Wonach suchen Sie?

Skip to main content

Microsoft 365 und die Datenschutz-Folgenabschätzung

19.08.2021 | In unserem Blogbeitrag „Umsetzung des Datenschutzes mit risikobasiertem Ansatz: Königsdisziplin Datenschutz-Folgenabschätzung“ haben wir Ihnen vermittelt, wann generell eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen ist und welche Inhalte diese hat. So ist die Datenschutz-Folgenabschätzung immer anzuwenden, wenn beispielsweise eine systematische Überwachung, wie eine Videoüberwachung, stattfindet. Doch warum ist eine Datenschutz-Folgenabschätzung auch bei dem Einsatz des Office-Pakets von Microsoft enorm wichtig?

Nur wenige Anwendungen werden in Unternehmen so oft eingesetzt, wie die Office-Pakete von Microsoft. Diese sind seit vielen Jahren fest im Büroalltag etabliert, die Mitarbeitenden sind es gewohnt, mit den Programmen zu arbeiten. Vielfach gehört ein routinierter Umgang mit den Anwendungen bereits zu den geforderten Grundkenntnissen bei der Einstellung neuer Beschäftigter. In den letzten Jahren hat sich Office von einer reinen Büroanwendung mit Word, Excel und PowerPoint – oftmals auch mit Outlook zur Kommunikation per E-Mail – hin zu einem umfassenden Gesamtpaket mit starker Collaboration-Work-Ausrichtung entwickelt. Die Zusammenarbeit in Gruppen, die digitale Vernetzung, die gemeinsame Projektarbeit sowie die Kommunikation hierüber stehen dabei im Vordergrund. Die Verarbeitung personenbezogener Daten – und ausschließlich diese sind aus Sicht des Datenschutzes in diesem Beitrag relevant – konzentriert sich zunehmend auf Microsoft 365.

Zur Erinnerung: Wann muss nach DSGVO eine Datenschutz-Folgenabschätzung erfolgen?

Hierzu heißt es in Art. 35 Abs. 1 DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Welche Risiken bestehen beim Einsatz von Microsoft 365?

Bei der Nutzung von Microsoft Office 365 fallen Adress- und Kontaktdaten sowie Videodaten an. Darüber hinaus werden Sprachübermittlungen, Nachrichten, Memos, Zeitpläne, u.v.m. gespeichert. Die Daten können alle einer Person oder auch mehreren Personen zugeordnet werden. Demnach gelten diese als personenbezogen, auch wenn die Verarbeitung der Daten für rein dienstliche Zwecke geschieht. Hier werden außerdem ebenso die Daten externer Personen wie Geschäftspartner und Geschäftspartnerinnen, Kunden bzw. Kundinnen und Lieferanten bzw. Lieferantinnen mit eingeschlossen.

Die Daten verbleiben allerdings nicht nur auf den eigenen Servern. Microsoft 365, wie auch Office 365, kann nahezu vollständig cloudbasiert als Service genutzt werden. Dies bietet viele Vorteile, u.a. eine leichtere Skalierbarkeit. Des Weiteren liegt das Datenhandling in vermeintlich sicheren Rechenzentren bei Microsoft, welche allemal besser geschützt sind als die unternehmenseigene Infrastruktur. Die Hoheit über die Daten und Anwendungen befindet sich deshalb jedoch nicht mehr nur in den eigenen Händen bzw. obliegt nicht der alleinigen Kontrolle des Unternehmens.

Hinzu kommt, dass Microsoft stetig seine Produkte weiterentwickelt, um diese noch besser an die Bedürfnisse der Nutzer und Nutzerinnen anpassen zu können. Aus diesem Grund werden Telemetriedaten an Microsoft gesendet. Der große Haken dabei: Das Zusenden der Daten passiert nicht ausschließlich an die europäischen Rechenzentren, sondern auch an die US-amerikanischen. Dies, wie auch die Nutzung der Cloud-Services, führen zur Notwendigkeit, Verträge datenschutzrechtlicher Art mit Microsoft abzuschließen (mehr dazu lesen Sie in unserem Blogbeitrag zum Thema „Wegfall des US-EU-Privacy Shields und die Auswirkung auf Unternehmen“).

Die folgenden Risiken sind bei der Nutzung von Microsoft 365 oder Office 365 damit von Bedeutung:
  1. Die umfangreiche Verarbeitung personenbezogener Daten, ebenso wie die der Unternehmensdaten, wie
    • Geschäftsentwicklungsdaten,
    • Korrespondenzdaten,
    • Entwicklungsdaten,
    • etc.
       
  2. Die Ausweitung der Anwendungen auf zahlreiche Tools – auch von Drittanbietern – welche überdies eine Leistungsüberwachung der eigenen Beschäftigten ermöglichen:
    • SharePoint Online
    • OneDrive for Business Online
    • Exchange Online
    • Skype for Business Online
    • Teams
    • Planner
    • Yammer
    • Stream
    • Delve
    • Office Graph
    • etc.

      Von Drittanbietern können Tools, wie Mindmeister, Brockhaus, Paperfly, Trello und viele andere als App eingebunden werden.
       
  3. Die Übermittlung von Daten in Drittländer

Vor allem bei diesen Punkten geht es darum, das Persönlichkeitsrecht Ihrer Beschäftigten zu schützen.

Welche Daten verarbeitet Microsoft?

Funktionsdaten

Bei der Verarbeitung der Funktionsdaten handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Services Office 365 sind. Microsoft wird hierbei gemäß der Online Service Terms (im Folgenden „OST“) als Auftragsverarbeiter nach Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung der Services gelöscht.

Inhaltsdaten/Kundendaten

Unter Inhaltsdaten fallen u.a. Dokumente, Präsentationen, E-Mails, Ton-, Video- und Bilddateien, welche die Microsoft-Nutzer und -Nutzerinnen im Rahmen ihrer Tätigkeit mit Office 365 erstellen bzw. hochladen. Beispiele für in Office 365 verarbeitete Kundendaten sind E-Mail-Inhalte in Exchange Online sowie Dokumente oder Dateien, die in SharePoint Online oder OneDrive für Unternehmen gespeichert sind. Eine Verwendung zu anderen Zwecken ist in den OST unter „Verarbeitung von Kundendaten“ ausgeschlossen.

Diagnosedaten

Die Diagnosedaten enthalten eine von Office 365 eindeutig generierte ID, über welche sie einem Benutzer/einer Benutzerin eindeutig zugeordnet werden können. Dabei werden unter anderem folgende Datenarten übermittelt:

  • Client-ID
  • User-ID
  • Dauer der Nutzung eines Office-Dienstes
  • Größe der bearbeiteten Datei
  • Event-ID (ID der getätigten Aktion – beispielsweise Speicherung eines Dokuments)
  • Programmsprache

Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA nicht auszuschließen. Microsoft hat angegeben, die Informationen für folgende Zwecke zu verwenden:

  1. Bereitstellen und Verbessern des Dienstes,
  2. Aktualisierung des Dienstes
  3. und dessen Sicherheit.

Microsoft betont ausdrücklich, die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung zu nutzen. Sofern entsprechende Lizenzpläne die Grundlage für die Nutzung der Software sind, werden die Diagnosedaten aber mindestens für die Authentifizierung des Nutzers und/ oder Lizenzprüfungen verwendet. Außerdem werden die notwendigen Daten für die Nutzung der Connected Experiences übermittelt.

Connected Experiences

Bei den sogenannten „Connected Experiences“ handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder die Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei 14 Connected Experiences auch als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke nicht mehr greift. Zu diesen Verwendungszwecken zählen beispielsweise die Nutzung der Daten zur Personalisierung, Werbung oder Produktentwicklung.

Office 365 bietet mittlerweile allerdings die Option, die Connected Experiences, für welche Microsoft eigenverantwortlich ist, zu deaktivieren. Die zu deaktivierenden Connected Experiences sind folgende:

  • 3D Maps
  • Insert online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Research
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature
     

Was Sie konkret tun können, um Microsoft 365 datenschutzfreundlich einzusetzen

  • Windows Einstellung:
    Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer und Nutzerinnen dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.
     
  • Programm zur Verbesserung der Benutzerfreundlichkeit:
    Die Funktion zur Datenübermittlung an das Microsoft-Programm, um die Benutzerfreundlichkeit von Anwendungen zu verbessern, muss deaktiviert werden.
     
  • Office Enterprise Versionen:
    Die Einstellungen zur Datenschutzkonformität durch die IT-Administration des Unternehmens sind erst umfassend mit der Nutzung der Enterprise Pläne E 3 / E 5 anwendbar.
     
  • Beschränkung der Diagnosedaten:
    Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.
     
  • Connected Experiences:
    Die Connected Experiences sind zu deaktivieren. Falls diese aktiviert sind, sollten weitere datenschutzrechtliche Vereinbarungen mit Microsoft geschlossen werden, welche eine gemeinsame Verantwortung beinhalten.
     
  • Abschluss eines Auftragsverarbeitungsvertrags:
    Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen. Dieser muss somit nicht separat abgeschlossen werden.
     
  • EU-Standardvertragsklauseln:
    Vorbehaltlich der rechtlichen Überprüfung durch den EuGH sollten die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.
     
  • LinkedIn-Integration:
    Eine Integration der LinkedIn-Accounts der Mitarbeitenden muss unterbunden werden. Somit können Adresseinträge aus LinkedIn nicht automatisch übernommen werden. Für die Übernahme in das reguläre Outlook-Adressbuch wäre eine Information an die betroffene Person notwendig, die dem Vorgang jedoch auch widersprechen könnte.
     
  • Workplace Analytics, Activity Reports, Delve:
    Diese Funktionalitäten sollten zunächst nicht genutzt werden. Wir empfehlen Ihnen, die Nutzung im Einzelfall unbedingt von einem Datenschutzbeauftragten prüfen zu lassen. Da es sich um die Auswertung von Leistungsdaten handelt, ist der Betriebsrat ebenso einzubeziehen.
     
  • Kunden-Lockbox:
    Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.
     
  • Office-Online und Office-Mobile:
    Die Verwendung der Office 365 Webanwendung und der Office Apps sollte untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.
     
  • Durchführung einer Datenschutz-Folgenabschätzung:
    Je nach Art und Umfang der Daten, die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Kontaktieren Sie hierzu im besten Falle Ihren Datenschutzbeauftragten.


Erweiterte Empfehlungen zur Vorgehensweise vor oder spätestens mit der Einführung von Microsoft Office 365

  • Analysieren Sie, welche Daten Sie mit Office 365 verarbeiten wollen.
     
  • Legen Sie fest, wie mit diesen Daten umgegangen werden soll. Klassifizieren Sie diese nach Vertraulichkeitsstufen. Soweit es möglich ist, sollten vertrauliche Informationen auf eigenen Servern gespeichert werden und nicht in der Cloud. Setzen Sie ggf. eine Verschlüsselung ein.
     
  • Prüfen Sie, welche Features sie benötigen.
     
  • Wägen Sie ab, welches die geeignete Office-Version für Sie ist. Die Business-Pläne lassen in der Regel keine dedizierten administrativen Einstellungen zu, die u.a. auch den Datenabfluss an Microsoft (z.B. Telemetriedaten) stark einschränken können. Zwar sind die Enterprise-Pläne teurer, Sie erhalten jedoch gleichzeitig mehr administrative Tools und Kontrollmöglichkeiten, die auch dem Datenschutz zugutekommen. Der Datenschutz lässt sich deutlich leichter bewerkstelligen, beispielsweise entfällt – entsprechende Einstellungen vorausgesetzt (hierzu gibt es eine Anleitung von Microsoft) – die Datenschutz-Folgenabschätzung.
     
