Die Datenschutz-Folgen­abschätzung am Beispiel von Microsoft 365

Es gibt unzählige Software und Programme für Unternehmen, doch nur wenige sind so weit verbreitet wie das ehemalige Microsoft Office und die neue Cloud-Version Microsoft 365. Die häufige und alltägliche Nutzung in Unternehmen wie auch im privaten Bereich führt allerdings nicht dazu, dass Microsoft 365 grundsätzlich bedenkenlos eingesetzt werden kann. Aufgrund einiger datenschutzrechtlicher Risiken beim Einsatz in Unternehmen muss beim Einsatz von Microsoft 365 in der Regel im Vorfeld eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (DSFA) durchgeführt werden, deren Ablauf in diesem Beitrag erläutert wird.

Die Datenschutz-Folgenabschätzung und Microsoft 365

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) gehört die DSFA zum festen Bestandteil des datenschutzrechtlichen Pflichtprogramms. Sie dient dazu, besonders risikobehaftete Verarbeitungsvorgänge zu erkennen, zu bewerten und die Risiken schließlich effektiv im Vorfeld zu senken. Mit Blick auf Microsoft 365 gerät die DSFA auch deshalb in den Fokus, da kritische Stimmen der Software mit ihren vielen Anwendungen von Word, Excel oder Outlook über OneDrive bis hin zum Videokonferenz-Tool Teams ein Datenschutzrisiko bescheinigen. Besonderes Gewicht hat insbesondere die negative datenschutzrechtliche Bewertung der Datenschutzkonferenz (DSK) in einem Beschluss vom 22.09.2020 (bisher nur in der Entwurfsfassung öffentlich abrufbar), dem gemeinsamen Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder. Die DSK beanstandete insbesondere die ungenauen Angaben in den Online Service Terms (OST) von Microsoft darüber, welche Daten zu welchen Zwecken verarbeitet werden. Zudem gebe es für die Verarbeitung von Daten zu Microsoft-eigenen Zwecken, etwa von Telemetrie- und Diagnosedaten über die Nutzung und Leistung von Anwendungen und ihrer Komponenten, keine zureichende Rechtsgrundlage. Das Gremium bemängelte schließlich die unzulänglichen Informationen über datenschutzrechtliche Risiken und inwieweit Daten an US-Behörden aufgrund nationaler Sicherheitsgesetze wie dem CLOUD Act herausgegeben werden. Inwieweit diese Kritik berechtigt und Microsoft 365 dennoch datenschutzkonform einsetzbar ist, soll im Folgenden erläutert werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Zur Erforderlichkeit einer DSFA

Eine DSFA muss nicht vor allen Datenverarbeitungsvorgängen durchgeführt werden, sondern nach Art. 35 Abs. 1 DSGVO nur dann, wenn diese, „insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben. Hier können nicht nur Risiken unmittelbar für personenbezogene Daten (Offenlegung, Kontrollverlust, Überwachung), sondern auch wirtschaftlicher wie gesellschaftlicher Schäden (z. B. Betrug oder Diskriminierung) eine Rolle spielen. Der konkrete Umfang der Datenverarbeitung hängt jedoch von den genutzten Modulen, abgeschlossenen Lizenzvereinbarungen, vorgenommen Einstellungen und zahlreichen weiteren Variablen an.  Beim Einsatz von Microsoft 365 besteht also keine automatische Pflicht zur Durchführung einer DSFA, sondern eine solche muss für den jeweiligen Einzelfall vorab geprüft werden. Um zu bestimmen, ob eine DSFA erforderlich ist, empfiehlt sich ein Vorgehen in drei Schritten:

  1. Prüfung der Positivliste: Auf der sog. Positivliste der Datenschutzbehörden sind verbindlich Verarbeitungstätigkeiten aufgezählt, für welche eine DSFA obligatorisch ist.
  2. Schwellwertanalyse: Befindet sich darauf nicht die beabsichtigte Datenverarbeitung, muss anhand von einer Liste von Kriterien (S. 10 ff.), die von der Artikel-29-Datenschutzgruppe veröffentlicht und vom Europäischen Datenschutzausschuss genehmigt wurde, eine sog. Schwellwertanalyse durchgeführt werden. Zu den Kriterien gehören beispielsweise die systematische Überwachung, das Bewerten natürlicher Personen etwa mit Profilbildungen, die Verarbeitung höchstpersönlicher Daten oder die Nutzung neuer technologischer Lösungen wie Fingerabdruck- und Gesichtserkennung. Bei mindestens zwei erfüllten Kriterien muss eine DSFA durchgeführt werden.
  3. Allgemeine Notwendigkeitsprüfung: Wenn die Schwellwertanalyse negativ ausfällt, sollte die Erforderlichkeit der DSFA anhand der allgemeinen Kriterien des Art. 35 Abs. 1 DSGVO überprüft werden. Daneben zählt Art. 35 Abs. 3 DSGVO noch einmal Regelbeispiele wie Profiling, die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche auf.

Zu den Fällen der Positivliste zählen beispielsweise die Verarbeitung von Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen, biometrischer und genetischer Daten, die Verarbeitung unter dem Einsatz künstlicher Intelligenz oder von Algorithmen sowie die Zusammenführung großer Datenmengen. Der Einsatz von Microsoft 365 an sich fällt nicht eindeutig unter die Fallgruppen der Positivliste der DSK.

In der Regel ergibt aber die Schwellwertanalyse, dass für den Einsatz von Microsoft 365 in Unternehmen eine DSFA durchzuführen ist. Bei der Verwendung von Outlook oder Teams etwa kommt es schnell zu Datenverarbeitungen in einem großen Umfang (Kriterium 5 aus der Schwellwertanalyse), und zwar der Daten von Mitarbeitern, externen Partnern und Gästen. In Microsoft 365 werden E-Mail-Adressen und Nutzungsdaten, aber auch Inhaltsdaten wie versendete Dateien, Metadaten (z. B. Kontaktverläufe, Zugriffsrechte) in erheblichem Umfang und über einen langen Zeitraum verarbeitet. Zudem sehen die Aufsichtsbehörden Arbeitnehmer als besonders schutzwürdige betroffene Personen (Kriterium 7 aus der Schwellwertanalyse), da sie in einem besonderen Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen. Bereits wegen dieser beiden Aspekte ist beim Einsatz von Microsoft 365 regelmäßig eine DSFA erforderlich.

Gleichwohl sollte die Vorabprüfung, ob eine DSFA erforderlich ist, anhand der konkret geplanten Nutzung im Einzelfall erfolgen und umfassend dokumentiert werden. Durch die Schwellwertanalyse kann auch schon der Fokus der DSFA festgestellt werden: Ist sie gerade aufgrund des Umfangs der Daten und der Verarbeitung von Beschäftigtendaten erforderlich, sollten darauf Schwerpunkte gelegt werden.

Die Methodik einer Datenschutz-Folgenabschätzung

Die Methodik einer DSFA lässt sich Art. 35 Abs. 2 und 7 DSGVO entnehmen, woraus sich vier Pflichtbestandteile ableiten lassen: Nach einer systematischen Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke sowie einer Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit folgt als zentraler Bestandteil die Risikoanalyse. Da die DSGVO selbst keine genauen Vorgaben zur Methodik macht, kann sich die Risikoanalyse z.B. am sog. Standard-Datenschutzmodell der DSK oder vergleichbaren Methoden anlehnen. Demnach lässt sich mit Hilfe von acht Gewährleistungszielen aus dem Bereich der Informationssicherheit ermitteln, wie groß die Eintrittswahrscheinlichkeit von Schäden und ihre voraussichtliche Höhe ist: Je weitergehend diese Ziele erfüllt sind, desto geringer ist das Risiko einzustufen:

  • Vertraulichkeit: Datenzugriff nur durch befugte Personen
  • Datenverfügbarkeit
  • Belastbarkeit der technischen Systeme
  • Integrität: Keine Veränderung der Daten
  • Transparenz: Nachvollziehbarkeit, wer welche Daten zu welchem Zweck verarbeitet, umfassende Information von Betroffenen
  • Datenminimierung: Datenverarbeitung nur soweit für die ursprünglich intendierten Zwecke erforderlich
  • Intervenierbarkeit: Gewährleistung der Betroffenenrechte
  • Nichtverkettung: Keine Verknüpfung mit anderen Daten und keine Verwendung für andere Zwecke

Wichtig ist, die Analyse zunächst ohne die Einbeziehung etwaiger Abhilfemaßnahmen vorzunehmen, die erst auf dieser Grundlage anhand der Eintrittswahrscheinlichkeit und Schwere des potentiellen Risikos ermittelt werden. Anschließend erfolgt eine Bewertung des Restrisikos unter Berücksichtigung der getroffenen bzw. geplanten technischen und organisatorischen Maßnahmen, um die Risiken zu reduzieren. Verbleibt ein hohes Restrisiko und sollen die Datenverarbeitungen dennoch durchgeführt werden, muss die Datenschutzbehörde konsultiert werden.

Microsoft 365: Wann ist eine Datenschutz-Folgenabschätzung Pflicht?

Die DSFA für Microsoft 365

In welchem Umfang Microsoft 365 genutzt wird, hängt vom jeweiligen Einzelfall ab. Die Bewertung im Rahmen des DSFA ändert sich durch unterschiedliche Faktoren wie die Anzahl der Mitarbeiter, welche die Software nutzen, oder die eingesetzten Module und verfolgen Verarbeitungszwecke. Das sollte immer berücksichtigt werden. Software wie „Power BI“ gehört auch zu MS 365, kann aber völlig anderen Zwecken dienen, als die klassische Office-Suite aus Word, Excel und PowerPoint.

Welche Daten werden zu welchen Zwecken verarbeitet?

An erster Stelle ist zu dokumentieren, welche Daten verarbeitet werden. Dazu sollte festgehalten werden, welche Tools von Microsoft 365 im Einsatz sind und welche Personen diese nutzen bzw. darauf Zugriff haben. Bei Microsoft 365 werden Daten ganz unterschiedlicher Art verarbeitet. Dazu können Inhalts- und Kundendaten (z. B. Ton-, Video- und Bilddateien) genauso zählen, wie Telemetrie‑, Diagnose- und Metadaten, etwa Informationen über die Nutzung der Software oder die Erstellungszeitpunkte von Dateien usw. Ebenso können temporäre Funktionsdaten erhoben werden, die insbesondere für die über das Internet laufenden Dienste wie der Anmeldung. Entsprechend muss auch bei den Zwecken dieser Datenverarbeitungen differenziert werden. Die Diagnosedaten beispielsweise werden in der Regel erhoben, um den nötigen Support durch Maßnahmen wie Fehlerbehebung gewährleisten zu können. Bei OneDrive werden Daten erhoben, um sie in der Cloud mit denen auf dem PC zu synchronisieren, Teams hingegen bietet eine Chatfunktion und dient der  audiovisuellen Kommunikation unterschiedlicher Nutzer und Gäste. Als übergeordneter und gemeinsamer Zweck der Komponenten von Microsoft 365 wird häufig die (Zusammen-)Arbeit und Kommunikation der Mitarbeiter, Kunden, Partner und Dienstleister des jeweiligen Unternehmens über eine Plattform anzusehen sein. Die Zweckbeschreibung sollte jedoch abhängig von der konkret geplanten Nutzung weiter konkretisiert werden.

