung verantwortlich.
  • Sobald Sie mit der Anwendung personenbezogene Daten Dritter verwenden, müssen die datenschutzrechtlichen Vorschriften eingehalten werden.
  • Auf was Sie hier genau zu achten haben, erklären wir Ihnen gerne in einem persönlichen Gespräch!
  • Generell gilt: unveröffentlichte personenbezogene Daten von Personen, die nicht Microsoft 365 bzw. Office 365 nutzen, sowie Daten von Personen, die nicht im Bezug zu aufgabenbezogener Kommunikation stehen dürfen ebenso wenig wie Daten, die besonderer Geheimhaltung unterliegen unverschlüsselt in das Speicherangebot des Dienstes abgelegt werden.
  • Speichern Sie Ihre Daten verschlüsselt ab. Dieser Schlüssel muss jedoch auch den Anforderungen eines sicheren Passworts entsprechen (BSI TR-02102-1)

Darüber hinaus können Sie eine Hausordnung für die Nutzung von Microsoft 365 verwenden.

So wissen alle Mitarbeiter genau, wie Sie sich mit den Diensten von Microsoft verhalten sollen. Inhalte könnten folgende sein (am Beispiel Microsoft Teams):

  • Teams wird als Zentrum der Kommunikation festgelegt
  • Rechtliche Bestimmungen
  • Aktive Nutzung von Teams
  • Kommunikation in Ton und Bild kann besonders von Nutzen sein, wenn kein direkter Kontakt möglich ist
  • Keine Silobildung: Gruppenchats sollten in betrieblichen Kontexten vermieden werden. Informationen sollten in den jeweiligen Teams gehalten werden.
  • Respektvolle Kommunikation

Beurteilen, optimieren und ggf. dokumentieren Sie den Einsatz von Microsoft 365 im Hinblick auf die IT-Sicherheit.

Hierunter fallen Belange unterschiedlicher Art, die sich auch nach den Standards in Ihrem Unternehmen orientieren. Haben Sie Fragen? Dann kontaktieren Sie uns gerne!

Deaktivieren bzw. konfigurieren Sie die Telemetrie Funktionen bei Microsoft 365. Denn Microsoft sammelt Informationen auf den Endgeräten des Users und nutzt diese für eigene Geschäftsinteressen.

Jedoch gibt es Tricks, durch die der Umfang der Datensammlung begrenzt werden kann.

Microsoft bietet mittlerweile die Möglichkeit, die Übermittlung der Diagnosedaten zu kontrollieren.

Verwalten Sie Ihr Betriebssystem zentral und nutzen Sie die Editionen Enterprise oder Education, stehen Ihnen noch weitere Optionen zur Einschränkung des Sendeverhaltens zu Diagnosedaten zur Verfügung.

Der Umgang mit Diagnosedaten von Microsoft kann in vier Ebenen unterteilt werden: „Sicherheit“, „Einfach“, „Erweitert“ und „Vollständig“.

Setzen Sie das Level „Sicherheit“, wenn Sie Ihren digitalen Fußabdruck verkleinern wollen.

Trotz der Einstellung „Sicherheit“ kann es sein, dass weitere Diagnosedaten erhoben werden. Sie können diese jedoch anzeigen („Diagnosedaten anzeigen“) und löschen („Diagnosedaten löschen“), indem Sie in Ihren Einstellungen unter dem Menüpunkt „Datenschutz“ „Diagnose und Feedback“ wählen.

Unsere Empfehlung: verwalten Sie Office 365 zentral.

Wählen Sie dann zwischen den Optionen: „Erforderlich“, „Optional“ sowie „Weder noch“. Die Kategorie „Weder noch“ ist vorzugswürdig, wenn Sie Ihren digitalen Fußabdruck verkleinern möchten.

Achtung: Für einige Nutzergruppen kann das Level „Optional“ notwendig sein, wenn Sie auf bestimmte Funktionen zugreifen wollen.

Frühere Office 365 Versionen bieten diese Möglichkeiten nicht. Hier gibt es lediglich die Möglichkeit, die übermittelten Diagnosedaten über einen Viewer einzusehen.

Auf einen Blick: Die Anleitung zu den Datenschutzeinstellungen

Fazit

Das Schrems II Urteil hat die Nutzung amerikanischer Dienstleistungen deutlich erschwert. Bei genauerem Hinschauen hat die Kritik an Microsoft 365 durchaus seine Berechtigung und sollte daher nicht ignoriert werden.

Auch wenn der Einsatz von Microsoftprodukten und -diensten weltweit üblich und bewährt ist, sollte dieser immer hinterfragt werden und Alternativen in Betracht gezogen werden.

Microsoft hat mit Microsoft 365 auf die Vorwürfe der Sicherheitslücken reagiert. Jedoch bleiben einige Punkte undurchsichtig. Es müssen also einige individuelle Einstellungen getätigt werden, um die Datenübermittlung an Microsoft zu minimieren und wirklich datenschutzkonform zu arbeiten. Werden diese Schritte jedoch beachtet, steht der Verwendung von Microsoft 365 nichts mehr im Wege.

Wenn Sie keine Alternative für Microsoft 365 nutzen möchten oder können, sollten Sie sich mit einer Datenschutz-Folgenabschätzung durch eine/n Datenschutzexperten oder -expertin, wie zum Beispiel der externe Datenschutzbeaftragte Dortmund, absichern und gemeinsam Maßnahmen zur Risikominimierung einleiten.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Microsoft datenschutzkonform nutzen

Wir führen nicht nur eine Datenschutzfolgenabschätzung durch, sondern unterstützen Sie auch bei der Umsetzung geeigneter Abhilfemaßnahmen.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Web-Compliance
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo