Vorsicht, Cloud? Microsoft 365 und DSGVO (Teil 1: Risiken)

gepostet am 08.12.2020 von

Microsoft verspricht viele Vorzüge beim Betrieb von Microsoft 365 (MS365), ehemals  Office 365, auf deren Cloud-Plattform. Beim Thema Datenschutz schauen wir etwas genauer hin. In dieser Artikelserie stellen wir Ihnen Datenschutzrisiken und Gegenmaßnahmen vor, um eine DSGVO-konforme Nutzung zu ermöglichen.

Ausgangssituation

Microsoft bietet mit dem Produkt MS365 die Möglichkeit, umfangreiche Funktionen, Produktfeatures und Tools in deren Cloud-Plattform zu nutzen. Die alternative Nutzung On-Premise dagegen bietet aus Anwender- und Unternehmersicht eine Reihe an Nachteilen:

  • einige Tools (z.B. MS Teams) sind nur als Cloud-Variante verfügbar
  • viele Features sind ausschließlich in der Cloud-Variante nutzbar (z.B. Tasks, bestimmte Kalenderfunktionen)
  • Das Lizenzmodell in der Cloud ist ein nutzerbasiertes Abo und kann dadurch eine bessere Kostenkontrolle ermöglichen
  • Wesentliche Sicherheitsmaßnahmen wie z.B. das Einspielen von Security-Patches und Bugfixes erfolgt für Cloud-Anwender unterbrechungsfrei

Die Nutzung Cloud-basierter Dienste eröffnet auf der anderen Seite jedoch Risiken. Die folgende Evaluation fokussiert sich auf die Risiken, die durch Nutzung einer Cloud-basierten Variante für personenbezogene Informationen entstehen.

Die betroffenen Personengruppen sind:

  • Mitarbeiter (als Anwender der Organisation und vor dem Hintergrund der erlaubten privaten Nutzung)
  • Geschäftspartner (z.B. in E-Mails, Dokumenten)

Die betroffenen Daten sind:

  • Name
  • E-Mailadresse
  • Profildaten
  • Anrufverlauf
  • Daten zur Anrufqualität
  • Diagnose- und Dienstdaten

Cloud Sicherheit

Risikoanalyse

Grundsätzlich entstehen beim Betrachten der möglichen Risiken zwei Herangehensweisen bzw. letztendlich zwei Arten von Risiken. Die erste Gruppe Risiken befinden sich im Auftragsverarbeitungsvertrag, auch bekannt als „Data Processing Addendum“ („DPA“) und den „Online Service Terms“ („OST“).
Die zweite Gruppe der Risiken besteht aus den von Microsoft verwendeten, gespeicherten und verarbeiteten Daten.

 

Stille Veränderungen im Auftragsverarbeitungsvertrag

Microsoft hat die „DPA“ ohne Kennzeichnung nachträglich umfangreich geändert. Ein Dokument ist laut Metadaten am 03.01.2020 erstellt worden, das andere Dokument am 09.06.2020. Die Bezeichnung der Dokumente ist dieselbe, in der Änderungshistorie steht explizit „keine“ Änderung. Jedoch wurde ein Teil des Vertrags angepasst. Bei den Änderungen handelte es sich teilweise um Anpassungen der Formulierungen, teilweise um inhaltliche Änderungen.

Einige Änderungen finden sich in der Anlage „Standardvertragsklauseln“, welche jetzt genehmigten Texten entspricht. Es finden sich aber auch einige inhaltliche Änderungen in der neuen Version des Dokuments.  Das DPA enthält an vielen Stellen Anforderungen, welche den gesetzlichen Mindestanforderungen widersprechen (vgl. Maja Smoltczyk, 2020, S.11).

Microsoft behält sich nach eigenen Bestimmungen für Online Dienste das Recht vor, die Auftragsverarbeitung und die somit entstehenden Verpflichtungen zu ändern und selbst zu definieren. Somit wird Microsoft selbst zum Verantwortlichen statt nur Auftragsverarbeiter zu sein.

Als Microsoft Kunde hat man keine Kontrolle darüber, wer als Subunternehmer in der Auftragsverarbeitung eingesetzt wird. Man hat auch keine Prüfungsrechte gegenüber Unterauftragsverarbeitern. Microsoft-Kunden haben keine Möglichkeit, nachzuvollziehen, wo Daten gespeichert werden. Somit entsteht ein Risiko durch Offenlegung der Daten durch den Patriot Act und den Cloud Act.

 

Gespeicherte und verarbeitete Daten

Microsoft gibt selbst an, zwischen 23.000 und 25.000 Arten von Ereignissen über eine ETW-Session (Event Tracing for Windows) oder andere Tracker zu speichern. Darüber hinaus erheben die Cloud-Produkte eigenständig Daten und übermitteln diese an Microsoft. Dadurch werden die Dienste intransparent.

Hinzu kommt, dass selbst Inhaltsdaten verarbeitet werden, also Dokumente, Mails usw. die mit Office 365 erstellt werden. Laut OST werden die Daten aber nur zur Bereitstellung der Services verwendet. Laut Microsoft werden diese Daten nicht für Profiling, Marktforschung oder Werbung, sondern für das Bereitstellen, Verbessern und Aktualisieren des Dienstes und dessen Sicherheit verwendet (vgl. Anwalt.de, 2020).

Genaue Details, welche Daten und Ereignisse von Microsoft verarbeitet und gespeichert werden, sind nicht klar, aber einige Typen sind bekannt. Bekannte Beispiele für Daten, die Microsoft speichert, sind die Betreff Zeilen aus E-Mails, Ausschnitte aus den Inhalten (im Falle der Rechtschreibprüfung der Satz vor und nach dem korrigierten Wort) und Metadaten (über das Verhalten der Nutzer) (vgl. Computerwoche.de, 2020).

 

Zusammenfassung der Risiken

Das Produkt Microsoft 365 bringt aus Sicht des Datenschutzes einige Risiken mit sich. Diese Risiken sind teilweise sehr undurchsichtig und intransparent. Bereits das „Data Processing Addendum“ (DPA) und die „Online Service Terms“ („OST“) stellen Probleme dar, weil Microsoft diese willkürlich ändern und anpassen kann.

Im nächsten Beitrag möchten wir darstellen, unter welchen Voraussetzungen und Umständen Microsoft 365 doch DSGVO-konform eingesetzt werden kann. Dazu wird eine Liste an Maßnahmen definiert und die Restrisiken festgehalten und eingeordnet.

Autor/in

Hendrik
Petersen

Praktikant im IT-Security Umfeld

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen

Dies könnte Sie auch interessieren

1 Kommentar

  1. Pingback: Vorsicht, Cloud? Microsoft 365 und DSGVO (Teil 2: Maßnahmen) - TO Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *