Wie datenschutzkonform sind meine Microsoft-Tools eigentlich?

Microsoft Office 365 und Datenschutz:

Durch die Corona-Pandemie sind Unternehmen von heute auf morgen mit dem Thema Homeoffice und mobiles Arbeiten konfrontiert worden. Nun zeichnet sich ab, dass die Pandemie vorerst ein Zurückkehren in das Büro ermöglicht. Im Zuge der Pandemie waren viele Unternehmen gezwungen, sich mit Cloudlösungen wie Microsoft Office 365, Zoom oder ähnlichen auseinanderzusetzen. Schnell musste eine Möglichkeit gefunden werden, um Mitarbeiter datenschutzkonform in den beruflichen Alltag einzubinden. Nun sind diese Tools nicht mehr wegzudenken. Sei es Microsoft Teams, Word- und Excel Online, Microsoft OneDrive, etc.

Nun stellt sich die Frage, was kann ich tun, damit ich die Tools zukünftig auch datenschutzkonform weiter nutzen kann?


Wo liegt eigentlich die Problematik?

Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint, Outlook, etc. Hierbei ist der Datenstrom verschlüsselt, sodass derzeit nicht einmal eine Möglichkeit besteht, zu sehen, welche Daten gesammelt werden. Ähnlich kritisch sieht es bei allen Online-Versionen von Office aus. Hier haben die Nutzer bisher keine Möglichkeit, diese Datenübertragung (etwa in den Einstellungen) zu unterbinden. Die Problematik und das Risiko ist die Übermittlung von Daten aus der EU in die USA (unsicheres Drittland).

Mit dem Schrems-II-Urteil des EuGHs vom 16. Juli 2020 (C-311/18) wurde das sog. „EU-US Privacy Shield“ für ungültig erklärt. Demnach ist die Privacy-Shield-Zertifizierung der US-Unternehmen keine geeignete Garantie mehr für Datentransfers in die bzw. aus den USA. Denn im Zuge der Nutzung von Office 365 und den damit regelmäßig verbundenen Cloud-Möglichkeiten finden Datentransfers statt bzw. sind nicht ausgeschlossen. Ferner übermittelt Microsoft Telemetriedaten ihrer Produkte, die zwar teilweise durch den verantwortlichen Nutzer limitiert, aber nicht vollständig unterbunden werden können. Deswegen hat der EuGH dem Privacy Shield die Garantiewirkung für ein hinreichendes Datenschutzniveau abgesprochen. Der Grund dafür sind weitreichende geheimdienstliche Zugriffsbefugnisse auf Daten der Nutzer dieser Services. Dahingehend hat die EU-Kommission am 12. November 2020 einen Entwurf für die neuen EU-Standardvertragsklauseln veröffentlicht.

Unternehmen müssen für Datentransfers in die USA daher nun auf sog. Standardvertragsklauseln (SCC) zurückgreifen. Diese stellt Microsoft bereits jetzt als Bestandteil der Standardverträge zur Verfügung.


Welche Risiken bestehen beim Einsatz von Microsoft Office 365?

Bei der Nutzung von Microsoft Office 365 fallen Adress- und Kontaktdaten sowie Videodaten an. Darüber hinaus werden Sprachübermittlungen, Nachrichten, Memos, Zeitpläne, u.v.m. gespeichert. Die Daten können alle einer Person oder auch mehreren Personen zugeordnet werden. Demnach gelten diese als personenbezogen, auch wenn die Verarbeitung der Daten für rein dienstliche Zwecke geschieht. Hier werden die Daten externer Personen wie Geschäftspartner und Geschäftspartnerinnen, Kunden bzw. Kundinnen und Lieferanten bzw. Lieferantinnen miteingeschlossen.


Was kann ich tun, um die Risiken zu reduzieren?

1.1 Risikominimierende Maßnahmen

Mit einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO sollten Unternehmen prüfen, welche Risiken und Folgen für Betroffene durch die Anwendung von Microsoft Office 365 entstehen könnten. Dennoch ist es möglich, innerhalb der jeweiligen eingesetzten Version datenschutzfreundliche Voreinstellungen vorzunehmen und damit präventive Maßnahmen zu ergreifen. Die Definition von Nutzungseinstellungen, Zugriffsrechten sowie technischen und organisatorischen Maßnahmen spielt dabei eine entscheidende Rolle.

Kritisch wird der Einsatz von Office 365 dann, wenn die volle Bandbreite an Funktionalitäten zum Einsatz kommt: So besteht die Möglichkeit, dass durch eine neue Funktion des Office-Pakets beispielsweise ein sog. Produktivitätswert des Arbeitnehmers durch den Arbeitgeber abgelesen werden kann. Damit wird aufgezeichnet, wann und wie oft Mitarbeiter die Software benutzen: Wann und wie viele E-Mails wurden mit Outlook verschickt? Wie lange und häufig sind Ihre Gespräche? Namentliche Auflistung sind dabei nicht ausgeschlossen. Dieses Risiko lässt sich jedoch mit der Veränderung von Standardeinstellungen und der Umsetzung von datenschutzfreundlichen Voreinstellungen minimieren bzw. komplett abschalten.

Bei der Auswahl entsprechender risikominimierender Maßnahmen orientieren sich die Verantwortlichen an den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO. Zum Beispiel Transparenzmaßnahmen in Form von Datenschutzinformationen für die eigenen Mitarbeiter.


1.2 Organisatorische Maßnahmen

Organisatorische Maßnahmen können das datenschutzrechtliche Niveau erhöhen. Folgende Maßnahmen empfehlen wir:

  • Handlungsanweisung hinsichtlich der Nutzung von Microsoft Office 365 erstellen, ggfls. sogar eine Datenschutzrichtlinie

  • Mitarbeiterunterweisungen und Schulung im Hinblick auf den Umgang mit Office 365 umsetzen

  • Genutzte Rechenzentren sollten innerhalb der EU liegen

  • Abschluss der neuen SCC - Standardvertragsklauseln der Europäischen Union (liegen bei Abschluss des Vertrages mit Microsoft vor) (siehe weiterführend hier)

1.3 Technische Maßnahmen

Technische Maßnahmen können das datenschutzrechtliche Niveau erhöhen und die

organisatorischen Maßnahmen ergänzen. Folgende Maßnahmen empfehlen wir:

  • AD-Passwort-Policy – Mindestanforderungen Großbuchstaben, Zahlen, Sonderzeichen (Empfehlung des BSI finden Sie hier)

  • Einstellung „weder noch“ („neither“) bei Diagnosedaten in MS 365

  • Einstellung „Diagnosedaten aus (Sicherheit)“ („Diagnostic data off (Security)“) in Windows 10

  • Deaktivieren der Programme zur Verbesserung der Kundenerfahrung („Customer Experience Improvement Program“ / CEIP)

  • Deaktivieren von Aktivitätsberichten („Activity Reports“) bzw. Ausblenden von Benutzerdetails (siehe weiterführend hier)

  • Deaktivieren der LinkedIn-Integration

Möchten Sie weitere Maßnahmen erfahren, so sprechen Sie uns gerne an.


1.4 Optionale Maßnahmen

Es können zusätzlich noch optionale Maßnahmen getroffen werden:.

  • MFA – Multi Faktor Authentifizierung

  • Verwendung von Customer Lockbox bei besonders schützenswerten Daten

  • Einschränkung der Mobile und Web-Anwendungen von Office 365

  • Nutzung der Security Defaults im Azure AD von O365

Fazit

Die Nutzung von Tools aus der Cloud bzw. die Möglichkeiten der Nutzung von überallher ist verlockend und zum Teil nicht mehr wegzudenken. Es ist jedoch sinnvoll, selbst als Unternehmen einen gewissen Sicherheitsstandard umzusetzen oder zumindest seinen Dienstleister auf diese Punkte anzusprechen. Die oben genannten Punkte stellen nicht nur eine datenschutzrechtliche Thematik dar, sondern erhöhen auch die eigene Datensicherheit und reduzieren das die Gefahr des Abgreifens von Daten.

Für Ihre Rückfragen steht das entplexit -Datenschutzteam für Sie bereit. Selbstverständlich halten wir Sie weiterhin auf dem Laufenden.