Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) befasst sich seit längerer Zeit mit der Frage des datenschutzkonformen Einsatzes von Microsoft Office 365 im öffentlichen und nicht-öffentlichen Bereich. Im Fokus sind pandemiebedingt vor allem öffentliche Bildungseinrichtungen, aber auch Unternehmen, die z.B. auf MS Teams und Home-Office-Lösungen setzen. Rechtlich problematisch sind dabei vor allem die Auftragsverarbeitungsverträge von Microsoft, die nach Ansicht der Aufsichtsbehörden intransparent sind und die dem Einsatz von Office 365 zugrunde liegen, sowie die Übertragung von Telemetriedaten.

Inhaltsverzeichnis

  • Was sind Telemetriedaten bei Microsoft?
  • Wie sehen das die Datenschutz Aufsichtsbehörden in Deutschland?
  • Reicht es aus, datenschutzkonforme Konfigurationen von Microsoft Produkten zu machen?
  • Empfehlungen: Wie kann man Microsoft Office 365 datenschutzkonform nutzen?
  • Ist der Einsatz von Microsoft 365 Office und Microsoft Azure verboten?
  • Wer hilft mir,  Microsoft Office 365 und Microsoft Azure DSGVO konform einzustellen?

Was sind Telemetriedaten bei Microsoft?

„Diagnosedaten von Windows sowie von Microsoft 365 umfassen wichtige technische Daten von Geräten und Anwendungen, über das Gerät selbst sowie die Leistung von Windows und Microsoft 365. Wir nutzen sie, um unsere Dienste auf dem aktuellen Stand zu halten, die Sicherheit, Zuverlässigkeit und Leistung sicherzustellen und unsere Produkte stetig zu verbessern. Wir nutzen sie nicht für Werbung, Profilbildung oder Nutzer*innen-Tracking. Dies schließen wir auch in unserer No Trace-Policy aus.

Diese Daten werden automatisch von Windows und Microsoft 365 gesammelt. Allerdings können unsere Kund*innen über sogenannte Diagnosedatenebenen steuern, welche Daten sie an Microsoft übermitteln wollen. Die jeweils höhere Stufe schließt dabei die vorhergehende Datenebene mit ein. Für Windows sind das zum Beispiel die folgenden Diagnosedatenebenen:

Sicherheit“ umfasst erforderliche Informationen zum Schutz von Windows, Windows Server und Microsoft 365.

Erforderlich“ (früher: „Einfach“) umfasst grundlegende Geräteinformationen.

Erweitert“ gibt zusätzliche Einblicke in die Nutzung und Leistung von Windows, Windows Server und Microsoft 365.

Optional“ (früher „Vollständig“) bietet Informationen unter anderem über besuchte Webseiten, die Verwendung von Apps und Features, die Integration und Aktivitäten eines Geräts oder die erweiterte Fehlerberichterstattung. Daten dieser Stufe werden nicht regelmäßig und vollständig, sondern nur stichprobenartig erhoben.

Für Office 365-Anwendungen sind es diese Diagnosedatenebenen:

„Erforderlich“ sind Daten, die für die Basisfunktionen von Windows, Windows Server und Microsoft 365 nötig sind. Sie sorgen auch dafür, dass die Systeme und Anwendungen immer auf dem aktuellen Stand sind.

„Optional“ werden von Microsoft Daten erhoben, die für die Verbesserung der Produkte sowie zur Erkennung, Diagnose und Behebung von Problemen nötig sind. Sie schließen die erforderlichen Daten ein.

„Weder noch“ heißt: Die Systeme senden keine Daten an Microsoft. In der Konsequenz bedeutet das eine eingeschränkte Problemerkennung, -diagnose und -behebung der Anwendungen. Windows, Windows Server und Microsoft 365 funktionieren dann lokal ohne Einschränkungen weiter, werden aber nicht mehr aktualisiert und können unter Umständen auf bestimmte Funktionen nicht mehr zugreifen.“ Quelle: Microsoft News

Datenschutzaufsicht: Ist Microsoft 365 datenschutzkonform?

Niedersachsen: der Einsatz der Produkte wird als „sehr kritisch“ eingeschätzt (Stand 22.07.2021)

Baden-Württemberg: Der Landesdatenschutzbeauftragte bewertet die Risiken der Microsoft-Dienste im Schulbereich als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. (Stand 07.05.2021)

Bayern: Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass sie bei MS Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen und stimmen überein, dass die Rechtsunsicherheiten im datenschutzrechtlichen Umgang mit MS Office 365 zeitnah bereinigt werden müssen. (Stand 02.10.2020)

Bremen: In öffentlichen Schulen sowie in der bremischen Verwaltung insgesamt wird auch aufgrund datenschutzrechtlicher Bedenken auf die Nutzung von Microsoft Office 365 weiterhin verzichtet. Die Möglichkeit einer datenschutzkonformen Verwendung konnte bislang nicht dargelegt werden. (Stand 24.03.2020)

Hessen: Der Einsatz von MS Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. (Stand 09.07.2019)

Berlin: Die am 18.02.2021 veröffentlichten „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ lassen auf datenschutzrechtliche Risiken beim Einsatz von MS-Produkten schließen. (Stand 03.03.2021)

Brandenburg:  Schulen wurden im Jahr 2020 aufgefordert, die Nutzung der cloudbasierten Microsoft-Produkte auszusetzen. (Stand 31.12.2020)

Hamburg: Antwort des Datenschutzbeauftragten bei fragdenstaat.de bzgl. des Einsatzes von Microsoft Teams: „Wir werden unsererseits weiterhin mit allen verantwortlichen Stellen im Kontakt bleiben und dabei auch Lösungswege skizzieren, die nach technischer und rechtlicher Prüfung datenschutzfreundlicher sind.“ (Stand 06.07.2021)

Mecklenburg-Vorpommern: der Datenschutzbeauftragte hatte die Behörden aufgefordert, auf Microsoft-Produkte zu verzichten und auf Open-Source-Produkte umzusteigen. (Stand 18.03.2021)

Nordrhein-Westfalen: Der LDI hat die Verarbeitung von personenbezogenen Daten innerhalb von Microsoft 365 aktuell als datenschutzrechtlich bedenklich eingestuft. Das Schulministerium empfiehlt, bei der Beschaffung und Nutzung von cloudbasierten Anwendungen auf das Angebot LOGINEO NRW zurückzugreifen. (vermutlich Stand 2021)

Rheinland-Pfalz: Hinsichtlich MS Office 365 gibt es weiterhin Regelungen, die den datenschutzrechtlichen Anforderungen aus der DSGVO nicht entsprechen. (vermutlich Stand 2021)

Saarland: siehe oben bei Bayern (Stand 02.10.2020)

Sachsen, Sachsen-Anhalt, Thüringen: (derzeit nicht bekannt)

Schleswig-Holstein: öffentliche und nicht öffentliche Stellen in SH müssen derzeit auf das Angebot Office 365 von Microsoft verzichten, unter anderem deswegen, weil MS 365 aktuell nicht geeignet ist, personenbezogene Daten datenschutzkonform zu verarbeiten. (Stand 2021)

Reicht es aus, datenschutzkonforme Konfigurationen von Microsoft Produkten zu machen?

Disclaimer: Im Internet gibt es sehr viele Empfehlungen zur datenschutzkonformen Konfiguration von Microsoft Office 365. Man darf hierbei nicht vergessen, dass es DAS „Microsoft Office 365“ gar nicht gibt, sondern eine unübersichtliche Anzahl von Softwareprodukten, die ähnlich heißen, aber doch eine andere Konfiguration erforderlich machen.

Ob die Umsetzung der Empfehlungen dazu führt, dass man der IT-Systemlandschaft das Siegel „datenschutzkonform“ geben kann, ist zudem eine Frage der rechtlichen Bewertung eines technischen Sachverhalts, die immer eine anwaltliche Beratung im Einzelfall voraussetzt. Die nachfolgende Liste kann daher wirklich nur als Zusammenfassung der vielerorts und bei Microsoft selbst auffindbaren Best Practices verstanden.

Empfehlungen: Wie kann man Microsoft Office 365 datenschutzkonform nutzen?

In den Einstellungen können Änderungen umgesetzt werden:

Für das Senden von Diagnosedaten an Microsoft sollte die Option „weder noch“ ausgewählt werden. Dann werden die standardmäßig gesendeten optionalen Diagnosedaten (zur Produktverbesserung und Fehlererkennung) nicht mehr an Microsoft übermittelt.

Diese Dienste können deaktiviert werden, wenn sie nicht zwingend benötigt werden, die Funktionsfähigkeit kann dabei aber beeinträchtigt werden: Connected Experiences, Customer Experience Improvement Program, LinkedIn-Integration von Mitarbeiterkonten.

Analysewerkzeuge wie das Workplace Analytics und Activity Reports zur Auswertung des Arbeitsverhaltens der Mitarbeiter sollten deaktiviert werden. Hinweis: Wenn Ihr Unternehmen über einen Betriebsrat verfügt, müsste dieser ohnehin den Einsatz von Workplace Analytics freigeben, da es sich hier um eine Maßnahme der Verhaltenskontrolle handeln kann! Ggf. muss hier auch noch eine Datenschutzfolgenabschätzung durchgeführt werden.

Unternehmen können selbst entscheiden, welche Rechenzentren von Microsoft verwendet werden sollen und sollten hier solche aus der EU auswählen.

Praktikables Rollen- und Berechtigungskonzept, das den Zugriff auf Informationen nur denen ermöglicht, die diesen für ihre Tätigkeit benötigen.

Das Telemetrie-Niveau sollte auf „weder noch“ eingestellt werden (das geht durch die Gruppenrichtlinie oder als Registry-Eintrag).

Das Telemetrie-Niveau in Windows 10 Enterprise sollte auf „Security“ geschaltet werden (derzeit ist das bei Windows 10 Home und Professional wohl nicht möglich).

Je nach Sensitivität der Daten bietet es sich an, die Customer Lockbox oder der Customer Key zu verwenden, was aber mit zusätzlichen Kosten verbunden ist.

Es sollte auf die SaaS-Lösungen wie Office-Online und mobile Office-Lösungen verzichtet werden.

Kontrollen von eingesetzten Subdienstleistern vor Ort sollten ebenfalls vertraglich festgelegt werden.

Es muss genau geregelt werden, an welchen Orten (EU/EWR oder außerhalb?) personenbezogene Daten gespeichert werden und wie der Schutz in Drittländern sichergestellt wird. Gem. Art. 46 DSGVO ist eine Übermittlung in Drittländer nur zulässig, wenn der Datenempfänger über ein angemessenes Maß an Datenschutz verfügt, was z.B. durch Vereinbarung der neuen EU-Standardvertragsklauseln sichergestellt werden kann. Überprüfen Sie Ihre Verträge mit Microsoft, ob Sie bereits die neuen Standardvertragsklauseln abgeschlossen haben und ob diese den Compliance-Anforderungen der geplanten oder erfolgenden Datenverarbeitung entsprechen.

Hier ist der  Leitfaden von Microsoft für verantwortliche Stellen: https://docs.microsoft.com/de-de/compliance/regulatory/gdpr-dpia-office365

Hier gibt es eine weitere Übersicht zu den empfohlenen Konfigurationen: https://blog.to.com/microsoft-365-dsgvo-massnahmen/

Ist der Einsatz von Microsoft 365 Office und Microsoft Azure verboten?

Nein! Der Einsatz von Microsoft 365 Office und Microsoft Azure ist nicht (gesetzlich) verboten. Sicherlich raten die viele deutsche Datenschutz Aufsichtsbehörden dazu, auf Microsoft Lösungen, insbesondere Cloud- / SaaS-Lösungen zu verzichten. Es wird auch die Beanstandung dieser Lösungen angedroht, für den Fall, dass sie Prüfungsgegenstand eines Ermittlungsverfahrens werden sollten.

Als Unternehmer eines KMU sollte man aber bei der Datenschutzbewertung von Microsoft Produkten und der vermeintlich negativen Presse die Kirche im Dorf lassen! Zum einen ist häufig unklar, auf welches Office-Produkt und welchen AV-Vertrag sich welche Pressemitteilung bezieht. Behördliche Rechtsauffassung sind sicherlich wichtige Schranken, aber nicht mit höchstrichterlicher Rechtsprechung zu verwechseln, zumal sich technische Lösungsmöglichkeiten anbieten, die als Diskussionsgrundlage mit einer Behörde gut nutzbar sind. Hier ist der richtige Umgang mit einer Aufsichtsbehörde gefragt, ebenso wie gewisses Verhandlungsgeschick, sodass in vielen Fällen Einzelfall-Lösungen und Vergleiche mit Behörden ausgehandelt werden können.

Wer hilft mir,  Microsoft Office 365 und Microsoft Azure DSGVO konform einzustellen?

Sehr gerne helfen wir Ihnen dabei, Ihr Microsoft Office 365 oder Microsoft Azure so einzustellen, dass eine datenschutzkonforme Bewertung möglich ist. In technischer und strategischer Sicht arbeiten wir mit unserem auf Microsoft spezialisierten Partner, Fa. IT-Sure, zusammen, um Sie bestmöglich und praxisnah beraten zu können.

Wir übernehmen gerne Mitarbeiterschulungen, die Erstellung eines Datenschutz Gutachtens, die notwendige Dokumentation für das Verarbeitungsverzeichnis und die Anpassung von Datenschutzerklärungen, z.B. für Angestellte, Kunden oder Lieferanten. Im Krisenfall übernehmen wir natürlich, die Beratung und Vertretung gegenüber einer Datenschutz Aufsichtsbehörde, um Ihre Interessen bestmöglich durchzusetzen oder ein Bußgeld abzuwehren.

Sprechen Sie uns gerne an und vereinbaren Sie einen Termin, um eine kostenlose erste Einschätzung für Ihre IT-Lösung von uns zu erhalten. Wir freuen uns 🙂

Das könnte Sie auch interessieren
Wir beraten derzeit sehr viele Opfer, die auf die sog. Europol  Betrugsmasche oder Europol Anruf ID Masche hereingefallen sind. Bei der Bundesnetzagen [...]
Weiterlesen
Wie geht der Betrug beim Online Banking Login über Phishing Websites? Sehr viele unserer Mandanten haben ihre Bank (Sparkasse, Kreissparkasse, Hypover [...]
Weiterlesen
Die SCHUFA Holding AG bietet diverse Dienstleistungen, die gerade von vielen für Opfer von Identitätsdiebstahl und Datenklau empfohlen werden. SchufaP [...]
Weiterlesen
Fast täglich erreichen uns Anfragen von Menschen, die befürchten, dass sie Ihr Geld einem unseriösen Broker anvertraut haben. Was machen Broker eigent [...]
Weiterlesen