Vorsicht, Cloud? Microsoft 365 und DSGVO (Teil 2: Maßnahmen)
Wer bereits Teil 1 (Risiken) gelesen hat, kann den Abschnitt „Ausgangssituation“ überspringen.
Update – was sich seit dem letzten Beitrag geändert hat
Noch im Dezember hat Microsoft das „Microsoft Cloud Compendium“ veröffentlicht.
Das „Microsoft Cloud Compendium“ stellt eine Sammlung von Fragen und Antworten dar, welche in unregelmäßigen Abständen veröffentlicht wird.
Dieses Mal steht das Thema Cloud Compliance in der Enterprise Cloud im Mittelpunkt. Das Dokument kann hier direkt von Microsoft heruntergeladen werden. Hier sehen sie einen Überblick über die, aus unserer Sicht, wichtigsten Fragen, die beantwortet werden:
-
Auf welcher rechtlichen Grundlage verarbeitet Microsoft personenbezogene Daten in den Enterprise Cloud Services?
-
Was hat sich durch die EU-Datenschutz-Grundverordnung geändert?
-
Wo werden Daten in der Microsoft Enterprise Cloud gespeichert?
-
Welche Bedeutung hat das EU-U.S. Privacy Shield für den Einsatz der Microsoft Cloud Services?
-
Gibt Microsoft Kundendaten an US-Behörden heraus?
-
Wie geht Microsoft mit Verschlüsselung um?
Einen Teil der von ums im Beitrag vom 8.12.2020 genannten Risiken werden adressiert, andere hingegen bleiben weiter bestehen.
Ausgangssituation
Microsoft bietet mit dem Produkt MS365 die Möglichkeit, umfangreiche Funktionen, Produktfeatures und Tools in deren Cloud-Plattform zu nutzen. Die alternative Nutzung On-premise dagegen bietet aus Anwender- und Unternehmersicht eine Reihe an Nachteilen:
- einige Tools (z.B. MS Teams) sind nur als Cloud-Variante verfügbar
- viele Features sind ausschließlich in der Cloud-Variante nutzbar (z.B. Tasks, bestimmte Kalenderfunktionen)
- Das Lizenzmodell in der Cloud ist ein nutzerbasiertes Abo und kann dadurch eine bessere Kostenkontrolle ermöglichen
- Wesentliche Sicherheitsmaßnahmen wie z.B. das Einspielen von Security-Patches und Bugfixes erfolgt für Cloud-Anwender unterbrechungsfrei
Die Nutzung Cloud-basierter Dienste eröffnet auf der anderen Seite jedoch Risiken. Die folgende Evaluation fokussiert sich auf die Risiken, die durch Nutzung einer Cloud-basierten Variante für personenbezogene Informationen entstehen.
Betroffene Personengruppen:
- Mitarbeiter (als Anwender der Organisation und vor dem Hintergrund der erlaubten privaten Nutzung)
- Geschäftspartner (z.B. in E-Mails, Dokumenten)
Betroffene Daten:
- Name
- E-Mail-Adresse
- Profildaten
- Anrufverlauf
- Daten zur Anrufqualität
- Diagnose- und Dienstdaten
Maßnahmen zur datenschutzkonformen Nutzung von MS365
Um einige der im nachfolgenden stehenden Einstellungen umzusetzen, ist es notwendig MS365 und Windows 10 auf die neuesten Versionen upzudaten. Zusätzlich ist festzustellen, dass einige der Windows 10 Einstellungen nur für Windows 10 Enterprise oder Education möglich sind, nicht aber für Windows 10 Professional oder Home.
Einstellung |
Verlust von Funktionen |
Zusätzliche Informationen |
Wirksamkeit* |
Connected Experience/Services deaktivieren |
Übersetzer, Raumsuche und weitere Funktionen |
Daten im großen Umfang werden nicht mehr übermittelt. |
Vollständig |
Senden der Diagnosedaten verhindern |
– |
Diagnosedaten werden nicht mehr übermittelt. In den Einstellungen die Option „weder noch“ wählen. |
Teilweise |
Telemetrie-Niveau von MS365 + Windows 10 abschalten |
– |
Weniger Telemetriedaten werden übermittelt. Über Gruppenrichtlinien oder als Registry-Eintrag. Für MS365 „weder noch“ für Win10 „Security“ wählen. |
Reduzierte Telemetrie-Aktivität |
Deaktivierung von Telemetrie-Daten und ETW-Sessions |
Automatische Updates sind nicht mehr möglich.
|
Deaktivierung der Komponenten Windows-Update und Cloud.based-Protection (Windows-Defender). |
Vollständig |
Sendungen der Daten für das Costumer Experience Improvement Programm einstellen |
– |
Einstellung über Gruppenrichtlinien oder als Registry-Eintrag möglich. |
Vollständig |
LinkedIn-Integration deaktivieren |
LinkedIn Information nicht mehr sichtbar.
