Die datenschutzkonforme Implementierung von MS 365

Die Cloud-Angebote von US-amerikanischen Unternehmen wie Microsoft, Google und Co. erfreuen sich auch bei deutschen Unternehmen großer Beliebtheit. Gerade die cloudbasierte Software-Sammlung Microsoft 365 – früher Office 365 – ist weit verbreitet und von vielen Arbeitsplätzen nicht mehr wegzudenken. Doch amerikanische Unternehmen unterliegen amerikanischen Regularien – und zum Beispiel nicht der europäischen Datenschutz-Grundverordnung (DSGVO-EU). Dabei ist problematisch, dass US-amerikanische behördliche Überwachungsbefugnisse weitreichend sind und Intransparenz darüber herrscht, inwieweit Anwenderdaten aufgrund Sicherheitsgesetzen herausgegeben werden. Beispielsweise kann der Clarifying Lawful Overseas Use of Data Act(CLOUD Act) oder Foreign Intelligence Surveillance Act (FISA) amerikanische Internet-Firmen und IT-Dienstleister verpflichten, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung in der EU erfolgt. Dass der in den USA geltende Rechtsrahmen nicht den Ansprüchen der Europäischen Union an Datenschutz vor staatlichen Eingriffen entspricht, hat der Europäische Gerichtshof (EuGH) in der Rechtssache Schrems II im Juli 2020 festgestellt und in Folge das sogenannte Privacy Shield Abkommen zwischen der EU und den USA gekippt. Um einen Datentransfer zu rechtfertigen, müssen die beteiligten Unternehmen also alternative Lösungen finden, um ein angemessenes Datenschutzniveau aufrechtzuerhalten. Europäische Unternehmen müssen vor dem Einsatz eines US-Dienstleisters prüfen, ob die Datenübermittlung zum Beispiel durch die sogenannten Standardvertragsklauseln und weiteren Maßnahmen angemessen abgesichert werden kann. 

Der Einsatz von Microsoft 365 birgt – neben allen praktischen Vorteilen – einige datenschutzrechtliche Risiken und wird deshalb mitunter kritisch gesehen. Doch das bedeutet nicht, dass die rechtskonforme Implementierung dieses Cloud-Dienstes nicht möglich ist. Unternehmen selbst haben die Möglichkeit, die Software datensparsam zu nutzen und durch entsprechende Einstellungen und ergänzende Maßnahmen den Risiken einer Drittstaatenübermittlung zu begegnen. Dadurch lässt sich in der Regel ein datenschutzkonformer und sicherer Einsatz von Microsoft 365 gewährleisten. Auch Microsoft selbst nähert sich dem Datenschutz auf europäischem Niveau immer weiter an und verkündete jüngst zum Ende des Jahres 2022, eine EU-Datengrenze für die Cloud-Lösungen implementieren zu wollen. Dadurch werden Daten von Kunden aus der EU, die Cloud-Dienste von Microsoft nutzen, wohl künftig auch nur noch in der EU gespeichert. Aktuell ist eine Speicherung in der EU nur für einzelne Dienste von MS 365 und nur für bestimmte Datenkategorien möglich.

Dieser Beitrag adressiert, welche der Features von MS 365 problematisch sein können und welche datenschutzrechtlichen Risken bestehen. Anschließend wird dem Leser aufgezeigt, wie die Vorgaben der DSGVO umgesetzt werden können, um die Software datenschutzkonform zu nutzen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Einführung MS 365

Was genau steckt hinter Microsoft 365?

MS 365 kombiniert Online-Dienst, Office-Webanwendung und Office-Software-Abonnement. Dabei geht MS 365 weit über die klassischen Office Tools wie Word, Outlook oder Teams hinaus und bietet auch verschiedene Serviceleistungen wie etwa die Bereitstellung von Onlinespeicher, Mailing oder Messaging-Services an. So ermöglicht beispielsweise Delve das Finden von Inhalten an einem Ort, die selbst erstellt oder von einem Kollegen geteilt wurden; mit Sway können visuelle Präsentationen unter Verwendung von Vorlagen und Grafiken erstellt und sodann intern und extern geteilt werden; während Yammer ein sozialer Bereich ist, der im Unternehmen genutzt werden kann, um sich mit internen und externen Gruppen auszutauschen, Dateien zu teilen und Umfragen zu starten. Wegen der Vielzahl von möglichen Tools sollten Unternehmen auch immer die konkret verwendeten Module und die damit verfolgten Verarbeitungszwecke betrachten – nur so können die einschlägigen datenschutzrechtlichen Risiken identifiziert werden.

