Microsoft 365 DSGVO-konform einsetzen – Umsetzbar oder Wunschdenken?

Fach­ar­ti­kel

Im Jahr 2010 wurde Office 365 (heute Micro­soft 365) von Micro­soft als offi­zi­el­ler Nach­fol­ger der Busi­ness Pro­duc­tivity Online Suite (BPOS) vor­ge­stellt. Nach der Ver­öf­fent­li­chung 2011 ist die Suite mitt­ler­weile mit fast 345 Mil­lio­nen pri­va­ten und geschäft­li­chen Nut­zern welt­weit zum Indus­trie­stan­dard in Sachen Arbeits-​Software gewach­sen. Mal eben ein Word-​Dokument erstellt, eine Excel-​Tabelle geteilt oder eine PowerPoint-​Präsentation designt – das alles ist mitt­ler­weile gang und gäbe.

Ver­ständ­lich, denn die Vor­teile sind viel­fäl­tig. So sorgt die Syn­chro­ni­sie­rung der Doku­mente für eine opti­male Zusam­men­ar­beit zwi­schen Kol­le­gin­nen und Kol­le­gen. Ände­run­gen kön­nen dabei in Echt­zeit von über­all aus vor­ge­nom­men wer­den. Auch Bespre­chun­gen über die neu­es­ten Arbeits­er­geb­nisse kön­nen über die Micro­soft Teams-​Anwendung ein­fach rea­li­siert wer­den. Durch die starke Ver­brei­tung der Micro­soft 365 Suite ist zudem eine Kom­pa­ti­bi­li­tät mit ande­ren Unter­neh­men welt­weit gewähr­leis­tet. Doch die Vor­teile haben auch ihren Preis.

Seit am 24. Mai 2016 die Datenschutz-​Grundverordnung (DSGVO) in Kraft getre­ten ist, müs­sen Unter­neh­men in der EU ganz genau hin­schauen, wel­che Soft­ware genutzt wird. Denn so man­che Anwen­dung macht in Sachen Daten­schutz Kom­pro­misse. Was zuvor noch in Ord­nung schien, kann nun erheb­li­che Stra­fen nach sich zie­hen. Erschwe­rend kommt hinzu, dass die Geset­zes­lage in Sachen Daten­schutz in wei­ten Tei­len einen Inter­pre­ta­ti­ons­spiel­raum zulässt, wel­cher für Unter­neh­men, die ver­su­chen, einen gang­ba­ren Weg zu fin­den, teil­weise zu einem Trial & Error führt. So stellt sich bei jeder neu genutz­ten Anwen­dung schnell die Frage: „Ent­spre­chen wir damit den Richt­li­nien der DSGVO?“

Big Bro­ther is watching you

Spä­tes­tens seit dem Gerichts­ur­teil des EuGH im Fall Schrems II ist klar gewor­den, dass der Pri­vacy Shield, der eine sichere Daten­über­tra­gung zwi­schen der EU und den USA sicher­stel­len sollte, nicht aus­reicht, um die Daten der EU-​Bürgerinnen und –Bür­ger aus­rei­chend zu schüt­zen. Dies liegt an meh­re­ren US-​Gesetzen. Der For­eign Intel­li­gence Sur­veil­lance Act (FISA) legi­ti­miert die Über­wa­chung von Nicht-​US-​Bürgern außer­halb der Ver­ei­nig­ten Staa­ten durch inlän­di­sche Geheim­dienste. Modi­fi­ziert wurde der FISA zusätz­lich durch den Patriot Act und den Free­dom Act. Letz­te­rer hat zwar dafür gesorgt, dass US-​amerikanische Behör­den kei­nen direk­ten Zugriff mehr auf die Daten von Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men haben, aller­dings sind die Unter­neh­men dadurch ver­pflich­tet, sämt­li­che Daten zu spei­chern und auf Ver­lan­gen der US-​Behörden her­aus­zu­ge­ben. Der soge­nannte CLOUD Act ver­pflich­tet US-​amerikanische Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men dazu, auch Daten her­aus­zu­ge­ben, die außer­halb der Ver­ei­nig­ten Staa­ten gespei­chert wer­den. Diese unein­ge­schränkte Daten­samm­lung steht in direk­tem Kon­flikt zu der DSGVO.

Einige US-​Unternehmen set­zen auf Stan­dard­ver­trags­klau­seln, in denen ein bes­se­rer Daten­schutz garan­tiert wird. Aller­dings sind diese Klau­seln prak­tisch wir­kungs­los, da sie ein­fach durch die US-​Gesetze aus­ge­he­belt wer­den. Auch wer­ben viele Fir­men damit, ihre Ser­ver und Anwen­dun­gen inner­halb der EU zu hos­ten und somit einen ver­meint­lich bes­se­ren Daten­schutz zu gewähr­leis­ten. Und tat­säch­lich gibt es auch einen Unter­schied zum Hos­ting in den USA. Durch die Stand­or­tän­de­rung fin­det keine unmit­tel­bare Daten­über­tra­gung in ein Dritt­land mehr statt. Dem­ent­spre­chend sind auch die Anfor­de­run­gen an den Schutz und die Doku­men­ta­ti­ons­pflicht gerin­ger. Doch hier greift der CLOUD Act und unter­gräbt die DSGVO.

