Web Compliance

Datenschutzmaßnahmen für Microsoft 365

13. Juni 2021

Inhalt der Seite

    Datenschutzaufsichtsbehörden starten eine Kontroll-Kampagne in Unternehmen und untersuchen den Einsatz bestimmter Dienstleister. Dabei wird insbesondere geprüft ob und inwiefern Datenschutzmaßnahmen, die sich aus dem Schrems II Urteil und dem gekippten Privacy Shield zwischen Deutschland und den USA ergeben, umgesetzt und eingehalten werden.

    Anlass dazu bietet die meistgenutzte Cloud-Lösung von Microsoft 365 in Unternehmen, die seit einiger Zeit in der Kritik steht. Was Sie als Unternehmen tun sollten, um Microsoft 365 datenschutzkonform nutzen zu können, erfahren Sie hier.

    Kritik an Microsoft und Datenschutz

    Nach zahlreichen Produktwarnungen zu Microsoft 365 und anderen Kollaborationsplattformen sind NutzerInnen verunsichert. Die Landesbeauftragte für den Datenschutz in Niedersachsen stufte die Nutzung der Software als „sehr kritisch“ ein und auch andere Stellen bewerteten MS 365 nach eingehender Prüfung als nicht datenschutzkonform nutzbar. Eine Untersagung zur Nutzung von MS 365 ist aktuell jedoch nicht bekannt.

    Die Datenschutzaufsichtsbehörde kritisierte die Auftragsverarbeitungsverträge mit Microsoft. Jedoch ist unklar, was genau damit gemeint ist und auf welche Verträge sie sich bezieht. Des Weiteren wurde bemängelt, dass im Hintergrund Telemetriedaten übertragen werden. Dabei kommen die Behörden jedoch zu keinen konkreten Aussagen.

    Ein Bericht der Datenschutzkonferenz hatte in der Kritik besonderen Einfluss. In diesem beanstandete die DSK insbesondere die ungenauen Angaben in den Online Service Terms (OST) von Microsoft darüber, welche Daten zu welchen Zwecken verarbeitet werden. Zudem sei für die Verarbeitung von Daten zu Microsoft-eigenen Zwecken, wie von Telemetrie- und Diagnosedaten über die Nutzung und Leistung von Anwendungen und ihrer Komponenten, keine ausreichende Rechtsgrundlage vorhanden.

    Das Gremium bemängelte außerdem die unzulänglichen Informationen über datenschutzrechtliche Risiken, die sich beispielsweise aus nationalen Sicherheitsgesetzen wie dem CLOUD Act ergeben und inwieweit Daten an US-Behörden herausgegeben werden.

    Vorläufige Gutachten der Datenschutzkonferenz (DSK) stufen allerdings die kritische Bewertung von Microsoft 365 durch die Behörden als Sensibilisierungsmaßnahme nach Art. 57 Abs. 1 DSGVO ein, da sie nicht über die Kompetenz der Produktbewertungen verfügen. In diesem Bericht des AK Grundsatz werden die Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen festgehalten.

    Was Unternehmen nun tun müssen

    Aufgrund der unklaren Lage, können Unternehmen nach wie vor die Office Produkte von Microsoft 365 nutzen. Die vorhandenen datenschutzrechtlichen Risiken beim Einsatz von Microsoft 365 sollten jedoch im Vorfeld durch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO abgewogen werden.

    Eine datenschutzrechtliche Bewertung bzw. Dokumentation durch eine/n Datenschutzbeauftragte/n bringt Klarheit in dem, was zu tun ist und Sicherheit gegenüber Behörden.

    Fragebogen der Behörden

    Hier ist ein Einblick in den Fragebogen der Landesdatenschutzbehörden, welche im Falle einer Prüfung untersucht werden und somit im Vorfeld geklärt werden sollten:

    • 1 Nutzt Ihr Unternehmen Microsoft 365?
    • 2 Welche personenbezogenen Daten werden verarbeitet?
    • 3 Zu welchen Zwecken erfolgt die Nutzung von Microsoft 365?
    • 4 Auf Basis welcher Rechtsgrundlage (erster Stufe) werden die personenbezogenen Daten in Microsoft 365 verarbeitet?
    • 5 Seit wann werden diese Verarbeitungen vorgenommen?
    • 6 Werden die Daten nach Ziff. 2 in die USA oder andere Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt?
    • 7 Auf welche rechtlichen Vorkehrungen im Sinne des Kapitel V der DSGVO werden die Drittstaatenübermittlung nach Ziff. 5 gestützt?
    • 8 Für den Fall, dass die Umstellung auf andere Systeme geplant ist, teilen Sie uns bitte die erwogenen Lösungen und den Stand der Umsetzung mit.
    • 9 Bitte nennen Sie auch vorbereitende Schritte im Hinblick auf ggfs. noch nicht vollständig umgesetzte Maßnahmen nach Ziff. 7.
    • 10 Für den Fall, dass die Umstellung auf andere Systeme geplant ist, teilen Sie uns bitte die erwogenen Lösungen und den Stand der Umsetzung mit.
    • 11 Bitte lassen Sie uns die den Einsatz von Microsoft 365 betreffenden Teile Ihres Verzeichnisses der Verarbeitungstätigkeiten zukommen.

