Microsoft 365 DSGVO-konform einsetzen – Umsetzbar oder Wunschdenken?
Microsoft und der Datenschutz – Befindet sich zwischen Datensammeln und der europäischen Gesetzeslage ein gangbarer Weg?
Update (24.08.2023):
Nach jetzigem Stand gilt die Nutzung von Microsoft Teams unter Berufung auf das Data Privacy Framework – das aktuelle Datenschutzabkommen zwischen der EU und den USA – als rechtssicher. Da der österreichische Jurist und Datenschutzaktivist Max Schrems bereits die Anfechtung des Abkommens angekündigt hat, kann sich die Rechtslage jedoch jederzeit wieder ändern.
Originaltext:
Im Jahr 2010 wurde Office 365 (heute Microsoft 365) von Microsoft als offizieller Nachfolger der Business Productivity Online Suite (BPOS) vorgestellt. Nach der Veröffentlichung 2011 ist die Suite mittlerweile mit fast 345 Millionen privaten und geschäftlichen Nutzern weltweit zum Industriestandard in Sachen Arbeits-Software gewachsen. Mal eben ein Word-Dokument erstellt, eine Excel-Tabelle geteilt oder eine PowerPoint-Präsentation designt – das alles ist mittlerweile gang und gäbe.
Verständlich, denn die Vorteile sind vielfältig. So sorgt die Synchronisierung der Dokumente für eine optimale Zusammenarbeit zwischen Kolleginnen und Kollegen. Änderungen können dabei in Echtzeit von überall aus vorgenommen werden. Auch Besprechungen über die neuesten Arbeitsergebnisse können über die Microsoft Teams-Anwendung einfach realisiert werden. Durch die starke Verbreitung der Microsoft 365 Suite ist zudem eine Kompatibilität mit anderen Unternehmen weltweit gewährleistet. Doch die Vorteile haben auch ihren Preis.
Seit am 24. Mai 2016 die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, müssen Unternehmen in der EU ganz genau hinschauen, welche Software genutzt wird. Denn so manche Anwendung macht in Sachen Datenschutz Kompromisse. Was zuvor noch in Ordnung schien, kann nun erhebliche Strafen nach sich ziehen. Erschwerend kommt hinzu, dass die Gesetzeslage in Sachen Datenschutz in weiten Teilen einen Interpretationsspielraum zulässt, welcher für Unternehmen, die versuchen, einen gangbaren Weg zu finden, teilweise zu einem Trial & Error führt. So stellt sich bei jeder neu genutzten Anwendung schnell die Frage: „Entsprechen wir damit den Richtlinien der DSGVO?“
Big Brother is watching you
Spätestens seit dem Gerichtsurteil des EuGH im Fall Schrems II ist klar geworden, dass der Privacy Shield, der eine sichere Datenübertragung zwischen der EU und den USA sicherstellen sollte, nicht ausreicht, um die Daten der EU-Bürgerinnen und -Bürger ausreichend zu schützen. Dies liegt an mehreren US-Gesetzen. Der Foreign Intelligence Surveillance Act (FISA) legitimiert die Überwachung von Nicht-US-Bürgern außerhalb der Vereinigten Staaten durch inländische Geheimdienste. Modifiziert wurde der FISA zusätzlich durch den Patriot Act und den Freedom Act. Letzterer hat zwar dafür gesorgt, dass US-amerikanische Behörden keinen direkten Zugriff mehr auf die Daten von Telekommunikationsunternehmen haben, allerdings sind die Unternehmen dadurch verpflichtet, sämtliche Daten zu speichern und auf Verlangen der US-Behörden herauszugeben. Der sogenannte CLOUD Act verpflichtet US-amerikanische Telekommunikationsunternehmen dazu, auch Daten herauszugeben, die außerhalb der Vereinigten Staaten gespeichert werden. Diese uneingeschränkte Datensammlung steht in direktem Konflikt zu der DSGVO.
Einige US-Unternehmen setzen auf Standardvertragsklauseln, in denen ein besserer Datenschutz garantiert wird. Allerdings sind diese Klauseln praktisch wirkungslos, da sie einfach durch die US-Gesetze ausgehebelt werden. Auch werben viele Firmen damit, ihre Server und Anwendungen innerhalb der EU zu hosten und somit einen vermeintlich besseren Datenschutz zu gewährleisten. Und tatsächlich gibt es auch einen Unterschied zum Hosting in den USA. Durch die Standortänderung findet keine unmittelbare Datenübertragung in ein Drittland mehr statt. Dementsprechend sind auch die Anforderungen an den Schutz und die Dokumentationspflicht geringer. Doch hier greift der CLOUD Act und untergräbt die DSGVO.
Auf diese kritische Datenschutzsituation hat Microsoft vor einigen Jahren reagiert und in Kooperation mit der Deutschen Telekom versucht, Rechenzentren in Magdeburg und Frankfurt am Main aufzubauen, die ausschließlich von der Deutschen Telekom betrieben werden und aus denen somit keine Daten ins Ausland abfließen können. Der hohe Datenschutzstandard in Deutschland erwies sich für Microsoft allerdings als zweischneidiges Schwert. Denn während die Daten sicher und geschützt auf deutschen Servern liefen, führten technische Probleme, wie Verzögerungen oder Abstürze aufgrund von sicherheitsrelevanten Mechanismen, die vergleichsweise höheren Preise sowie die daraus resultierende Kundenunzufriedenheit schlussendlich dazu, dass Microsoft das Projekt im Jahr 2021 offiziell eingestellt hat.
Welche Optionen bleiben also für deutsche Unternehmen? Wie kann Microsoft 365 trotz alledem datenschutzkonform eingesetzt werden? Ist das überhaupt möglich oder müssen Alternativen her?
Datenkrake Microsoft
Microsoft 365 sammelt personenbezogene und andere kritische Daten und sendet diese ungefragt an die Microsoft-Server, ohne dass dies für den Anwender auf den ersten Blick ersichtlich ist. Diese unerlaubte Weitergabe sorgt für einen Datenschutzbruch nach EU-Richtlinien und kann im schlimmsten Fall zu einem wirtschaftlichen Schaden von mehreren Millionen Euro für das Unternehmen führen sowie mit einem erheblichen Image-Verlust einhergehen.Allerdings gibt es die Möglichkeit, viele unerlaubte Datentransfers zu unterbinden und so das Risiko eines Datenschutzverstoßes zu minimieren. Doch dafür muss man erst einmal wissen, wie die Daten gesammelt und in die USA oder andere kritische Standorte gesendet werden.Es gilt zwischen verschiedenen Daten und der Art der Erhebung zu unterscheiden:
Funktionsdaten
Damit Microsoft 365 ordnungsgemäß funktioniert, werden Funktionsdaten gesammelt, die im Rahmen des Online Service Terms inklusive Auftragsdatenverarbeitungsvertrag verarbeitet werden. Die Daten werden direkt nach der Bereitstellung wieder gelöscht.
Inhaltsdaten
Auch die Inhalte, die mit der Microsoft 365-Suite erstellt werden, verarbeitet Microsoft, allerdings nur im Rahmen der Service-Bereitstellung. In den Online Service Teams ist zudem definiert, dass die Nutzung der Daten zu anderen Zwecken als der Bereitstellung untersagt ist.
Diagnosedaten
Schwieriger wird es bei den Diagnosedaten. Hierbei sammelt Microsoft Daten, die zu einer eindeutigen Identifizierung der Nutzer genutzt werden können. Auch die Dauer der Nutzung der Office-Anwendung sowie die Event-ID werden getrackt.
Verschiedenste Daten durch Connected Experiences
Die Connected Experiences bieten neben Funktionen, wie der Rechtschreibhilfe, bei denen Microsoft als Auftragsverarbeiter fungiert, weitere Features, die nicht unter den Auftragsverarbeitungsvertrag fallen. Diese gesammelten Daten werden von Microsoft unter anderem zu Zwecken des Marketings und zur Personalisierung genutzt. So stellen Features, wie 3D Maps, Smart Lookup und der Office Store, ein entsprechendes Datenrisiko dar und entsprechen nicht der sogenannten „Privacy by Default“, welche die DSGVO in Art. 25 Absatz 2 festlegt.Fest steht, dass am Ende viele Daten zu Microsoft wandern. Eine gute Strategie ist daher, alle Funktionen abzuschalten, die mit einem hohen Datentransfer verbunden sind, aber nicht zwingend benötigt werden. Bei den Connected Experiences gibt es zum Beispiel mittlerweile die Möglichkeit, einzelne Funktionen abzuschalten. Dadurch kann ein erheblicher Datenstrom nach außen gekappt werden.
Gibt es noch ein Leck?
Um zu überprüfen, welche Daten nach der Abschaltung aller nicht zwingend benötigten Features an externe Server weitergeleitet werden, ist es ratsam, eine entsprechende Analyse durchzuführen. Völlig vermeidbar ist die Weitergabe von Daten nach jetzigem Stand nämlich nicht. Nachdem das Ergebnis vorliegt, kann man mithilfe einer Datenschutzfolgenabschätzung entscheiden, inwieweit das noch bestehende Risiko für das eigene Unternehmen und die eigenen Mitarbeiter sowie Kunden vertretbar ist. Ein vertretbares Risiko kann zunächst erstmal die Weitergabe der IP-Adressen der Angestellten sein, da dadurch erst einmal kein realer Schaden entsteht. Auch die einzelnen Unternehmensprofile, die in Microsoft 365 erstellt werden, stellen zunächst kein hohes Risiko dar. Wichtig hierbei ist aber, dass alle Angestellten von der Weitergabe in Kenntnis gesetzt wurden und dem auch explizit (am besten schriftlich) zugestimmt haben.
Um mehr Sicherheit zu bieten, sollten die Daten, sofern möglich, verschlüsselt werden. Microsoft selbst bietet eine Verschlüsselung an, allerdings ist es ratsam, eine eigene Verschlüsselung zu nutzen, weil so erst einmal niemand anderes einen Zugriff auf die Daten hat – auch Microsoft nicht. Dabei kann die Verschlüsselung zum Beispiel einfach automatisiert über Unternehmensrichtlinien erfolgen.
Auch eine Datentrennung hilft dabei, das Risiko zu verringern. Es ist ratsam zu überlegen, welche Daten wirklich in der Microsoft-Cloud gespeichert werden müssen und welche nicht. Dinge, wie Gehaltsabrechnungen und persönliche Details über Mitarbeiterinnen und Mitarbeiter sollten besser lokal oder in einer deutschen bzw. europäischen Cloud gespeichert werden, um ein ausreichendes Datenschutz-Niveau zu erreichen.
Des Weiteren ist ein jährliches Re-zu empfehlen, da Microsoft die verschiedenen Applikationen immer wieder updatet und Funktionen hinzufügt und verändert.Was den CLOUD Act betrifft, kann man auch hier durchaus zu dem Schluss kommen, dass das Risiko gering ist, da die Geheimdienste zum einen nicht routinemäßig den Zugriff auf Daten anfordern und sie zudem einen richterlichen Beschluss benötigen.
Dokumentation für mehr Sicherheit
Jeder einzelne Schritt zu einem möglichst DSGVO-konformen Umgang mit Microsoft 365 muss dabei genaustens dokumentiert werden, um bei etwaigen Audits oder anderen Überprüfungen gewappnet zu sein. So kann die Diskussionsgrundlage von „Sie benutzen ja Microsoft 365, das ist ja gar nicht DSGVO-konform“ hin zu „Ja, wir nutzen Microsoft 365 und haben alle erforderlichen Maßnahmen getroffen, um das Risiko so gering wie möglich zu halten!“ verschoben werden.
Auch das niederländische Ministerium für Justiz und Sicherheit kam nach einer entsprechenden Datenschutzfolgenabschätzung eines externen Dienstleisters zu dem Schluss, dass die Verwendung von Office 365 ProPlus Version 1905 so eingesetzt werden kann, dass der Datenschutz eingehalten wird. Allerdings wurde auch festgestellt, dass die Web- und Mobile-Versionen nicht den Datenschutzkriterien entsprechen und daher nicht genutzt werden sollten.
Ist Microsoft 365 nach heutigem Stand DSGVO-konform einsetzbar?
Die Microsoft 365 Suite von Microsoft birgt hinsichtlich einer DSGVO-konformen Verwendung viele Tücken und Hindernisse. Allerdings besteht die Möglichkeit, viele davon durch Unterbindung und Deaktivierung von Funktionen zu umschiffen. Auch eine Verschlüsselung der Daten sowie eine aktive Datentrennung verschaffen mehr Sicherheit.
Im Rahmen einer Risikofolgenabschätzung bleibt es allerdings weiterhin eine Ermessensentscheidung, ob man die Software im Einsatz haben möchte oder nicht. Eine Behörde zum Beispiel speichert und verarbeitet in der Regel mehr personenbezogene Daten als ein mittelständisches Unternehmen.
Zudem gibt es immer noch Unstimmigkeiten bei der Auslegung der Gesetze. Denn auch, wenn ein privater Dienstleister im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit befindet, dass mit entsprechenden Einstellungen und Restriktionen Microsoft 365 DSGVO-konform betrieben werden kann, sieht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg die Sache schon wieder anders. Um hier für mehr Klarheit und Transparenz zu sorgen, muss der Gesetzgeber dringend nachbessern.
Doch vielleicht wird schon bald einiges einfacher: Am 3. Juni 2022 wurde in den USA ein Gesetzesentwurf vorgestellt, der den Datenschutz in dem Land um einiges verschärfen soll. Ob der vorgelegte Entwurf der DSGVO überhaupt gerecht werden kann, ist bislang noch nicht sicher. Einige Punkte sorgen momentan für Diskussionsstoff. Doch hinsichtlich der Bemühungen der EU und den USA, einen Datentransfer zu ermöglichen, besteht dennoch die Möglichkeit, dass in Zukunft einiges leichter werden könnte.
Dieser Fachartikel stellt keine Rechtsberatung dar. Wir übernehmen keine Haftung für etwaige Schäden.
Dr. Moritz Liebeknecht
IP Dynamics GmbH
Billstraße 103
D-20539 Hamburg