Die Risikoanalyse und Abhilfemaßnahmen

Nachdem das Risiko, wie unter III. beschrieben, nach Kriterien wie der Anzahl der beteiligten Personen oder der Art der verarbeiteten Daten vor dem Hintergrund der Gewährleistungsziele ermittelt ist, gilt es, angemessene Abhilfemaßnahmen festzulegen. Da die technischen Maßnahmen vornehmlich von Microsoft selbst getroffen werden, bleiben für Unternehmen vor allem Maßnahmen organisatorischer Natur. Insbesondere über die Einstellungen, die Nutzer für Microsoft 365 vornehmen können, kann das Datenschutzniveau erhöht werden. Zudem können die Rechenzentren, in denen Microsoft die Daten speichert, vom Lizenznehmer ausgewählt werden. So kann sichergestellt werden, dass die Daten grundsätzlich in der EU verarbeitet werden, was zwar kein Allheilmittel darstellt, aber nach dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) zumindest risikomildernd zu berücksichtigen ist (siehe 3.). Zu beachten ist jedoch, dass ein Weg der Daten in die USA über Zugriffe externer Dienstleister oder von Microsoft USA nicht gänzlich auszuschließen ist.

Die folgenden Einstellungen können als Maßnahmen gegen das datenschutzrechtliche Risiko beim Einsatz von Microsoft 365 vorgenommen bzw. als Funktionen deaktiviert werden:

  • Die Verarbeitung der Diagnosedaten sollte minimiert werden. In den Einstellungen befindet sich dafür die Möglichkeit, bei der Verarbeitung von Diagnosedaten „weder noch“ anzugeben.
  • Die Synchronisation von Telemetriedaten sollte deaktiviert werden. Hier kann die Einstellung „Sicherheit“ vorgenommen werden.
  • Das Customer Experience Improvement Program (CEIP) von Microsoft ist eine Anwendung zur Verbesserung der Nutzerfreundlichkeit, die zu diesem Zweck automatisch Informationen über die Nutzung der Software und Softwarekomponenten sowie von Geräten übersendet. Dazu gehören zum Beispiel Art und Anzahl auftretender Fehler oder die Geschwindigkeit der Microsoft-Dienste. Laut Äußerungen von Microsoft handelt es sich hierbei nur um anonyme Daten, dennoch kann und sollte die Übermittlung deaktiviert werden.
  • Die Anwendung der Connected Experiences analysiert die Inhalte des Nutzers, um „Designempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Funktionen bereitzustellen“. Da es sich hier um eine Verarbeitung von Inhaltsdaten geht, sollte diese Anwendung ebenfalls deaktiviert werden. Dies wirkt sich jedoch nachteilig aus, indem manche Dienste wie 3D-Karten, die Einbettung von Online-Bildern und -Videos oder Übersetzer nicht mehr nutzbar sind.
  • Auch die LinkedIn-Integration von Mitarbeiterkonten sollte ausgestellt werden.
  • Workplace Analytics stellt Analysewerkzeuge für die Auswertung des Arbeitsverhaltens durch die Zusammenführung von Informationen aus E-Mail-Konten, Dokumenten und Kalendern wie die Dauer von Besprechungen, Anzahl von Terminen oder Intensität der E-Mail-Interaktion zur Verfügung. Diese sollten nicht verwendet werden.
  • Bei den activity reports, die Aufschluss darüber geben, welcher Mitarbeiter welche Dienste wie häufig nutzt, sollten die Nutzerdaten ausgeblendet werden.

Neben den Modifikationen an den Einstellungen von Microsoft selbst gibt es für Unternehmen einige weitere Abhilfemaßnahmen, die diese treffen können. Es ist z.B. wichtig, ein umfassendes Rollen- und Berechtigungskonzept zu erstellen, um die Daten nur den Personen zugänglich zu machen, die sie für ihre Aufgaben benötigen. Schließlich sollten auch die Mitarbeiter in den Blick genommen werden. Eine entsprechende Datenschutzrichtlinie zum Einsatz von Microsoft 365 sowie Schulungen zur Sensibilisierung in Bezug auf die Risiken sind weitere effektive Maßnahmen, die der Lizenznehmer treffen kann.

Exkurs: Das „Schrems II“-Urteil des Europäischen Gerichtshofs

Die Frage, ob und inwieweit Daten aufgrund der Nutzung von Microsoft 365 in die USA übermittelt werden, hat durch das „Schrems II“-Urteil des EuGH eine besondere Bedeutung erlangt. Früher war es möglich, solche Datentransfers auf die Rechtsgrundlage des sog. Privacy-Shield-Abkommens zu stützen. Sobald ein Unternehmen hier zertifiziert war, waren Datentransfers an dieses Unternehmen in die USA grundsätzlich problemlos möglich. Dies war auch bei Microsoft der Fall. Den Privacy Shield hat der EuGH nun aber für ungültig erklärt. Denn Datentransfers in Drittstaaten außerhalb von EU und EWR sind nur rechtskonform, wenn das Datenschutzniveau im Drittland angemessen und dem nach der DSGVO vergleichbar ist, was der EuGH für die USA trotz der Regelungen des Abkommens verneinte. Begründet wurde das vor allem mit weitreichenden Zugriffsrechten von US-Behörden auf Daten aufgrund nationaler Sicherheitsgesetze sowie mangelnder Rechtsschutzgarantien. Unternehmen müssen für Datentransfers in die USA daher nun auf sog. Standardvertragsklauseln (SCC) zurückgreifen. Diese stellt Microsoft als Bestandteil der Standardverträge zur Verfügung. Darüber hinaus muss jeweils für den eigenen Fall geprüft werden, wie das Datenschutzniveau in Bezug auf die konkreten Datenübermittlungen über Microsoft 365 zu bewerten ist. Ggf. müssen zusätzliche Maßnahmen geprüft und umgesetzt werden, um ein ausreichendes Datenschutzniveau gewährleisten zu können. Je nach Einzelfall können dazu beispielsweise zusätzliche Informationspflichten oder die Verpflichtung zur Ende-zu-Ende-Verschlüsselung. Da die Verträge grundsätzlich von Microsoft vorgegeben werden und individuelle Abreden nur für Großkunden möglich sind, ist die Auswahl bestimmter Rechenzentren als Speicherorte der Daten, die Verwender vornehmen können, eine wichtige Maßnahme. Für große Konzerne kann gegebenenfalls auch ein Enterprise Agreement mit individuellen Vereinbarungen möglich sein. Die Prüfung und Umsetzung der Maßnahmen müssen ebenfalls dokumentiert werden.

Fazit

Zurück zur Kritik der DSK: Die selbst innerhalb dieses Gremiums umstrittene Beurteilung unterscheidet nicht zwischen den verschiedenen Anwendungen von Microsoft 365 und bezieht sich darüber hinaus primär auf eine veraltete Version der Standardverträge von Microsoft, während die tatsächlichen und datenschutzrechtlich maßgeblichen Datenverarbeitungen nicht geprüft wurden. Aufgrund vieler Möglichkeiten, das Datenschutzniveau zu steigern, ist ein rechtskonformer Einsatz durchaus möglich. Eine DSFA mit konkreten Abhilfemaßnahmen dürfte allerdings in vielen Fällen dafür Voraussetzung sein. Mit dieser sollten sich Unternehmen in der Praxis frühzeitig beschäftigen, um keine Rechtsverletzungen und damit verbundene Bußgelder zu riskieren. Hier sollte mit einem gewissen Aufwand gerechnet werden, jedoch können mit der DSFA neben datenschutzrechtlichen auch organisatorische und andere Probleme erfasst, neu bewertet und behoben werden.

Gerne beraten wir Sie zu allen Fragen rund um die DSFA und helfen Ihnen mit unserer langjährigen Erfahrung zu einer professionellen, erfolgreichen und effizienten Umsetzung. So kann eine DSFA nicht nur zu einem höheren Datenschutzniveau, sondern auch zu verbesserten Prozessen und insgesamt zu einer besseren Compliance im Unternehmen führen.

Weitere Beiträge zum Thema DSFA

Kriterien & Anforderungen an die Datenschutz-Folgen­abschätzung
Die Datenschutz-Folgen­abschätzung: Ein Muss im Gesundheits­wesen?
Die neue Corona-Warn-App: Ergänzendes Instrument im Kampf gegen das Virus

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.