Die Datenschutz-Folgen­abschätzung (DSFA) am Beispiel von Microsoft 365

Warum ist eine Datenschutz-Folgenabschätzung (DSFA) bei Microsoft 365 so wichtig?

Die DSFA gehört zum festen Bestandteil des datenschutzrechtlichen Pflichtprogramms. Sie dient dazu, besonders risikobehaftete Verarbeitungsvorgänge zu erkennen, zu bewerten und die Risiken schließlich effektiv im Vorfeld zu senken.

Mit Blick auf Microsoft 365 (M365, MS 365) gerät die DSFA auch deshalb in den Fokus, da kritische Stimmen der Cloud-Softwaresammlung mit ihren vielen Anwendungen von Word, Excel oder Outlook über OneDrive bis hin zum Videokonferenz-Tool Teams ein Datenschutzrisiko bescheinigen (wie etwa die Stellungnahme der Datenschutzkonferenz (DSK)).

Diese datenschutzrechtlichen Bedenken und Risiken bestehen im Kern auch noch im Jahr 2025. Microsoft hat zwar an vielen Stellen bereits nachgebessert – etwa durch einen neuen "Datenschutznachtrag", der Bedenken an den Verträgen teilweise ausräumt und durch die sogenannte EU-Datengrenze ("EU Data Boundary"), ein Microsoft-eigenes Programm, durch das für EU-Kunden eine überwiegende Verarbeitung in der EU gewährleistet wird. Gleichwohl müssen die datenschutzrechtlich verantwortlichen Kunden ihre rechtlichen "Hausaufgaben" machen, um Microsoft 365 rechtskonform einzusetzen und dabei kann die DSFA entscheidend helfen.

Copilot für M365

Hinzu kommen in Hinblick auf M365 auch noch neue Fragen zum Einsatz von Künstlicher Intelligenz. Denn die verschiedenen Dienste und Funktionen von Microsoft 365 werden regelmäßig geupdatet und erweitert. Eine wesentliche Neuerung nimmt dabei der Microsoft Copilot ein, der verschiedene Microsoft-Anwendungen durch einen KI-Chat erweitern soll, so insbesondere die Office-Anwendungen und Microsoft Teams.

Hierbei ergeben sich insbesondere Herausforderungen in Hinblick auf die Zugriffsberechtigungen, Aufzeichnungen und Auswertungen bei Teams-Meetings als auch zur Verknüpfung mit Drittanbieterdiensten, wie wir in einem separaten Blogbeitrag ausführlich darstellen.

Microsoft 365 an Schulen

Besonderes Gewicht hat unter anderem auch eine negative datenschutzrechtliche Bewertung des Einsatzes von Microsoft 365 an Schulen im Jahresbericht 2023 der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Microsoft verarbeitet personenbezogene Daten nicht nur im Rahmen des erteilten Auftrags für die verantwortliche Stelle, also die jeweiligen Schulen, sondern darüber hinaus auch für eigene Zwecke.

Nach teilweise von den Datenschutzaufsichtsbehörden vertretener Auffassung könne MS 365 deshalb derzeit nicht datenschutzkonform in Schulen eingesetzt werden. Problematisch ist insbesondere, ob es eine zureichende Rechtsgrundlage gibt.  Inwieweit die Kritik berechtigt und Microsoft 365 dennoch datenschutzkonform einsetzbar ist, soll im Folgenden erläutert werden.

Zur Erforderlichkeit einer DSFA bei MS365

Eine DSFA muss nicht vor allen Datenverarbeitungsvorgängen durchgeführt werden, sondern nach Art. 35 Abs. 1 DSGVO nur dann, wenn diese, „insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben.

Hier können nicht nur Risiken unmittelbar für personenbezogene Daten (Offenlegung, Kontrollverlust, Überwachung), sondern auch wirtschaftlicher wie gesellschaftlicher Schäden (z. B. Betrug oder Diskriminierung) eine Rolle spielen.

Der konkrete Umfang der Datenverarbeitung hängt jedoch von den genutzten Modulen, abgeschlossenen Lizenzvereinbarungen, vorgenommen Einstellungen und zahlreichen weiteren Variablen an. Beim Einsatz von Microsoft 365 besteht also keine automatische Pflicht zur Durchführung einer DSFA, sondern eine solche muss für den jeweiligen Einzelfall vorab geprüft werden. Um zu bestimmen, ob eine DSFA erforderlich ist, empfiehlt sich ein Vorgehen in drei Schritten:

1. Positivliste der Behörden: Auf der sog. Positivliste der Datenschutzkonferenz (DSK) sind verbindlich Verarbeitungstätigkeiten aufgezählt, für welche eine DSFA obligatorisch ist. Zu den Fällen der Positivliste zählen beispielsweise die Verarbeitung von Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen, biometrischer und genetischer Daten, die Verarbeitung unter dem Einsatz künstlicher Intelligenz oder von Algorithmen sowie die Zusammenführung großer Datenmengen.
2. Gesetzliche Notwendigkeit: Daneben zählt Art. 35 Abs. 3 DSGVO noch einmal Regelbeispiele wie Profiling, die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche auf, für die zwingend eine DSFA durchzuführen ist.
3. Schwellwertanalyse: Ist weder nach dem Gesetz noch nach der Positivliste der Behörden die beabsichtigte Datenverarbeitung obligatorisch, muss anhand von einer Liste von Kriterien (S. 10 ff.), die von der Artikel-29-Datenschutzgruppe veröffentlicht und vom Europäischen Datenschutzausschuss genehmigt wurde, eine sog. Schwellwertanalyse durchgeführt werden. Zu den Kriterien gehören beispielsweise die systematische Überwachung, das Bewerten natürlicher Personen etwa mit Profilbildungen, die Verarbeitung höchstpersönlicher Daten oder die Nutzung neuer technologischer Lösungen wie Fingerabdruck- und Gesichtserkennung. Bei mindestens zwei erfüllten Kriterien sollte eine DSFA durchgeführt werden.
4. Allgemeine Notwendigkeitsprüfung: Wenn die Schwellwertanalyse negativ ausfällt, sollte die Erforderlichkeit der DSFA anhand der allgemeinen Kriterien des Art. 35 Abs. 1 DSGVO überprüft werden.

Der Einsatz von Microsoft 365 an sich fällt nicht eindeutig unter die Fallgruppen der Positivliste der DSK. In der Regel ergibt aber die Schwellwertanalyse, dass für den Einsatz von Microsoft 365 in Unternehmen eine DSFA durchzuführen ist. Bei der Verwendung von Outlook oder Teams etwa kommt es schnell zu Datenverarbeitungen in einem großen Umfang (Kriterium 5 aus der Schwellwertanalyse), und zwar der Daten von Beschäftigten, externen Partnern und Gästen.

In Microsoft 365 werden Kontaktdaten wie E-Mail-Adressen, Nutzungsdaten wie Metadaten über die Erstellung und Änderungen an Dateien, aber auch Inhaltsdaten wie Dokumente und Dateien in erheblichem Umfang und über einen langen Zeitraum verarbeitet. Zudem sehen die Aufsichtsbehörden Beschäftigte als besonders schutzwürdige betroffene Personen (Kriterium 7 aus der Schwellwertanalyse) an, da sie in einem besonderen Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen. Bereits wegen dieser beiden Aspekte ist beim Einsatz von Microsoft 365 regelmäßig eine DSFA erforderlich.

Kommt darüber hinaus Copilot für M365 zum Einsatz, wird in der Regel zudem noch das Kriterium "innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen" einschlägig sein, was ebenfalls ein Kriterium für die Durchführung einer DSFA im Rahmen der Schwellwertanalyse darstellt.

Gleichwohl sollte die Vorabprüfung, ob eine DSFA erforderlich ist, anhand der konkret geplanten Nutzung im Einzelfall erfolgen und umfassend dokumentiert werden. Durch die Schwellwertanalyse kann auch schon der Fokus der DSFA festgestellt werden: Ist sie gerade aufgrund des Umfangs der Daten und der Verarbeitung von Beschäftigtendaten erforderlich, sollten darauf Schwerpunkte gelegt werden.

Die Methodik einer Datenschutz-Folgenabschätzung

Die Methodik einer DSFA lässt sich Art. 35 Abs. 2 und 7 DSGVO entnehmen, woraus sich vier Pflichtbestandteile ableiten lassen: Nach einer systematischen Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke sowie einer Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit folgt als zentraler Bestandteil die Risikoanalyse. Da die DSGVO selbst keine genauen Vorgaben zur Methodik macht, kann sich die Risikoanalyse z.B. am sog. Standarddatenschutzmodell der DSK oder vergleichbaren Methoden anlehnen. Demnach lässt sich mit Hilfe von acht Gewährleistungszielen aus dem Bereich der Informationssicherheit und des Datenschutzes ermitteln, wie groß die Eintrittswahrscheinlichkeit von Schäden und ihre voraussichtliche Höhe ist: Je weitergehend diese Ziele erfüllt sind, desto geringer ist das Risiko einzustufen:

• Vertraulichkeit: Datenzugriff nur durch befugte Personen
• Datenverfügbarkeit
• Belastbarkeit der technischen Systeme
• Integrität: Keine unzulässige Veränderung der Daten
• Transparenz: Nachvollziehbarkeit, wer welche Daten zu welchem Zweck verarbeitet, umfassende Information von Betroffenen
• Datenminimierung: Datenverarbeitung nur, soweit für die ursprünglich intendierten Zwecke erforderlich
• Intervenierbarkeit: Gewährleistung der Betroffenenrechte
• Nichtverkettung: Keine unzulässige Verknüpfung mit anderen Daten und keine Verwendung für andere Zwecke

Wichtig ist, die Analyse nach der Methodik der DSK zunächst ohne die Einbeziehung etwaiger Abhilfemaßnahmen vorzunehmen, die erst auf dieser Grundlage anhand der Eintrittswahrscheinlichkeit und Schwere des potentiellen Risikos ermittelt werden. Anschließend erfolgt eine Bewertung des Restrisikos unter Berücksichtigung der getroffenen bzw. geplanten technischen und organisatorischen Maßnahmen, um die Risiken zu reduzieren. Verbleibt ein hohes Restrisiko und sollen die Datenverarbeitungen dennoch durchgeführt werden, muss die Datenschutzbehörde konsultiert werden.

Die DSFA für Microsoft 365

In welchem Umfang Microsoft 365 genutzt wird, hängt vom jeweiligen Einzelfall ab. Die Bewertung im Rahmen des DSFA ändert sich durch unterschiedliche Faktoren wie die Anzahl der Beschäftigten, welche die Software nutzen, oder die eingesetzten Module und verfolgten Verarbeitungszwecke. Das sollte immer berücksichtigt werden. Software wie „Power BI“ gehört auch zu MS 365, kann aber völlig anderen Zwecken dienen, als die klassische Office-Suite aus Word, Excel und PowerPoint.

Welche Daten werden zu welchen Zwecken verarbeitet?

An erster Stelle ist zu dokumentieren, welche Daten verarbeitet werden. Dazu sollte festgehalten werden, welche Tools von Microsoft 365 im Einsatz sind und welche Personen diese nutzen bzw. darauf Zugriff haben. Bei Microsoft 365 werden Daten ganz unterschiedlicher Art verarbeitet.

Dazu können Inhalts- und Kundendaten (z. B. Text-, Chat-, Ton-, Video- und Bilddateien) genauso zählen wie Nutzungsdaten (z.B. Telemetrie‑, Diagnose- und Metadaten), etwa Informationen über die Nutzung der Software oder die Erstellungszeitpunkte von Dateien usw. Ebenso können temporäre Funktionsdaten erhoben werden, die insbesondere für die über das Internet laufenden Dienste wie zur Anmeldung verwendet werden. Entsprechend muss auch bei den Zwecken dieser Datenverarbeitungen differenziert werden.

Die Diagnosedaten beispielsweise könnten erhoben werden, um den nötigen Support durch Maßnahmen wie Fehlerbehebung gewährleisten zu können. Bei OneDrive werden Daten erhoben, um sie in der Cloud mit denen auf dem PC zu synchronisieren, Teams hingegen bietet eine Chatfunktion und dient der audiovisuellen Kommunikation unterschiedlicher Personen. Als übergeordneter und gemeinsamer Zweck der Komponenten von Microsoft 365 wird häufig die (Zusammen-)Arbeit und Kommunikation der Beschäftigten, Kunden, Partner und Dienstleister des jeweiligen Unternehmens über eine Plattform anzusehen sein. Die Zweckbeschreibung sollte jedoch abhängig von der konkret geplanten Nutzung weiter konkretisiert werden.

Die Risikoanalyse und Abhilfemaßnahmen

Nachdem das Risiko, wie unter III. beschrieben, nach Kriterien wie der Anzahl der beteiligten Personen oder der Art der verarbeiteten Daten vor dem Hintergrund der Gewährleistungsziele ermittelt wurde, gilt es, angemessene Abhilfemaßnahmen festzulegen. Da die technischen Maßnahmen vornehmlich von Microsoft selbst getroffen werden, bleiben für Unternehmen vor allem Maßnahmen organisatorischer Natur. Insbesondere über die Einstellungen von Microsoft 365 kann das Datenschutzniveau erhöht werden.

Zudem können die Rechenzentren, in denen Microsoft die Daten speichert, vom Lizenznehmer ausgewählt werden. So kann ermöglicht werden, dass die Daten grundsätzlich in der EU verarbeitet werden. Zu beachten ist jedoch, dass ein Weg der Daten in die USA über Zugriffe externer Dienstleister oder von Microsoft Corporation in den USA nicht gänzlich ausgeschlossen ist.

Auch nachdem ab 2023 die sog. EU-Datengrenze eingeführt worden ist, verbleibt eine geringe Anzahl von Anwendungsfällen mit Drittstaatenbezug, weil auch unter der EU-Datengrenze wenige Ausnahmefälle für die Übermittlung in die USA existieren oder bestimmte Dienste von der EU-Datengrenze ausgenommen sind. Allerdings gilt seit 2023 der Angemessenheitsbeschluss für die Übermittlung von Daten in die USA, weil Microsoft Corporation nach dem EU-US Data Privacy Framework zertifiziert ist.

Die folgenden Einstellungen können beispielsweise als Maßnahmen gegen das datenschutzrechtliche Risiko beim Einsatz von Microsoft 365 vorgenommen bzw. als Funktionen deaktiviert werden:

• Die Verarbeitung der Diagnosedaten sollte minimiert werden. In den Einstellungen befindet sich dafür die Möglichkeit, bei der Verarbeitung von Diagnosedaten „weder noch“ anzugeben.
• Die Synchronisation von Telemetriedaten sollte deaktiviert werden. Hier kann die Einstellung „Sicherheit“ vorgenommen werden.
• Das Customer Experience Improvement Program (CEIP) von Microsoft ist eine Anwendung zur Verbesserung der Nutzerfreundlichkeit, die zu diesem Zweck automatisch Informationen über die Nutzung der Software und Softwarekomponenten sowie von Geräten übersendet. Dazu gehören zum Beispiel Art und Anzahl auftretender Fehler oder die Geschwindigkeit der Microsoft-Dienste. Laut Äußerungen von Microsoft handelt es sich hierbei nur um anonyme Daten, dennoch kann und sollte die Übermittlung deaktiviert werden.
• Die Connected Experiences ("Verbundene Erfahrungen") analysieren Inhalte der Nutzerinnen und Nutzer, etwa um „Designempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Funktionen bereitzustellen“. Da es sich hier um eine Verarbeitung von Inhaltsdaten geht, sollte diese Anwendung ohne vorherige Prüfung und Abwägung grundsätzlich ebenfalls deaktiviert werden. Dies kann sich jedoch unter Umständen nachteilig auswirken, indem manche Dienste wie 3D-Karten, die Einbettung von Online-Bildern und -Videos oder Übersetzer nicht mehr nutzbar sind.
• Auch die LinkedIn-Integration von Beschäftigtenkonten sollte ausgestellt werden.
• Viva Insights stellt Analysewerkzeuge für die Auswertung des Arbeitsverhaltens durch die Zusammenführung von Informationen aus E-Mail-Konten, Dokumenten und Kalendern wie die Dauer von Besprechungen, Anzahl von Terminen oder Intensität der E-Mail-Interaktion zur Verfügung. Diese sollten grundsätzlich nicht verwendet werden, da sie zu einer Verhaltens- und Leistungskontrolle führen könnten.
• Bei den Activity Reports, die Aufschluss darüber geben, welche Beschäftigten welche Dienste wie häufig nutzen, sollten die Namen der Nutzerinnen und Nutzer ausgeblendet werden.

Neben den Modifikationen an den Einstellungen von Microsoft selbst gibt es für Unternehmen einige weitere Abhilfemaßnahmen, die diese treffen können. Es ist z.B. wichtig, ein umfassendes Rollen- und Berechtigungskonzept zu erstellen, um die Daten nur den Personen zugänglich zu machen, die sie für ihre Aufgaben benötigen.

Darüber hinaus sollte auch die Aufbewahrung und Löschung der Daten geprüft und geregelt werden, etwa durch Aufbewahrungsbezeichner und -richtlinien. Auch Maßnahmen zur Erhöhung der IT-Sicherheit sind relevant, insbesondere zur Verschlüsselung, zur Multi-Faktor-Authentifizierung oder zur Verwaltung von Geräten etwa mittels Intune.

Schließlich sollten auch die Beschäftigten in den Blick genommen werden. Entsprechende Datenschutzhinweise und -richtlinien zum Einsatz von Microsoft 365 sowie Schulungen zur Sensibilisierung in Bezug auf die Risiken sind weitere effektive Maßnahmen, die der Lizenznehmer treffen kann. Darüber hinaus sind in Bezug auf den Einsatz von KI auch zusätzliche Richtlinien zur Verwendung der Künstlichen Intelligenz mit Copilot empfehlenswert.

Fazit zur DSFA bei M365

Zurück zur Kritik der DSK: Die Beurteilung unterscheidet nicht zwischen den verschiedenen Anwendungen von Microsoft 365 und bezieht sich darüber hinaus primär auf eine veraltete Version der Standardverträge von Microsoft, während die tatsächlichen und datenschutzrechtlich maßgeblichen Datenverarbeitungen nicht geprüft wurden. Aufgrund vieler Möglichkeiten, das Datenschutzniveau zu steigern, ist ein rechtskonformer Einsatz durchaus möglich.

Eine DSFA mit konkreten Abhilfemaßnahmen dürfte allerdings in vielen Fällen dafür Voraussetzung sein. Mit dieser sollten sich Unternehmen in der Praxis frühzeitig beschäftigen, um keine Rechtsverletzungen und damit verbundene Bußgelder zu riskieren. Hier sollte mit einem gewissen Aufwand gerechnet werden, jedoch können mit der DSFA neben datenschutzrechtlichen auch organisatorische und andere Probleme erfasst, neu bewertet und behoben werden.

Gerne beraten wir Sie zu allen Fragen rund um die DSFA und helfen Ihnen mit unserer langjährigen Erfahrung zu einer professionellen, erfolgreichen und effizienten Umsetzung. So kann eine DSFA nicht nur zu einem höheren Datenschutzniveau, sondern auch zu verbesserten Prozessen und insgesamt zu einer besseren Compliance im Unternehmen führen.