  • Nutzen Sie die Möglichkeiten des Compliance-Managers, der Ihnen dabei hilft, die Compliance-Risiken zu ermitteln. Bei der Befolgung der Empfehlungen wird Ihnen eine rechtlich saubere Anwendung ermöglicht.
    • Legen Sie u.a. Regelungen zur Nutzung von Office-Anwendungen fest, z. B. bei Collaboration-Tools wie Teams
    • Überprüfen Sie Ihr Berechtigungskonzept und schaffen Sie für Office eine dedizierte Benutzerrechteverwaltung, um so den Identitäts- und Gerätezugriff zu steuern.
    • Prüfen Sie die Überwachungsprotokollierung und nutzen Sie die Postfachüberwachung für alle Exchange-Postfächer, um potenziell böswillige Aktivitäten zu überwachen sowie als Grundlage für die forensische Analyse von Datenschutzverletzungen.
    • Prüfen Sie die Nutzung der verfügbaren Data Loss Prevention (DLP) zur Identifizierung, Überwachung und zum automatischen Schutz vertraulicher Daten in Dokumenten und E-Mails, Finanzinformationen, medizinischen Informationen und personenbezogenen Informationen durch eine konfigurierbare Klassifikation Ihrer Daten und Dokumente mittels Vertraulichkeitsstufen.
    • Prüfen Sie die Nutzung der verfügbaren Office 365 Sicherheitslösungen, um Angriffe durch die häufigsten Angriffsvektoren wie Phishing-E-Mails und Office-Dokumente mit schädlichen Links und Anlagen zu verhindern.
    • Implementieren Sie Datenaufbewahrungsrichtlinien mit Vertraulichkeitsbezeichnungen, Microsoft Information Governance sowie Richtlinien, um personenbezogene Daten so lange aufzubewahren, wie dies gesetzlich vorgeschrieben ist.
       
  • Führen Sie eine Prüfung durch, durch welche festgestellt wird, ob eine Datenschutz-Folgenabschätzung notwendig ist. Dokumentieren Sie diese Prüfung.
     
  • Schließen Sie ggf. eine Betriebsvereinbarungzur Nutzung von Microsoft 365 bzw. Office 365, evtl. auch nur für bestimmte Anwendungen wie Teams.
     
  • Erstellen und verbreiten Sie die Hinweise zur Verarbeitung gemäß der Informationspflichten nach Art. 13 DSGVO, insbesondere für die Collaboration-Tools wie Teams


Die Experten von ORGATEAM unterstützen Sie

Kommt es zu Datenpannen, müssen diese umgehend der Aufsichtsbehörde gemeldet werden. Anschließend wird geprüft, ob bei der entsprechenden Datenverarbeitung eine Datenschutz-Folgenabschätzung (DSFA) vorlag. Hierzu äußern sich die Aufsichtsbehörden folgendermaßen:

Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DS-GVO oder der vorliegenden Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DS-GVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DS-GVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DS-GVO offen.

Derzeit läuft eine länderübergreifende Kampagne der Aufsichtsbehörden, um über Fragebögen zu erfahren, wie der E-Mail-Versand, das Hosting von Internetseiten, Webtracking, die Bewerberdatenverwaltung und der konzerninterne Datenaustausch vonstattengeht. Die Fragen zielen auf die Umsetzung der Maßnahmen ab, welche sich aus dem Schrems-II-Urteil ergeben (siehe Blogbeitrag). Da es sich bei Microsoft 365 / MS Office 365 zumindest teilweise um eine SaaS-Lösung in der Cloud handelt, sollten beim Einsatz von MS 365 entsprechende datenschutzrechtliche Verträge (OST, Standardvertragsklauseln der EU) mit Microsoft geschlossen werden. Darüber hinaus sollten erweiterte Garantien zum Schutz der Betroffenenrechte in den USA seitens Microsofts schriftlich zugesichert werden.

Gerne helfen wir Ihnen dabei, Ihren Rechenschaftspflichten nachzukommen und eine geeignete Lösung für Ihr Unternehmen zu finden. Profitieren Sie von unserer Erfahrung mit der Durchführung von Datenschutz-Folgenabschätzungen.

 

Ihr persönlicher Ansprechpartner: