Microsoft 365

Microsoft 365 = datenschutzkonform?

10. Juli 2021

Inhalt der Seite

    Viele Unternehmen arbeiten mit Microsoft Office 365. Doch aus datenschutzrechtlicher Sicht ist dieser Dienst nicht unbedenklich: es mangelt an Sicherheitsstandards.

    Microsoft´s Antwort: Microsoft 365. Denn so heißt der ehemalige Service Office 365 nun. Geworben wird mit einer Komplettlösung, die innovative Office-Anwendungen, intelligente Cloud-Dienste und erstklassige Sicherheit vereint.

    Klingt versöhnlich – nicht wahr? Wir gehen der Sache mit Fokus auf die datenschutzrechtlichen Aspekte auf den Grund und zeigen Ihnen, wie Sie das Datenschutzlevel im Umgang mit Microsoft 365 verbessern können.

    Mangelnder Datenschutz bei Microsoft Office 365

    Damit wir alle auf den gleichen Wissensstand bringen können: was wurde eigentlich an Office 365 bemängelt? Wie genau spiegelten sich die Sicherheitslücken wider?

    Nach einer Datenschutz-Folgenabschätzung aus den Niederlanden wurden 8 Problempunkte bei der Verwendung von Office 365 detektiert:

    • Mangelnde Transparenz: es gibt keine Übersicht über spezifische Risiken für die einzelnen Organisationen
    • Sammlung von Diagnosedaten: Der User hat keine Möglichkeit, die Sammlung von Diagnosedaten zu beschränken oder gar zu beenden
    • Datenspeicherung: u.a. personenbezogene Daten wurden aus Metadaten oder Dateinhalten unrechtmäßig gespeichert
    • Einstufung als Auftragsverarbeiter und nicht als gemeinsamer Verantwortlicher
    • Mangelhafte Kontrolle über Subdienstleistern und die faktische Verarbeitung
    • Fehlende Zweckbeschränkung für gesammelte Diagnosedaten sowie für die Möglichkeit des Hinzufügens von neuen Ereignissen
    • Fehlende zeitliche Begrenzung für die Speicherung von Diagnosedaten und fehlende Löschungsmöglichkeit

    Microsoft reagierte darauf und minimierte die Datenschutzrisiken – dies gelang jedoch nur bei den Punkten 1 und 2 in zufriedenstellender Weise.

    arrow-right

    Die Lösung

    Microsoft 365 soll jedoch nun die Lösung sein: Microsoft Windows 10, Office 365, Sicherheitslösungen und Gerätemanagement in einem Paket

    Microsoft 365: datenschutzkonform?

    Doch auch bei Microsoft 365 sollten Sie einige Punkte beachten, da die Nutzung einer Public Cloud Risiken mit sich bringt. Um zu 100% datenschutzkonform zu sein, müssen Sie einige unternehmensinterne Prozesse durchführen:

    Binden Sie Microsoft 365 in Ihr Verarbeitungsverzeichnis ein

    Kurz gesagt: In diesem Verzeichnis müssen all Ihre Verarbeitungsvorgänge aufgelistet werden. Und da darf Microsoft 365 nicht fehlen.

    Doch was genau muss solch ein Verzeichnis enthalten?

    Hier finden Sie ein Muster für ein VVT von Johannes Nehlsen.

    Nutzen Sie noch weitere Dienste von Microsoft? Dies sind unter anderem:

    • Forms (Online Formulare)
    • Planer für die Arbeitsorganisation
    • Office Online (Word, PowerPoint, Excel, OneNote, usw.)
    • Office Lens (zur Digitalisierung von Dokumenten)
    • OneDrive Business
    • Teilen eigener Dateien
    • Stream (Interne Videoplattform)
    • Sway (Alternative zu Prezi)
    • Teams (Zusammenarbeit und Kommunikation)
    • To Do (Aufgabenverwaltung)
    • Whiteboard
    arrow-right

    Soll Microsoft 365 wirklich verwendet werden?

    Dann können Sie bei der Entscheidungsfindung noch weitere Aspekte heranziehen: Erstellen Sie beispielsweise eine interne Dokumentation zur Wirtschaftlichkeit des Dienstes oder wiegen Sie die Vorteile anderer Dienste mit denen von Microsoft 365 ab.

    Datenschutzinformationen für Beschäftigte

    Erstellen Sie Datenschutzinformationen für die Beschäftigten:

    Was gibt es aus datenschutzrechtlicher Sicht beim Umgang mit Microsoft 365 zu beachten?

    Sensibilisieren Sie Ihre Mitarbeiter beispielsweise in einem Seminar oder in einer Schulung über die Risiken und die datenschutzkonforme Nutzungsweise von Microsoft 365.

    Hier können Sie sich an folgenden Bereichen orientieren:

    • Machen Sie Ihren Mitarbeitern klar, dass die Verwendung von Microsoft 365 im Unternehmen auch nur zu dienstlichen Zwecken genutzt werden darf
    • Auch sind die Mitarbeiter selbst für die Sicherung und Archivierung verantwortlich.
    • Sobald Sie mit der Anwendung personenbezogene Daten Dritter verwenden, müssen die datenschutzrechtlichen Vorschriften eingehalten werden.
    • Auf was Sie hier genau zu achten haben, erklären wir Ihnen gerne in einem persönlichen Gespräch!
    • Generell gilt: unveröffentlichte personenbezogene Daten von Personen, die nicht Microsoft 365 bzw. Office 365 nutzen, sowie Daten von Personen, die nicht im Bezug zu aufgabenbezogener Kommunikation stehen dürfen ebenso wenig wie Daten, die besonderer Geheimhaltung unterliegen unverschlüsselt in das Speicherangebot des Dienstes abgelegt werden.
    • Speichern Sie Ihre Daten verschlüsselt ab. Dieser Schlüssel muss jedoch auch den Anforderungen eines sicheren Passworts entsprechen (BSI TR-02102-1)

    Hausordnung für Microsoft 365

    Darüber hinaus können Sie eine Hausordnung für die Nutzung von Microsoft 365 verwenden.

    So wissen alle Mitarbeiter genau, wie Sie sich mit den Diensten von Microsoft verhalten sollen. Inhalte könnten folgende sein (am Beispiel Microsoft Teams):

    • Teams wird als Zentrum der Kommunikation festgelegt
    • Rechtliche Bestimmungen
    • Aktive Nutzung von Teams
    • Kommunikation in Ton und Bild kann besonders von Nutzen sein, wenn kein direkter Kontakt möglich ist
    • Keine Silobildung: Gruppenchats sollten in betrieblichen Kontexten vermieden werden. Informationen sollten in den jeweiligen Teams gehalten werden.
    • Respektvolle Kommunikation

    Technische Aspekte: Datenübertragung minimieren

    Beurteilen, optimieren und ggf. dokumentieren Sie den Einsatz von Microsoft 365 im Hinblick auf die IT-Sicherheit.

    Hierunter fallen Belange unterschiedlicher Art, die sich auch nach den Standards in Ihrem Unternehmen orientieren. Haben Sie Fragen? Dann kontaktieren Sie uns gerne!

    Deaktivierung bzw. Konfiguration der Telemetrie Funktionen

    Deaktivieren bzw. konfigurieren Sie die Telemetrie Funktionen bei Microsoft 365. Denn Microsoft sammelt Informationen auf den Endgeräten des Users und nutzt diese für eigene Geschäftsinteressen.

    Jedoch gibt es Tricks, durch die der Umfang der Datensammlung begrenzt werden kann.

    arrow-right

    Zum Verständnis

    Der Begriff der Telemetriedaten wird häufig für die gesammelten Daten verwendet. Nun wurde dieser Begriff jedoch durch den wohl aussagekräftigeren Begriff der "Diagnosedaten" getauscht.

    Windows 10

    Microsoft bietet mittlerweile die Möglichkeit, die Übermittlung der Diagnosedaten zu kontrollieren.

    Verwalten Sie Ihr Betriebssystem zentral und nutzen Sie die Editionen Enterprise oder Education, stehen Ihnen noch weitere Optionen zur Einschränkung des Sendeverhaltens zu Diagnosedaten zur Verfügung.

    Der Umgang mit Diagnosedaten von Microsoft kann in vier Ebenen unterteilt werden: „Sicherheit“, „Einfach“, „Erweitert“ und „Vollständig“.

    Setzen Sie das Level „Sicherheit“, wenn Sie Ihren digitalen Fußabdruck verkleinern wollen.

    Trotz der Einstellung „Sicherheit“ kann es sein, dass weitere Diagnosedaten erhoben werden. Sie können diese jedoch anzeigen ("Diagnosedaten anzeigen") und löschen ("Diagnosedaten löschen"), indem Sie in Ihren Einstellungen unter dem Menüpunkt „Datenschutz“ „Diagnose und Feedback“ wählen.

    Office 365 (Desktop-Anwendung)

    Unsere Empfehlung: verwalten Sie Office 365 zentral.

    Wählen Sie dann zwischen den Optionen: „Erforderlich“, „Optional“ sowie „Weder noch“. Die Kategorie „Weder noch“ ist vorzugswürdig, wenn Sie Ihren digitalen Fußabdruck verkleinern möchten.

    Achtung: Für einige Nutzergruppen kann das Level „Optional“ notwendig sein, wenn Sie auf bestimmte Funktionen zugreifen wollen.

    Frühere Office 365 Versionen bieten diese Möglichkeiten nicht. Hier gibt es lediglich die Möglichkeit, die übermittelten Diagnosedaten über einen Viewer einzusehen.

    Auf einen Blick: Die Anleitung zu den Datenschutzeinstellungen

    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    Kontaktieren Sie uns
    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Titelfoto @ unsplash: markus-winkler

    Fazit

    Zusammenfassung des Microsoft 365

    Microsoft hat mit Microsoft 365 auf die Vorwürfe der Sicherheitslücken reagiert. Jedoch bleiben einige Punkte undurchsichtig. Es müssen also einige individuelle Einstellungen getätigt werden, um die Datenübermittlung an Microsoft zu minimieren und wirklich datenschutzkonform zu arbeiten. Werden diese Schritte jedoch beachtet, steht der Verwendung von Microsoft 365 nichts mehr im Wege.

    Haben Sie noch Fragen oder möchten Sie weitere Informationen zur datenschutzkonformen Arbeit mit Microsoft 365?

    Auf der Seite des Rechenzentrums der Uni Würzburg lassen sich viele nützliche Tipps und Tricks finden: z.B. Welcher Ansprechpartner steht bei welchem Belang bei Microsoft zur Verfügung?

    Oder möchten Sie eine individuelle Beratung oder eine Expertenmeinung? Dann rufen Sie uns gerne an!