Vorsicht, Cloud? Microsoft 365 und DSGVO (Teil 2: Maßnahmen)

Microsoft verspricht viele Vorzüge beim Betrieb von Microsoft 365 (MS365), ehemals  Office 365, auf deren Cloud-Plattform. Beim Thema Datenschutz schauen wir etwas genauer hin. In diesem abschließenden zweiten Teil sprechen wir über mögliche Maßnahmen und deren Auswirkungen.

Wer bereits Teil 1 (Risiken) gelesen hat, kann den Abschnitt „Ausgangssituation“ überspringen.

Update – was sich seit dem letzten Beitrag geändert hat

Noch im Dezember hat Microsoft das „Microsoft Cloud Compendium“ veröffentlicht.
Das „Microsoft Cloud Compendium“ stellt eine Sammlung von Fragen und Antworten dar, welche in unregelmäßigen Abständen veröffentlicht wird.
Dieses Mal steht das Thema Cloud Compliance in der Enterprise Cloud im Mittelpunkt. Das Dokument kann hier direkt von Microsoft heruntergeladen werden. Hier sehen sie einen Überblick über die, aus unserer Sicht, wichtigsten Fragen, die beantwortet werden:

  • Auf welcher rechtlichen Grundlage verarbeitet Microsoft personenbezogene Daten in den Enterprise Cloud Services?

  • Was hat sich durch die EU-Datenschutz-Grundverordnung geändert?

  • Wo werden Daten in der Microsoft Enterprise Cloud gespeichert?

  • Welche Bedeutung hat das EU-U.S. Privacy Shield für den Einsatz der Microsoft Cloud Services?

  • Gibt Microsoft Kundendaten an US-Behörden heraus?

  • Wie geht Microsoft mit Verschlüsselung um?

Einen Teil der von ums im Beitrag vom 8.12.2020 genannten Risiken werden adressiert, andere hingegen bleiben weiter bestehen.

Ausgangssituation

Microsoft bietet mit dem Produkt MS365 die Möglichkeit, umfangreiche Funktionen, Produktfeatures und Tools in deren Cloud-Plattform zu nutzen. Die alternative Nutzung On-premise dagegen bietet aus Anwender- und Unternehmersicht eine Reihe an Nachteilen:

  • einige Tools (z.B. MS Teams) sind nur als Cloud-Variante verfügbar
  • viele Features sind ausschließlich in der Cloud-Variante nutzbar (z.B. Tasks, bestimmte Kalenderfunktionen)
  • Das Lizenzmodell in der Cloud ist ein nutzerbasiertes Abo und kann dadurch eine bessere Kostenkontrolle ermöglichen
  • Wesentliche Sicherheitsmaßnahmen wie z.B. das Einspielen von Security-Patches und Bugfixes erfolgt für Cloud-Anwender unterbrechungsfrei

Die Nutzung Cloud-basierter Dienste eröffnet auf der anderen Seite jedoch Risiken. Die folgende Evaluation fokussiert sich auf die Risiken, die durch Nutzung einer Cloud-basierten Variante für personenbezogene Informationen entstehen.

Betroffene Personengruppen:

  • Mitarbeiter (als Anwender der Organisation und vor dem Hintergrund der erlaubten privaten Nutzung)
  • Geschäftspartner (z.B. in E-Mails, Dokumenten)

Betroffene Daten:

  • Name
  • E-Mail-Adresse
  • Profildaten
  • Anrufverlauf
  • Daten zur Anrufqualität
  • Diagnose- und Dienstdaten

Cloud Sicherheit

Maßnahmen zur datenschutzkonformen Nutzung von MS365

Um einige der im nachfolgenden stehenden Einstellungen umzusetzen, ist es notwendig MS365 und Windows 10 auf die neuesten Versionen upzudaten. Zusätzlich ist festzustellen, dass einige der Windows 10 Einstellungen nur für Windows 10 Enterprise oder Education möglich sind, nicht aber für Windows 10 Professional oder Home.

Einstellung

Verlust von Funktionen

Zusätzliche Informationen

Wirksamkeit*

Connected Experience/Services deaktivieren

Übersetzer, Raumsuche und weitere Funktionen

Daten im großen Umfang werden nicht mehr übermittelt.

Vollständig

Senden der Diagnosedaten verhindern

Diagnosedaten werden nicht mehr übermittelt.

In den Einstellungen die Option „weder noch“ wählen.

Teilweise

Telemetrie-Niveau von MS365 + Windows 10 abschalten

Weniger Telemetriedaten werden übermittelt.

Über Gruppenrichtlinien oder als Registry-Eintrag.

Für MS365 „weder noch“ für Win10 „Security“ wählen.

Reduzierte Telemetrie-Aktivität

Deaktivierung von Telemetrie-Daten und ETW-Sessions

Automatische Updates sind nicht mehr möglich.

Deaktivierung der Komponenten Windows-Update und Cloud.based-Protection (Windows-Defender).

Vollständig

Sendungen der Daten für das Costumer Experience Improvement Programm einstellen

Einstellung über Gruppenrichtlinien oder als Registry-Eintrag möglich.

Vollständig

LinkedIn-Integration deaktivieren

LinkedIn Information nicht mehr sichtbar.

Einstellung in Deutschland im Regelfall als Standard deaktiviert, dennoch prüfen.

Vollständig

Costumer Lockbox/ Costumer Key verwenden

Eventuell extra Kosten. Vor allem bei sensiblen Daten ist Nutzung sinnvoll.

Vollständig

Möglichst keine Office-Online und mobile Office-Lösungen verwenden

Nutzung von webbasierten und mobilen Anwendungen nicht mehr möglich.

Technische und interne Richtlinien sollten die Nutzung unterbinden.  niederländischen Behörden ist eine datenschutzkonforme Nutzung dieser Lösungen nicht möglich.

Vollständig

*Wirksamkeit in Bezug auf das einzelne, zugrunde liegende Risiko

Weitere Maßnahmen sind möglich. Diese können die Funktionalität weiter einschränken oder sie zeigen weniger Wirksamkeit.
Eine weiter Datenschutzfolgeabschätzung ist nur dann notwendig, wenn die Workplace Analytics oder Activity Reports genutzt werden sollen.

Solange alle Einstellungen so umgesetzt werden, ist eine datenschutzkonforme Nutzung theoretisch möglich. Leider fallen so einige Funktionen weg.
Falls bereits kritische Produkte benutzt werden, muss man abwägen, ob die weitere Nutzung sinnvoll ist oder ob eine Abschaltung der Funktionen nicht besser ist.

Interessenabwägung

Der Artikel 6 Absatz 1 Buchstabe f DSGVO  besagt: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Ein Interesse an der Verarbeitung ist somit keine ausreichende Grundlage zur Verarbeitung.
Es müssen noch andere Anforderungen erfüllt sein. Man kann sich auch eine Einwilligung jedes Betroffenen einholen oder anhand der im Folgenden, aufgelisteten Fragen entscheiden, ob eine Verarbeitung durchgeführt werden darf.

Welche Interessen hat der Verantwortliche und sind diese berechtigt?

  • Einige Tools (z.B. MS Teams) sind nur als Cloudvariante verfügbar

  • Viele Features sind ausschließlich in der Cloudvariante nutzbar (z.B. Tasks, bestimmte Kalenderfunktionen)

  • Das Lizenzmodell in der Cloud ist ein nutzerbasiertes Abo und kann dadurch eine bessere Kostenkontrolle ermöglichen (wirtschaftliche Aspekte)

  • Wesentliche Sicherheitsmaßnahmen wie z.B. das Einspielen von Securitypatches und Bugfixes erfolgt für Anwender unterbrechungsfrei

Ist die Verarbeitung der Daten erforderlich, um dieses Interesse zu wahren?

  • Ja, verschiedene Funktionen sind nicht verfügbar ohne MS 365

Welche Relevanz haben die Interessen des Verantwortlichen?

  • Abbildung von Prozessen und Bereitstellung einer Plattform zur Onlinekollaboration

  • Umsetzung des Geschäftsbetriebs

Welche Interessen, Grundrechte und Grundfreiheiten hat der Mitarbeiter/Geschäftspartner?

  • Rechte gem. DSGVO (Abs. 12-23): Transparenz, Auskunftsrechte, Berichtigung und Löschung, Widerspruch, etc.

  • Interesse an der Sicherheit der eigenen Daten.

Welches Interesse überwiegt?

Es handelt sich um keine besonders schutzwürdigen Daten (lediglich die geschäftlichen Informationen wie Adresse und die E-Mail-Adresse sollen genutzt werden).

Dokumentation der Entscheidungsfindung

Die Interessen des Verantwortlichen überwiegen, die Verarbeitung ist also nicht unverhältnismäßig und ein Einsatz von Microsoft365 somit möglich.

Zusammenfassung

Auf einen Nenner gebracht:  Microsoft356 bringt einige bekannte Risiken mit sich. Wichtig ist dabei auch festzuhalten, dass trotz der Vorsichtsmaßnahmen und den vorgenommenen Einstellungen das Risiko beim Microsoft-Kunden liegt. Er ist dafür verantwortlich, wenn der Auftragsverarbeitungsvertrag nicht den gesetzlichen Anforderungen genügt.

Nach aktueller Einschätzung gibt es daher zwei mögliche Wege für Organisationen Microsoft365 einzuführen:

  1. Einwilligung: Solange alle betroffenen Personen der Verarbeitung zustimmen ist eine Nutzung immer möglich.

  2. Risikoabwägung wie hier vorgelegt und Berufung auf Art. 6.1 f DSGVO:

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Die Nutzung von Microsoft365 ist berechtigtes unternehmerisches Interesse, um wettbewerbsfähig, wirtschaftlich und modern zu agieren. Zugleich sind die Grundfreiheiten und Grundrechte betroffener Personen (in diesem Falle Mitarbeiter) unter Beachtung der oben beschriebenen Maßnahmen als „nicht überwiegend“ einzuschätzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *