Office 365 Datenschutz

Office 365 – Nun sag, wie hast du‘s mit dem Datenschutz?

Wenn es um die Lizensierung der Microsoft Office Desktop Anwendungen geht, ist für viele Unternehmen Office 365 mittlerweile nahezu ohne Alternative. Auch die in vielen Paketen enthaltenen Cloud-Dienste wie z. B. OneDrive, Teams, SharePoint, Exchange oder Skype for Business halten zunehmend Einzug in das Anwendungsportfolio der Unternehmen.

Mit Blick auf die Verpflichtung aller Organisationen, auch die eigenen Dienstleister wirksam zu kontrollieren, die mit personenbezogenen Daten in Berührung kommen, stellen sich hier weitreichende Fragen.

So stand die niederländische Datenschutzaufsichtsbehörde vor der Aufgabe, im Rahmen von Vertragsverhandlungen der Regierung mit Microsoft für die nationalen Behörden zu bewerten, in wieweit die Office 365 Dienste und Anwendungen mit dem geltenden EU-Recht (DSGVO) in Übereinstimmung zu bringen sind.

Der daraus entstandene umfassende Bericht vom 05.11.2018 wurde veröffentlicht und identifiziert zahlreiche Risiken, die neben dem öffentlichen Sektor auch für Unternehmen, Verbände und andere Organisationen zum Problem werden können.

Es wird beispielsweise herausgestellt, dass die Erfassung von Telemetriedaten weit über das Maß hinausgeht, das bereits bei Windows 10 (siehe BSI-Bericht) heftige Kritik unter Datenschützern ausgelöst hat.

Im Wesentlichen werden folgende Risiken genannt:

  • Mangelnde Transparenz hinsichtlich Art, Nutzung und Speicherdauer der erfassten Daten
  • Fehlende Möglichkeiten der Kunden, die Sammlung von Diagnosedaten einzuschränken oder abzustellen, bzw. die Löschung anzuweisen
  • Die Übertragung sensibler Metadaten, wie z. B. E-Mail-Betreffzeilen
  • Die nicht vorhandene Zweckbindung bei der Nutzung der gesammelten Daten
  • Die praktizierte Übertragung der Daten in Drittstaaten

 

Die Autoren des Berichts gehen davon aus, dass in der rechtlichen Konsequenz Microsoft nicht mehr nur in der Rolle des Auftragsverarbeiters zu sehen ist, sondern gemeinsam mit dem Kunden zum Verantwortlichen gem. Art. 26 DSGVO wird. Auf Grund der damit verbundenen rechtlichen Risiken sieht sich Microsoft selbst gewiss nicht in dieser Rolle.

Der Bericht liefert auch Hinweise auf verschiedene Maßnahmen, die zur Risikominimierung ergriffen werden können:

  • Die sog. Connected Services sollten nicht genutzt werden, wenn sie nicht unbedingt benötigt werden.
  • Deaktivierung der Option zum Versand personenbezogener Daten zur „Verbesserung von Office“
  • Verzicht auf SharePoint und OneDrive aus der Office 365-Cloud
  • Verzicht auf die Nutzung der Office Web Apps
  • Besonders sensible User-Accounts sollten regelmäßig gelöscht und neu erstellt werden, in der Hoffnung, dass Microsoft die damit verbundenen Diagnosedaten löscht.
  • In sensiblen Bereichen sollten klassische Office-Versionen (ohne Microsoft-Account) genutzt werden.
  • Der Einsatz alternativer Software, sollte bei entsprechendem Nachweis der Konformität erwogen werden.

Darüberhinaus besteht die Möglichkeit, Anwendungen wie Hosted Exchange oder Hosted SharePoint von unabhängigen Hosting-Anbietern (wie dem Betreiber dieses Blogs) zu beziehen, die die Anforderungen an Auftragsverarbeiter in jedem Falle erfüllen.

Im Februar 2019 hat sich Microsoft zu der Thematik geäußert und vertritt nach wie vor die Position, dass die eigenen Dienste mit den Anforderungen der DSGVO übereinstimmen.

So bleibt nur zu hoffen, dass Microsoft an wesentlichen Punkten Änderungen vollzieht, damit die anfängliche Frage aus Goethes Faust („Nun sag, wie hast du’s mit der Religion?“) bezogen auf den Datenschutz nicht gleichlautend der Tragödie beantwortet werden muss: „Allein ich glaub, du hältst nicht viel davon.“.

 

Quellen:

https://www.activemind.de/magazin/datenschutz-ms-office

https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office/DPIA+Microsoft+Office+2016+and+365+-+20191105.pdf

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Analyse_Telemetriekomponente.pdf;jsessionid=B8CEC1C82D62B17DDABC543BE61C5251.2_cid360?__blob=publicationFile&v=4