|
Einstellung in Deutschland im Regelfall als Standard deaktiviert, dennoch prüfen. |
Vollständig |
Costumer Lockbox/ Costumer Key verwenden |
– |
Eventuell extra Kosten. Vor allem bei sensiblen Daten ist Nutzung sinnvoll. |
Vollständig |
Möglichst keine Office-Online und mobile Office-Lösungen verwenden |
Nutzung von webbasierten und mobilen Anwendungen nicht mehr möglich. |
Technische und interne Richtlinien sollten die Nutzung unterbinden. niederländischen Behörden ist eine datenschutzkonforme Nutzung dieser Lösungen nicht möglich. |
Vollständig |
*Wirksamkeit in Bezug auf das einzelne, zugrunde liegende Risiko
Weitere Maßnahmen sind möglich. Diese können die Funktionalität weiter einschränken oder sie zeigen weniger Wirksamkeit.
Eine weiter Datenschutzfolgeabschätzung ist nur dann notwendig, wenn die Workplace Analytics oder Activity Reports genutzt werden sollen.
Solange alle Einstellungen so umgesetzt werden, ist eine datenschutzkonforme Nutzung theoretisch möglich. Leider fallen so einige Funktionen weg.
Falls bereits kritische Produkte benutzt werden, muss man abwägen, ob die weitere Nutzung sinnvoll ist oder ob eine Abschaltung der Funktionen nicht besser ist.
Interessenabwägung
Der Artikel 6 Absatz 1 Buchstabe f DSGVO besagt: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Ein Interesse an der Verarbeitung ist somit keine ausreichende Grundlage zur Verarbeitung.
Es müssen noch andere Anforderungen erfüllt sein. Man kann sich auch eine Einwilligung jedes Betroffenen einholen oder anhand der im Folgenden, aufgelisteten Fragen entscheiden, ob eine Verarbeitung durchgeführt werden darf.
Welche Interessen hat der Verantwortliche und sind diese berechtigt?
-
Einige Tools (z.B. MS Teams) sind nur als Cloudvariante verfügbar
-
Viele Features sind ausschließlich in der Cloudvariante nutzbar (z.B. Tasks, bestimmte Kalenderfunktionen)
-
Das Lizenzmodell in der Cloud ist ein nutzerbasiertes Abo und kann dadurch eine bessere Kostenkontrolle ermöglichen (wirtschaftliche Aspekte)
-
Wesentliche Sicherheitsmaßnahmen wie z.B. das Einspielen von Securitypatches und Bugfixes erfolgt für Anwender unterbrechungsfrei
Ist die Verarbeitung der Daten erforderlich, um dieses Interesse zu wahren?
- Ja, verschiedene Funktionen sind nicht verfügbar ohne MS 365
Welche Relevanz haben die Interessen des Verantwortlichen?
-
Abbildung von Prozessen und Bereitstellung einer Plattform zur Onlinekollaboration
-
Umsetzung des Geschäftsbetriebs
Welche Interessen, Grundrechte und Grundfreiheiten hat der Mitarbeiter/Geschäftspartner?
-
Rechte gem. DSGVO (Abs. 12-23): Transparenz, Auskunftsrechte, Berichtigung und Löschung, Widerspruch, etc.
-
Interesse an der Sicherheit der eigenen Daten.
Welches Interesse überwiegt?
Es handelt sich um keine besonders schutzwürdigen Daten (lediglich die geschäftlichen Informationen wie Adresse und die E-Mail-Adresse sollen genutzt werden).
Dokumentation der Entscheidungsfindung
Die Interessen des Verantwortlichen überwiegen, die Verarbeitung ist also nicht unverhältnismäßig und ein Einsatz von Microsoft365 somit möglich.
Zusammenfassung
Auf einen Nenner gebracht: Microsoft356 bringt einige bekannte Risiken mit sich. Wichtig ist dabei auch festzuhalten, dass trotz der Vorsichtsmaßnahmen und den vorgenommenen Einstellungen das Risiko beim Microsoft-Kunden liegt. Er ist dafür verantwortlich, wenn der Auftragsverarbeitungsvertrag nicht den gesetzlichen Anforderungen genügt.
Nach aktueller Einschätzung gibt es daher zwei mögliche Wege für Organisationen Microsoft365 einzuführen:
-
Einwilligung: Solange alle betroffenen Personen der Verarbeitung zustimmen ist eine Nutzung immer möglich.
-
Risikoabwägung wie hier vorgelegt und Berufung auf Art. 6.1 f DSGVO:
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Die Nutzung von Microsoft365 ist berechtigtes unternehmerisches Interesse, um wettbewerbsfähig, wirtschaftlich und modern zu agieren. Zugleich sind die Grundfreiheiten und Grundrechte betroffener Personen (in diesem Falle Mitarbeiter) unter Beachtung der oben beschriebenen Maßnahmen als „nicht überwiegend“ einzuschätzen.