Datenschutz & Microsoft 365: Wie setzten Unternehmen es DSGVO-konform ein?

Microsoft 365 gehört in vielen Unternehmen zum Arbeitsalltag. Doch auch im Jahr 2024 existieren noch datenschutzrechtliche Bedenken und Risiken. Seit Januar 2024 besteht nun auch die Möglichkeit, die KI-Lösung „Copilot“ in die gängigen Programme von Microsoft zu integrieren. Welche datenschutzrechtlichen Herausforderungen aktuell auf Sie zukommen und wie Sie Haftungsrisiken für Ihr Unternehmen ausräumen, klären wir in diesem Beitrag.

Sie brauchen Unterstützung bei der datenschutzkonformen Implementierung von MS365? Dann nehmen Sie jetzt unverbindlich Kontakt zu uns auf.

So funktioniert die Datenverarbeitung bei Microsoft 365

Die Microsoft 365-Anwendungen verfügen über eine Reihe von Verarbeitungsvorgängen, bei denen unterschiedliche Daten zu unterschiedlichen Zwecken verarbeitet werden. Zur Erfüllung verschiedener Programmfunktionen benötigen die Microsoft 365-Anwendungen sogenannte Funktionsdaten, also etwa Daten zur Anmeldung, Authentifizierung oder der Protokollierung der Verwendung von Dateien durch Metadaten. Bei der Nutzung von Microsoft 365 fallen auch Inhaltsdaten an. Das sind solche Daten, die von den Nutzer:innen im Rahmen ihrer Arbeit mit dem jeweiligen Programm generiert werden, also insbesondere kundenspezifische Informationen. Die Inhaltsdaten können dabei beispielsweise Word-, Excel- oder PowerPoint-Dateien sein. Daneben können etwa im Rahmen von Teams auch Bild-, Ton- und Videodaten verarbeitet werden.

Im Rahmen der Nutzung werden gegebenenfalls auch Diagnosedaten bzw. Telemetriedaten erzeugt und verarbeitet. Diese können beispielsweise Informationen über die verwendeten Betriebssysteme, Geräte und Fehlerberichte umfassen und möglicherweise zur Analyse der Effizienz und zur Verbesserung der Programme verarbeitet werden. Allerdings erlaubt Microsoft verschiedene Konfigurationsmöglichkeiten der Diagnosedaten bzw. Telemetriedaten auf Adminebene, wodurch solche Verarbeitungen eingeschränkt oder ganz abgestellt werden können.

Daneben bietet Microsoft mit den sogenannten “verbundenen Erfahrungen” (engl. „Connected Experiences“) verschiedene zusätzliche Funktionen für die Microsoft 365-Anwendungen an. Auf diese Weise könnten etwa Features wie der „Powerpoint Designer“ oder die integrierte Übersetzungsfunktion genutzt werden. Die verbundenen Erfahrungen gliedern sich dabei in unterschiedliche Kategorien und verarbeiten jeweils Daten mit verschiedener Intensität. Dadurch ist der Einsatz der verbundenen Erfahrungen immer mit einer intensiven Auseinandersetzung mit den dabei verarbeiteten Daten verbunden. Auch hier gibt es Konfigurationsmöglichkeiten, die im Rahmen der Einrichtung von Microsoft 365 berücksichtigt werden sollten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Datenschutzrechtliche Probleme

Die Datenschutzkonferenz (DSK) war in ihrer letzten Bewertung zur Nutzung der Microsoft-Onlinedienste im November 2022 der Auffassung, dass ein datenschutzkonformer Einsatz von Microsoft 365 auf Basis des Auftragsverarbeitungsvertrags mit Microsoft (genannt “Datenschutznachtrag”) nicht möglich sei. Kritisiert wurden unter anderem die Festlegung der Verarbeitung, die Verarbeitung für sogenannte Geschäftstätigkeiten von Microsoft, die Weisungsbindung und Offenlegung von Daten, die Gewährleistung technischer und organisatorischer Maßnahmen, die Vorgehensweise zur Löschung bzw. Rückgabe der Daten sowie die Einbindung von Unterauftragsverarbeitern. Allerdings ist bei der Bewertung der DSK zu berücksichtigen, dass sie nur den damaligen Datenschutznachtrag an sich betrachtete und nicht die tatsächliche Datenverarbeitung im Rahmen der Nutzung von Microsoft 365. Insofern können sich in der Praxis durch die seitdem erfolgten Aktualisierungen des Datenschutznachtrags und die individuelle Ausgestaltung der Nutzung andere Beurteilungen in Hinblick auf die Verwendung von Microsoft 365 ergeben.

Datenschutzrechtlich stand zudem in der Kritik, dass Microsoft die Daten möglicherweise auch in die USA übermittelte und dort verarbeitete. Seit Juli 2023 gilt jedoch der Angemessenheitsbeschluss der Europäischen Kommission für die USA, wodurch die Datenübermittlung an die Microsoft Corporation nun gerechtfertigt ist, weil sie sich nach dem EU-US Data Privacy Framework zertifiziert hat. Parallel dazu hat Microsoft zudem seit 2023 seine Anstrengungen zur sogenannten „EU Data Boundary“ fortgesetzt, die eine freiwillige vertragliche Verpflichtung darstellt, nach der die im Rahmen von Microsoft 365 anfallenden Daten grundsätzlich in der EU verarbeitet werden sollen. 2023 wurden zunächst die Inhaltsdaten davon umfasst, seit Januar 2024 garantiert Microsoft nun zudem, dass auch die Verarbeitung sonstiger personenbezogener Daten, wie Nutzungsdaten, grundsätzlich nur noch in der EU erfolgt.

Sie brauchen Unterstützung bei der datenschutzkonformen Implementierung von MS365?

Ist eine Datenschutz-Folgenabschätzung (DSFA) bei der Verwendung von Microsoft 365 erforderlich?

Verantwortliche sind gem. Art. 35 DSGVO verpflichtet eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. In Bezug auf die Nutzung von Microsoft 365 sprechen Art und Umfang der Datenverarbeitung häufig dafür, dass sich für das Unternehmen die Pflicht ergibt, eine DSFA durchzuführen.

Ziel der DSFA ist es, die mit der Nutzung von Microsoft 365 in Zusammenhang stehenden Risiken zu erfassen und zu bewerten sowie davon ausgehend das Unternehmen zu befähigen, angemessene Schutzmaßnahmen im Zusammenhang mit der Verwendung von Microsoft 365 treffen zu können und so etwaige Risiken zu verhindern. Dafür ist zunächst eine Inventarisierung der verwendeten Microsoft-Anwendungen vorzunehmen, um insbesondere den Umfang der Verarbeitung, die verarbeiteten Daten, die Verarbeitungszwecke sowie die Rollen und Berechtigungen festzustellen. Im Zuge der DSFA wird auch eine Bewertung der technischen und organisatorischen Maßnahmen (TOM) – die Risikoanalyse – durchgeführt. Darauf aufbauend wird die Notwendigkeit weiterer Maßnahmen oder die Anpassung bestehender Maßnahmen erörtert.

Welche Maßnahmen sind bei Microsoft 365 für einen DSGVO-konformen Einsatz empfehlenswert?

Unternehmen sollten sich intensiv mit den umfangreichen Einstellungs- und Konfigurationsmöglichkeiten von Microsoft 365, etwa im Rahmen der verschiedenen Admincenter, auseinandersetzen. Dabei ist es wichtig, genau zu prüfen, welche Anforderungen das jeweilige Unternehmen hat und welche Bedürfnisse die Beschäftigten bei der Arbeit mit der Software haben. Dabei sind datenschutzfreundliche Voreinstellungen grundsätzlich zu empfehlen. Insbesondere sollten die Diagnosedaten und Telemetriedaten deaktiviert werden. Darüber hinaus ist es empfehlenswert, einen Prozess zu implementieren, wonach zusätzliche Produkte und optionale Funktionen zunächst deaktiviert bleiben und nur nach einer Prüfung freigeschaltet werden, etwa in Hinblick auf die verbundenen Erfahrungen oder Teams-Funktionen zur Aufnahme, für Live-Untertitel und zur Transkription. Insgesamt sind deshalb je nach Unternehmen individuelle Prüfungen und Abwägungen empfehlenswert, um die Notwendigkeit bestimmter Funktionen zu bewerten und die Einstellungen an das jeweilige Unternehmen unter Berücksichtigung der datenschutzrechtlichen Vorgaben anzupassen.

Ihre Vorbereitung auf Microsoft Copilot

Seit Januar 2024 ist nun auch das KI-gestützte Tool Microsoft Copilot in Deutschland verfügbar. Es basiert auf „GPT-4“ von OpenAI und soll die Nutzung der gängigen Microsoft 365-Programme beispielsweise durch intelligente Textvorschläge und Anwendungstipps erleichtern und so den Workflow beschleunigen.

Bei der Nutzung von Microsoft Copilot können je nach konkretem Anwendungsfall mitunter personenbezogene Daten in großem Umfang verarbeitet werden. Gerade im geschäftlichen Bereich ist deshalb die Verwendung von Copilot unter datenschutzrechtlichen Gesichtspunkten sorgfältig zu prüfen, insbesondere im Hinblick auf die Zugriffsmöglichkeiten auf Unternehmensdaten wie E-Mails, Chat-Nachrichten und Dokumente. Für das Training der zugrundeliegenden Large Language Models werden nach Angaben von Microsoft jedoch keine Nutzerdaten verwendet.

Wie auch sonst beim Einsatz von Microsoft 365 sollten die Konfigurationen für Copilot im Admincenter geprüft und unter Berücksichtigung der Anforderungen des Unternehmens individuell angepasst werden. Dazu gehören beispielsweise die Vergabe von Administrationsrechten, die Implementierung von Aufbewahrungs- und Löschrichtlinien für gespeicherte Daten sowie die Deaktivierung bestimmter Plugins oder Drittanbieterdienste. Dabei muss berücksichtigt werden, dass einige Funktionen auch auf Webinhalte zugreifen und damit die genutzte Microsoft-Umgebung verlassen.

Copilot ist eine neue Technologie, welche für verschiedenste Anwendungsfälle zum Einsatz kommen könnte. Dabei ist es empfehlenswert, die jeweiligen Einsatzzwecke genau zu prüfen und zu erörtern, inwiefern flankierende Maßnahmen wie etwa Nutzungsrichtlinien erforderlich sind. Mitarbeitende können mitunter einem erhöhten Risiko für ihre Rechte und Freiheiten ausgesetzt werden, etwa durch automatisierte Meetingzusammenfassungen mithilfe der Analyse von Ton- und Videoinhalten. Aufgrund der umfassenden Verarbeitungsfähigkeiten des KI-Tools empfiehlt es sich, beim Copilot-Einsatz eine Datenschutz-Folgenabschätzung durchzuführen, oder eine bereits für Microsoft 365 bestehende DSFA zu ergänzen. So können einzelne Datenverarbeitungsvorgänge im Rahmen der Nutzung von Copilot bewertet und etwaige Risiken beseitigt werden.

Gerne unterstützen wir Sie bei der datenschutzkonformen Implementierung von Microsoft 365 und insbesondere von Copilot.

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.