    Datenschutzfolgeabschätzung für Microsoft

    Wann ist eine DSFA nötig?

    Eine Datenschutz-Folgenabschätzung sollte dann durchgeführt werden, wenn bei „Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben könnte.

    Das zu untersuchende Risiko stellt nicht nur ein möglicher Kontrollverlust personenbezogener Daten dar, sondern auch wirtschaftliche wie gesellschaftliche Schäden wie beispielsweise Betrug oder Diskriminierung. Für den Standort Oldenburg kann Sie der externe Datenschutzbeauftragte Oldenburg beraten und und unterstützen machen.

    info

    Ermittlung der Notwendigkeit

    Die Notwendigkeit einer Datenschutz-Folgenabschätzung kann auf der sogenannten Positivliste nachvollzogen werden – abhängig von den Verarbeitungstätigkeiten.

    Auf der Positivliste genannt werden beispielsweise die Verarbeitung von Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen, biometrische oder genetische Daten, die Datenverarbeitung unter dem Einsatz von KI oder von Algorithmen u.v.m.

    Liegt eine nicht beabsichtigte Datenverarbeitung vor, muss eine Schwellwertanalyse durchgeführt werden. Diese ist meistens ausschlaggebend für die Ermittlung der Notwendigkeit.

    Der Schwellwertanalyse zugrunde liegt eine Liste von Kriterien (10 ff.), welche unter anderem die systematische Überwachung, das Bewerten natürlicher Personen durch Profilbildung, die Verarbeitung höchstpersönlicher Daten oder die Nutzung neuer Technologien wie Fingerabdruck- und Gesichtserkennung beinhaltet. Sofern mindestens zwei der aufgelisteten Kriterien erfüllt sind, ist eine DSFA zwingend erforderlich.

    Fällt die Schwellenwertanalyse jedoch negativ aus, bleibt die Erforderlichkeit der DSFA anhand allgemeiner Kriterien des Art. 35 Abs. 1 DSGVO zu prüfen.

    Schwellwertanalyse bei Microsoft 365

    Bei der Nutzung von Outlook oder Teams stellt das Kriterium 5 aus der Schwellwertanalyse eine entscheidenden Faktor dar. Microsoft verarbeitet Daten von Mitarbeitern, externen Partnern und Gästen. Dabei werden E-Mail-Adressen und Nutzungsdaten, aber auch Inhaltsdaten wie versendete Dateien, Metadaten in großem Umgang und über einen langen Zeitraum erhoben und verarbeitet.

    Insbesondere Arbeitnehmer gelten aus Sicht der Aufsichtsbehörden zu der Gruppe besonders schutzwürdiger betroffener Personen nach Kriterium 7 der Schwellwertanalyse, da diese in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen.

    Ablauf einer DSFA zur Risikoanalyse der Nutzung von Microsoft 365

    Der Ablauf und die Methodik der Datenschutz-Folgenabschätzung ergibt sich aus Art. 35 Abs. 2 und 7 DSGVO. Demzufolge lassen sich folgende Pflichtbestandteile ableiten:

    • 1 Die systematische Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke
    • 2 Eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit
    • 3 Ermittlung der Eintrittswahrscheinlichkeit von Schäden und ihre voraussichtliche Höhe
    • 4 Ermittlung und Umsetzung von Abhilfemaßnahmen zur Minderung des ermittelten Risikos

    Je zutreffender die folgenden Ziele, desto geringer das einzustufende Risiko

    it-security

    Vertraulichkeit

    Datenzugriff nur durch befugte Personen

    Integrität

    Keine Veränderung der Daten

    Intervenierbarkeit

    Gewährleistung der Betroffenenrechte

    web

    Datenverfügbarkeit

    Verfügbarkeit der Daten

    it-security

    Transparenz

    Nachvollziehbarkeit, wer welche Daten zu welchem Zweck verarbeitet, umfassende Information von Betroffenen

    web

    Nichtverkettung

    Keine Verknüpfung mit anderen Daten und keine Verwendung für andere Zwecke

    Belastbarkeit

    Wir prüfen die Websites im Hinblick auf mögliche Datenschutzverstöße, zum Beispiel durch nicht korrekt eingebundene Tracker, Content-Elemente oder Cookies.

    web

    Datenminimierung

    Datenverarbeitung nur soweit für die ursprünglich intendierten Zwecke erforderlich

    Ablauf einer DSFA zur Risikoanalyse der Nutzung von Microsoft 365

    Als Nächstes muss genau dokumentiert werden, welche Daten durch die Nutzung von Microsoft verarbeitet werden und welche Personen zugehörige Tools nutzen und Zugriff darauf haben. Haben Sie eine Liste der verarbeiteten Daten angefertigt, muss der Zweck der Datenverarbeitung erläutert werden.