Die Nutzung der Microsoft Produkte wird als Cloud-Lösung ermöglicht (Cloud-Lizensierung) – Anwender können damit ortsunabhängig von jedem unterstützen Endgerät arbeiten. Die gespeicherten Daten befinden sich in Rechenzentren von Microsoft, zu denen der Zugriff über das Internet möglich ist.

Dabei bietet Microsoft grundsätzlich zwei Versionen von MS 365 für Unternehmen an: Office 365 Business für kleine und mittelständische und Office 365 Enterprise sowie diverse weitere Lizenzvarianten. Je nach Lizenz sind verschiedene Office-Anwendungen und Dienste enthalten: hier sollten sich interessierte Unternehmen je nach Größe, Verwendung und Anforderungen vor Abschluss beraten lassen. 


Mehr zum Thema

“Die Datenschutz-Folgen­abschätzung am Beispiel von Microsoft 365″ (Whitepaper)

“Datenschutz­konformer Einsatz von Messengern und Videokonferenz-Tools”

“Software-as-a-Service (SaaS) Verträge: Einordnung und Möglichkeiten”


Kritik und Risiken 

Die Nutzung von MS 365 bringt einige Risiken mit sich, sodass die Verwendung der Software schon vermehrt in der Kritik stand. 

Besonderes Gewicht hat dabei die negative datenschutzrechtliche Bewertung der Datenschutzkonferenz (DSK) vom 22.09.2020. Damals wurde mit knapper Mehrheit beschlossen, dass „derzeit kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“. Der Beschlussentwurf aus dem letzten Jahr kritisiert vor allem die ungenauen Angaben in den Online Service Terms (OST) von Microsoft darüber, welche Daten zu welchen Zwecken verarbeitet werden. Zudem gebe es für die Verarbeitung von Daten zu Microsoft-eigenen Zwecken, etwa von Telemetrie- und Diagnosedaten über die Nutzung und Leistung von Anwendungen und ihrer Komponenten, keine zureichende Rechtsgrundlage. Das Positionspapier ist jedoch in einzelnen Punkten innerhalb der deutschen Aufsichtsbehörden umstritten – bemerkenswert ist auch, dass die Datenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen und dem Saarland sowie das Bayrische Landesamt für Datenschutzaufsicht ausdrücklich erklärt haben, die Gesamtbewertung nicht zu teilen, „weil sie zu undifferenziert ausfällt“. Eine finale, aktuelle und rechtlich nachvollziehbare Begründung lässt bisher noch auf sich warten.

Auch nicht auseinandergesetzt hat sich der Beschlussentwurf mit der Übermittlung von Daten vor dem Hintergrund der Schrems-II-Entscheidung des EuGH. Datenschutzrechtliche Risiken entstehen jedoch tatsächlich vor allem für die Vertraulichkeit und Integrität der Daten, und zwar durch intransparente Informationen darüber, inwieweit Daten an US-Behörden herausgegeben werden. Nationale Sicherheitsgesetze wie der CLOUD Act oder FISA ermöglichen US-Geheimdiensten und kooperierenden Geheimdiensten weiterer Staaten unter Umständen Zugriff auf Anwenderdaten – auch in der Europäischen Union. Amerikanische Unternehmen wie Microsoft sind also unter gewissen Umständen verpflichtet, außerhalb der USA verarbeitete Daten auf Anforderung herauszugeben, solange sie tatsächlich darauf zugreifen können. Zwar dürfen nach der DSGVO Daten nur dann an Behörden von Ländern außerhalb der EU herauszugeben, wenn es eine internationale Übereinkunft mit der Union oder einem Mitgliedstaat gibt. Brüssel und Washington haben bislang aber keine Vereinbarung getroffen. 

