Office ist von modernen Arbeitsplätzen nicht wegzudenken. Inzwischen wird aber fast überall die cloudbasierte Version Microsoft 365 – früher Office 365 – genutzt, die neben allen praktischen Vorteilen datenschutzrechtliche Risiken mit sich bringt. Eine negative Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung, das vorläufige Verbot zum Einsatz von Microsoft 365 in Schulen durch den hessischen Datenschutzbeauftragten sowie das Abraten des Bundesdatenschutzbeauftragten haben viele Anwender und Entscheider verunsichert. In diesem Artikel zeigen wir auf, welche Risiken genau beim Einsatz solcher Produkte drohen. Darüber hinaus geben wir einen Einblick darin, welche dieser Risiken Sie vermeiden können.
Umfangreiche Datenverarbeitungen
Problematisch ist in erster Linie, dass Microsoft nicht transparent arbeitet bzw. dies in der Vergangenheit nicht immer getan hat. Das gilt zum Beispiel für die sogenannte Telemetrie. Diese wird verwendet, um Diagnose- und Metadaten über die Nutzung und Leistung von Anwendungen und Anwendungskomponenten zu sammeln. In der Regel geschieht das, um die Software sicherer zu machen oder Fehler zu finden und zu beseitigen.
Diagnosedaten gehen über die zur Verwendung von Office notwendig verarbeiteten Daten hinaus und werden laut Microsoft für die Verbesserung und die Sicherheit der Dienste verwendet. Sie können über eine ID den Nutzern zugeordnet werden. Nutzer können in den Einstellungen die Verarbeitung der Diagnosedaten reduzieren. Metadaten sind Zusatzinformationen über die Office-Nutzung wie beispielsweise das Erstellungsdatum von Dateien, Titel oder Autor.
Bis vor kurzem bot Microsoft keine umfassenden Dokumentations- oder Einstellungsmöglichkeiten und kein Datenanzeigetool für einen genauen Überblick über die mittels Telemetrie gesammelten Daten. Das hat sich durch die Implementierung des sogenannten „Microsoft Diagnostic Data Viewers“ geändert. In diesem Tool können die Office-Nutzer nachvollziehen, welche Daten bei der Office-Nutzung unter welchen Datenschutzeinstellungen erfasst werden. Zudem hat das Unternehmen die Verwendung von Diagnosedaten minimiert. Sie werden nur noch für drei statt zuvor acht Verwendungszwecke verarbeitet.
Viele dieser Telemetrie- und Diagnosedaten sind personenbezogen im Sinne des Art. 4 Nr. 1 Datenschutz-Grundverordnung („DSGVO“). Für ihre Verarbeitung bedarf es daher einer Rechtsgrundlage. Infrage kommt hier vor allem das berechtigte Interesse von Unternehmen nach Art. 6 Abs. 1 lit. f DSGVO an der Nutzung von geräteunabhängigen Office-Dokumenten für die reibungslose Zusammenarbeit innerhalb des eigenen Teams. Laut der im Auftrag der niederländischen Regierung durchgeführten Datenschutz-Folgenabschätzung gibt es aber bislang bei den meisten Datenverarbeitungen keine Gründe, weshalb ein Personenbezug überhaupt erforderlich sei.
Auf datenschutzrechtliche Vereinbarungen achten
Microsoft sieht sich bisher im Verhältnis zum Lizenznehmer von Microsoft 365 primär in der Rolle des Auftragsverarbeiters. Ob ein Unternehmen nach Art. 28 DSGVO als Auftragsverarbeiter tätig ist, hängt insbesondere davon ab, ob es weisungsgebunden tätig wird, keine eigene Entscheidungskompetenz über die Verarbeitung der Daten hat und ob ihm die Zwecke und Mittel der Verarbeitung vorgegeben werden. Jedoch deuten die von Microsoft angegebenen Zwecke für die Verarbeitung von Diagnosedaten, wie zum Beispiel der Einsatz für Produktentwicklung und die Unterstützung von maschinellem Lernen, nicht auf eine weisungsgebundene Verarbeitung hin. Weil für diese Verarbeitungen keine Vorgaben in den Online Service Terms (OST, Vertragsbedingungen für die Nutzung von Microsoft 365) gemacht werden, ist eher von einer Datenverarbeitung in gemeinsamer Verantwortung nach Art. 26 DSGVO auszugehen. Damit diese rechtmäßig ist, muss jedoch zumindest vereinbart werden, welcher Partner Pflichten nach der DSGVO, wie zum Beispiel die Wahrung von Betroffenenrechten und die Einhaltung von Informationspflichten, übernimmt. Der Abschluss datenschutzrechtlicher Verträge mit Microsoft ist weiterhin nur in Form der OST möglich. Diese können von Microsoft einseitig geändert werden. Das kann nachteilig sein, datenschutzrechtlich ist es allerdings zulässig.
Weitere Probleme beim Datenschutz
Die Office-Telemetriedaten und systemgenerierten Ereignisprotokolle werden für mindestens 30 Tage und höchstens bis zu 18 Monate auf Microsofts US-Servern gespeichert. Die Daten können auch noch länger gespeichert werden, wenn ein einzelnes Microsoft-Team eine eigene Teilmenge von Daten exportiert hat. Mittlerweile ist es allerdings für die Administratoren auf Nutzerseite jederzeit möglich, die bei Microsoft hinterlegten Telemetriedaten zu löschen. Einen weiteren wichtigen Schritt tätigte das Unternehmen mit dem Angebot für Geschäftskunden, Microsoft 365 über deutsche Server nutzen zu können das nun stetig ausgebaut werden soll. Allerdings ist hier zu beachten, dass Microsoft weiterhin Daten für seine eigenen Zwecke verarbeitet und das Verbleiben der Daten innerhalb der EU in vollem Umfang jedenfalls fraglich ist.
Daraus ergeben sich folgende Datenschutzrisiken:
- Es ist für Unternehmen aufgrund mangelnder Transparenz nicht immer möglich, einen Überblick über die spezifischen Risiken für mit Microsoft 365 verarbeitete Daten zu gewinnen (dies gilt aktuell vor allem für die browserbasierten Versionen und Apps).
- Die diskussionswürdige Einordnung von Microsoft als Auftragsverarbeiter anstelle einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DSGVO.
- Die fehlende Zweckbindung sowohl für die Verarbeitung historisch gesammelter Diagnosedaten als auch die Möglichkeit, neue Ereignisse dynamisch hinzuzufügen. Das widerspricht Art. 5 Abs. 1 b DSGVO, nach dem die Zwecke der Datenverarbeitung bereits zum Zeitpunkt der Erhebung der Daten feststehen müssen.
- Die Übermittlung von Diagnosedaten außerhalb des EWR. Diese erfolgt momentan auf der Grundlage des EU-US Privacy Shields, dessen weiterer Bestand aufgrund eines Verfahrens vor dem Europäischen Gerichtshofs fraglich ist. Die Tatsache, dass Microsoft lokale Server innerhalb der EU anbietet, ist daher zu begrüßen und sollte entsprechend genutzt werden.
- Darüber hinaus ist noch nicht geklärt, wie der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) sich auf die Herausgabepraxis von bei Microsoft gespeicherten Daten gegenüber amerikanischen Behörden auswirken wird.
- Problematisch ist auch die unbestimmte Aufbewahrungsdauer von Diagnosedaten. Eine unbestimmte Speicherdauer verstößt in vielen Fällen gegen die Pflicht aus Art. 17 Abs. 1 DSGVO, personenbezogene Daten zu löschen.
Folgen für die Praxis
Die umfassende und teilweise nebulöse Verarbeitung von Telemetriedaten durch Microsoft 365 bringt datenschutzrechtliche Herausforderungen mit sich. Mittlerweile ist es für Administratoren möglich, diese stark einzuschränken oder komplett zu unterbinden. Vorläufig sollten Administratoren das Senden von Telemetriedaten für Microsoft 365 komplett unterbinden und Programme aus dem Office-Paket, für die das noch nicht möglich ist, nicht für die Nutzung freigeben. Mit einem erhöhten Datenschutzrisiko verbunden, ist zudem die Web-Version von Microsoft 365, auf die am besten verzichtet werden sollte. Wer den Cloud-Dienst OneDrive nutzt, sollte zumindest auf die Speicherung vertraulicher Informationen verzichten.
Weiterhin kritisch ist auch die Nutzung von Controller Connected Experiences wie z.B. Übersetzungsdiensten. Bei diesen sammelt Microsoft Nutzungsdaten in einem nicht bekannten Umfang. So lange Microsoft dort nicht für Klarheit sorgt, sollten diese Dienste deaktiviert werden. Wenn Microsoft dem einzelnen Anwender in verständlicher Sprache und hinreichend deutlich darlegen kann, welche Daten bei der Nutzung dieser Dienste verarbeitet werden, ist ein rechtmäßiger Einsatz vorstellbar.
Weiterhin sollte der Ausgang des EuGH Verfahrens zum Privacy Shield (Rechtssache Schrems II) genauso wie die lokale Datenspeicherung von Microsoft genau beobachtet werden. Problematisch ist auch, dass US-Strafverfolgungsbehörden durch den CLOUD-Act die Möglichkeit erhalten auf alle bei US-Unternehmen gespeicherten Daten unabhängig vom Speicherort zuzugreifen. Nach amerikanischer Rechtsauffassung ist das entgegen der bisherigen Rechtspraxis auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich. Microsoft hat versichert, Auskunftsersuchen von Behörden nur stattzugeben, wenn zunächst ein Kontakt zwischen amerikanischer Behörde und europäischem Betroffenen hergestellt wurde. Ob Microsoft dieses Versprechen halten kann, wird sich zeigen.
Um der unbegrenzten Speicherung der bereits erhobenen Telemetriedaten zu entgehen, sollten Administratoren die mittlerweile von Microsoft bereitgestellten Löschtools nutzen. Die Erfassung von Telemetriedaten kann und sollte auf Anwenderseite auf die niedrigste Stufe „Sicherheit“ eingestellt werden. Darüber hinaus sollten Unternehmen Microsoft dazu drängen, Verträge für die Datenverarbeitung in gemeinsamer Verantwortung nach Art. 26 DSGVO abzuschließen. Je nachdem welche Dienste aus dem 365-Paket genutzt werden, sollte auch eine Datenschutz-Folgenabschätzung durchgeführt werden.
Ebenfalls zum Paket gehört Microsoft Teams, ein Messenger und Tool für Videokonferenzen. Nicht erst seit Aufkommen der Corona-Pandemie wird die Anwendung häufig für die Unternehmenskommunikation genutzt. Für Unternehmen empfehlen sich hier die kostenpflichtigen Versionen bzw. die in Microsoft 365 integrierte Version, um alle Sicherheitseinstellungen wie Mehr-Faktor-Authentifizierungen auszuschöpfen, um einen rechtskonformen Einsatz zu gewährleisten. Bei der Nutzung von Microsoft Teams gilt ebenfalls, dass der öffentliche Austausch vertraulicher Informationen vermieden werden sollte.
Mit den hier genannten Maßnahmen und dank der von Microsoft vorgenommenen Verbesserungen kann Microsoft 365 aus unserer Sicht bis auf Weiteres datenschutzkonform genutzt werden. Auf Grund der hier aufgezeigten Risiken gibt es allerdings keine dauerhafte Garantie für den datenschutzkonformen Einsatz von Microsoft 365. Diese Risiken sind auch der Grund dafür, dass Unternehmen, die diese Software bereits einsetzen oder einen Einsatz planen, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen und datenschutzfreundliche Nutzereinstellungen vornehmen sollten.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.