    So werden beispielsweise Diagnosedaten erhoben, um den nötigen Support durch Maßnahmen wie Fehlerbehebung gewährleisten zu können. Im Falle von OneDrive werden Daten zu Synchoronisierungszwecken erhoben, bei Teams ist die Chatfunktion und der audiovisuelle Austausch auf die Ferne entscheidend.

    Insgesamt kann man die Zwecke unter Kommunikation der Mitarbeitenden, KundInnen und PartnerInnen sowie Diensteistenden zusammenfassen.

    Abhilfemaßnahmen

    Nach der Dokumentation der Datenerhebung und der Ermittlung des sich daraus ergebenden Risikos, ist es wichtig angemessene Abhilfemaßnahmen festzulegen. Auf technischer Ebene sind die Möglichkeiten für Unternehmen begrenzt, da diese Maßnahmen vom Betreiber Microsoft selbst zur Verfügung gestellt werden müssten. NutzerInnen von Microsoft 365 können sich auf organisatorische Maßnahmen konzentrieren.

    Dazu gehören Sicherheitseinstellungen, die das Datenschutzniveau erhöhen, aber auch die Rechenzentren, in denen Microsoft die Daten speichert, können bestimmt werden. So können NutzerInnen sichergehen, dass die Daten in der EU verarbeitet werden. Dies ist insbesondere in Blick auf das Schrems II Urteil ein entscheidender Faktor in der Risikominimierung im Sinne der DSGVO.

    Des Weiteren sollte ein Berechtigungskonzept aufgestellt werden, sodass nur bestimmten Personen der Zugriff auf diese Daten ermöglicht wird. Eine besonders große Rolle spielt in diesem Zusammenhang außerdem die Schulung der Mitarbeitenden in Bezug auf Risiken und effektive Maßnahmen. Alle Hinweise und Vorschriften muss auch der externe Datenschutzbeauftragte in Berlin berücksichtigen.

    Datenschutzfreundliche Einstellungen bei Microsoft

    • Datensparsamkeit: Die Verarbeitung der Diagnosedaten kann minimiert werden, indem bei der Verarbeitung von Diagnosedaten „weder noch“ eingestellt wird
    • Deaktivierung der Synchronisation von Telemetriedaten durch die Einstellung „Sicherheit“
    • Das Customer Experience Improvement Program (CEIP) von Microsoft ist eine Anwendung zur Verbesserung der Nutzerfreundlichkeit, die zu diesem Zweck automatisch Informationen über die Nutzung der Software und Softwarekomponenten sowie von Geräten übersendet. Dazu gehören zum Beispiel Art und Anzahl auftretender Fehler oder die Geschwindigkeit der Microsoft-Dienste. Laut Äußerungen von Microsoft handelt es sich hierbei nur um anonyme Daten. Die Funktion kann und sollte dennoch deaktiviert werden
    • Die Anwendung der Connected Experiences analysiert die Inhalte des Nutzers, um „Designempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Funktionen bereitzustellen“. Da es sich hier um eine Verarbeitung von Inhaltsdaten geht, sollte diese Anwendung ebenfalls deaktiviert werden. Dies bedeutet allerdings eine eingeschränkte Nutzbarkeit bezüglich mancher Dienste wie 3D-Karten, die Einbettung von Online-Bildern und -Videos oder Übersetzer
    • Die LinkedIn-Integration von Mitarbeiterkonten verarbeitet ebenfalls Daten und sollte ausgestellt werden
    • Workplace Analytics ist ein Analysetool für die Auswertung des Arbeitsverhaltens durch die gesammelten Informationen aus E-Mail-Konten, Dokumenten und Kalendern, wie die Dauer von Besprechungen, Anzahl von Terminen etc. Diese Tools sollten unbedingt vermieden werden
    • Bei den activity reports, die Aufschluss darüber geben, welcher Mitarbeiter welche Dienste wie häufig nutzt, sollten die Nutzerdaten ebenfalls ausgeblendet werden
    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    Kontaktieren Sie uns
    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Fazit

    Die wichtigsten Datenschutzmaßnahmen für Microsoft 365

    Das Schrems II Urteil hat die Nutzung amerikanischer Dienstleistungen deutlich erschwert. Bei genauerem Hinschauen hat die Kritik an Microsoft 365 durchaus seine Berechtigung und sollte daher nicht ignoriert werden.

    Auch wenn der Einsatz von Microsoftprodukten und -diensten weltweit üblich und bewährt ist, sollte dieser immer hinterfragt werden und Alternativen in Betracht gezogen werden.

    Wenn Sie keine Alternative für Microsoft 365 nutzen möchten oder können, sollten Sie sich mit einer Datenschutz-Folgenabschätzung durch eine/n Datenschutzexperten oder -expertin, wie zum Beispiel der externe Datenschutzbeaftragte Dortmund, absichern und gemeinsam Maßnahmen zur Risikominimierung einleiten.