Details zu datenschutzrechtlichen Bedenken rund um Microsoft 365 haben wir hier für sie zusammengetragen.

Ausblick

Doch Microsoft geht verstärkt auf Datenschutzbedenken in Europa ein: so kündigte das Unternehmen im Mai dieses Jahres an, dass Kunden der EU alle Daten künftig ausschließlich in der EU verarbeiten und speichern lassen können. Dieser geplante „EU Data Boundary for the Microsoft Cloud“ soll ab Ende 2022 und für alle zentralen Cloud-Dienste (MS 365, Azure und Dynamics 365) gelten. Dieses Angebot richtet sich an Unternehmenskunden und Kunden aus dem öffentlichen Sektor, nicht aber an Privatnutzer. Konkret bedeutet das, dass Microsoft zukünftig wohl keine Daten dieser angesprochenen Kunden mehr aus der EU heraus transferieren wird. Damit reagiert Microsoft auf das Schrems-II Urteil des EuGH – Details zu dem Urteil finden Sie hier.

Noch ist allerdings unklar, ob durch diese Maßnahme die Unsicherheiten bei Datentransfers zwischen Europa und den USA beseitigt werden kann: Microsoft hat seinen Unternehmenssitz in Washington und unterliegt folglich weiterhin der US-Rechtsprechung – samt erwähntem CLOUD Act und FISA. Diese finden damit weiterhin extraterritoriale Anwendung, sodass Microsoft unter gewissen Umständen weiterhin verpflichtet bleibt, die Daten auf Anforderungen herauszugeben, auf die das Unternehmen tatsächlich zugreifen kann. Es bleibt somit abzuwarten, wie sich die Situation entwickeln wird. Dennoch ist es begrüßenswert, dass Microsoft Schritt für das Datenschutzniveau weiter anhebt. 

So gelingt die rechtskonforme Implementierung 

Wer Microsoft 365 rechtskonform nutzen möchte, muss selbst aktiv werden, um die Forderungen der DSGVO umzusetzen. 

Zunächst können die Zugriffsrechte der US-Geheimdienste und Behörden durch die Nutzer durch Verschlüsselung der Daten selbst technisch ausgehebelt werden. Laut Microsoft können Kunden ihre Cloud-Daten selbst wirksam verschlüsseln und diese Schlüssel auch selbst verwalten. Unzulässiger Zugriff durch staatliche Stellen soll dann nicht möglich sein. Doch dies wird von Datenschützern teils kritisch gesehen, da die Funktionsweise nur sehr eingeschränkt funktionieren soll, und zwar wenn die eigenen Daten aktiv verarbeitet werden sollen und dafür entschlüsselt werden müssen. Hierbei kommt es auf die konkrete verwendete Verschlüsselungsmethode und das konkrete Key-Management an. Microsoft bietet hier verschiedene Varianten an.

Vor dem Einsatz von Office 365 muss eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchgeführt werden. Die Pflicht zur Durchführung der DSFA ergibt sich dabei aus der Verarbeitung der Daten von Kund:innen, Geschäftspartner:innen und Mitarbeiter:innen durch Nutzung der Software im ganzen Unternehmen – denn die Verarbeitung in großem Umfang oder von Daten besonders schutzwürdiger Personen begründet nach Sicht der Aufsichtsbehörden eine Pflicht zur Durchführung der DSFA. Dabei ist zu beachten, dass es entscheidend auf die konkrete Anwendung der Software ankommt, denn nicht jede Anwendung beinhaltet die gleichen Risiken. 

Die DSFA gliedert sich in drei Abschnitte:

  1. Systematische Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke, Notwendigkeit und Verhältnismäßigkeit,
  2. Risikoanalyse,
  3. Festlegung von Abhilfemaßnahmen und Ermittlungen des verbleibenden Restrisikos. 

Den Ablauf der DSFA konkret am Beispiel MS 365 haben wir hier im Detail für Sie erläutert. 

Um angemessene Abhilfemaßnahmen festzulegen (Abschnitt 3) sollten Unternehmen Einstellungen, die die Nutzer für Microsoft 365 vornehmen können, so abändern, dass das Datenschutzniveau erhöht wird. Dazu empfehlen wir folgende allgemeine Datenschutzeinstellungen:  

  • Einstellung „weder noch“ („neither“) bei Diagnosedaten in MS 365;
  • Einstellung „Diagnosedaten aus (Sicherheit)“ („Diagnostic data off (Security)“) in Windows 10;
  • Deaktivieren der Programme zur Verbesserung der Kundenerfahrung („Customer Experience Improvement Program“ / CEIP);
  • Deaktivieren von Aktivitätsberichten („Activity Reports“) bzw. Ausblenden von Benutzerdetails (siehe weiterführend hier);
  • Deaktivieren der LinkedIn-Integration;
  • Deaktivieren der verbundenen Erfahrungen („Connected Experiences“) (siehe weiterführend hier);
  • Deaktivieren der optionalen verbundenen Erfahrungen („Optional Connected Experiences“), insbesondere Standortvorschläge, interessante Kalender, Reisezeit im Ausblick, Wetter im Kalender, Lebenslauf-Assistent (siehe weiterführend hier);
  • Deaktivieren von „Senden von persönlichen Informationen an Microsoft, um Office zu verbessern“ und „Office die Verbindung mit Microsoft-Onlinediensten erlauben, um für Ihren Standort und Ihre Voreinstellungen relevante Funktionen bereitzustellen“ in Microsoft Office (siehe weiterführend hier);
  • Deaktivierung des Teilens von Links gegenüber jeden (Option „Neue und vorhandene Gäste“ einstellen) (siehe weiterführend hier).

Zudem:

  • Implementierung der Ende-zu-Ende-Verschlüsselung bei 1:1-VoIP-Anrufen in Teams, die seit dem 28.06.2021 erstmals (als Preview) verfügbar ist;
  • Nutzung der Option „Premium-SKU“ im „Azure Key Vault“ zur Aktivierung der Verschlüsselung mittels gemeinsam genutztem Hardware Security Module (HSM), z.B. mit Microsoft 365 Enterprise E5 möglich;
  • Nutzung der Option „EU Data Boundary for the Microsoft Cloud“, welche ab Ende 2022 angeboten wird.

Unternehmen können zudem die von Microsoft verwendeten Rechenzentren selbst auswählen und dann solche in der EU auswählen: dadurch werden die bestimmten Daten nur in der EU verarbeitet und die Wahrscheinlichkeit von Zugriffen aus den USA durch Microsoft verringert. Die Funktion ist jedoch derzeit nur für bestimmte Module konzipiert und schließt externe Wartungszugriffe nicht aus.

Wichtig ist auch eine interne Schulung der Mitarbeiter zur Sensibilisierung in Bezug auf die Risiken und eine entsprechende Datenschutzrichtlinie zum Einsatz von Microsoft 365. Darüber hinaus sollte ein umfassendes Rollen- und Berechtigungskonzept erstellt werden, um die Daten nur den Personen zugänglich zu machen, die sie für ihre Aufgaben benötigen.

Whitepaper DSFA

Fazit

Abschließend lässt sich festhalten, dass der Einsatz von US-amerikanischen Tools rechtliche Risiken birgt und die Nutzung genau überprüft werden muss. Das gilt vor allem vor dem Hintergrund, dass deutsche Aufsichtsbehörden eine spezielle Task-Force eingerichtet haben. Diese kontrolliert stichprobenartig den Einsatz von US-Cloud-Diensten bei deutschen Unternehmen und gibt gegebenenfalls eine Alternative vor – wie den Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Kann keine zufriedenstellende Lösung gefunden werden, ist auch die Verhängung von Bußgeldern möglich.

Doch die rechtskonforme Implementierung und damit die Nutzung von Microsoft 365 ist möglich. Dazu müssen Unternehmen selbst aktiv werden und auch einen gewissen Aufwand aufbringen – dies gilt vor allem für die Durchführung der DSFA. Letztlich lohnt sich der Aufwand aber, um Microsoft 365 risikofrei nutzen zu können und nebenbei sogar interne Prozesse optimieren zu können.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.