Auf diese kri­ti­sche Daten­schutz­si­tua­tion hat Micro­soft vor eini­gen Jah­ren rea­giert und in Koope­ra­tion mit der Deut­schen Tele­kom ver­sucht, Rechen­zen­tren in Mag­de­burg und Frank­furt am Main auf­zu­bauen, die aus­schließ­lich von der Deut­schen Tele­kom betrie­ben wer­den und aus denen somit keine Daten ins Aus­land abflie­ßen kön­nen. Der hohe Daten­schutz­stan­dard in Deutsch­land erwies sich für Micro­soft aller­dings als zwei­schnei­di­ges Schwert. Denn wäh­rend die Daten sicher und geschützt auf deut­schen Ser­vern lie­fen, führ­ten tech­ni­sche Pro­bleme, wie Ver­zö­ge­run­gen oder Abstürze auf­grund von sicher­heits­re­le­van­ten Mecha­nis­men, die ver­gleichs­weise höhe­ren Preise sowie die dar­aus resul­tie­rende Kun­de­nun­zu­frie­den­heit schluss­end­lich dazu, dass Micro­soft das Pro­jekt im Jahr 2021 offi­zi­ell ein­ge­stellt hat.

Wel­che Optio­nen blei­ben also für deut­sche Unter­neh­men? Wie kann Micro­soft 365 trotz alle­dem daten­schutz­kon­form ein­ge­setzt wer­den? Ist das über­haupt mög­lich oder müs­sen Alter­na­ti­ven her?

Daten­krake Micro­soft

Micro­soft 365 sam­melt per­so­nen­be­zo­gene und andere kri­ti­sche Daten und sen­det diese unge­fragt an die Microsoft-​Server, ohne dass dies für den Anwen­der auf den ers­ten Blick ersicht­lich ist. Diese uner­laubte Wei­ter­gabe sorgt für einen Daten­schutz­bruch nach EU-​Richtlinien und kann im schlimms­ten Fall zu einem wirt­schaft­li­chen Scha­den von meh­re­ren Mil­lio­nen Euro für das Unter­neh­men füh­ren sowie mit einem erheb­li­chen Image-​Verlust ein­her­ge­hen.

Aller­dings gibt es die Mög­lich­keit, viele uner­laubte Daten­trans­fers zu unter­bin­den und so das Risiko eines Daten­schutz­ver­sto­ßes zu mini­mie­ren. Doch dafür muss man erst ein­mal wis­sen, wie die Daten gesam­melt und in die USA oder andere kri­ti­sche Stand­orte gesen­det wer­den.

Es gilt zwi­schen ver­schie­de­nen Daten und der Art der Erhe­bung zu unter­schei­den:

Funk­ti­ons­da­ten

Damit Micro­soft 365 ord­nungs­ge­mäß funk­tio­niert, wer­den Funk­ti­ons­da­ten gesam­melt, die im Rah­men des Online Ser­vice Terms inklu­sive Auf­trags­da­ten­ver­ar­bei­tungs­ver­trag ver­ar­bei­tet wer­den. Die Daten wer­den direkt nach der Bereit­stel­lung wie­der gelöscht.

Inhalts­da­ten

Auch die Inhalte, die mit der Micro­soft 365-​Suite erstellt wer­den, ver­ar­bei­tet Micro­soft, aller­dings nur im Rah­men der Service-​Bereitstellung. In den Online Ser­vice Teams ist zudem defi­niert, dass die Nut­zung der Daten zu ande­ren Zwe­cken als der Bereit­stel­lung unter­sagt ist.

Dia­gno­se­da­ten

Schwie­ri­ger wird es bei den Dia­gno­se­da­ten. Hier­bei sam­melt Micro­soft Daten, die zu einer ein­deu­ti­gen Iden­ti­fi­zie­rung der Nut­zer genutzt wer­den kön­nen. Auch die Dauer der Nut­zung der Office-​Anwendung sowie die Event-​ID wer­den getrackt.

Ver­schie­denste Daten durch Con­nec­ted Expe­ri­en­ces

Die Con­nec­ted Expe­ri­en­ces bie­ten neben Funk­tio­nen, wie der Recht­schreib­hilfe, bei denen Micro­soft als Auf­trags­ver­ar­bei­ter fun­giert, wei­tere Fea­tures, die nicht unter den Auf­trags­ver­ar­bei­tungs­ver­trag fal­len. Diese gesam­mel­ten Daten wer­den von Micro­soft unter ande­rem zu Zwe­cken des Mar­ke­tings und zur Per­so­na­li­sie­rung genutzt. So stel­len Fea­tures, wie 3D Maps, Smart Lookup und der Office Store, ein ent­spre­chen­des Daten­ri­siko dar und ent­spre­chen nicht der soge­nann­ten „Pri­vacy by Default“, wel­che die DSGVO in Art. 25 Absatz 2 fest­legt.

Fest steht, dass am Ende viele Daten zu Micro­soft wan­dern. Eine gute Stra­te­gie ist daher, alle Funk­tio­nen abzu­schal­ten, die mit einem hohen Daten­trans­fer ver­bun­den sind, aber nicht zwin­gend benö­tigt wer­den. Bei den Con­nec­ted Expe­ri­en­ces gibt es zum Bei­spiel mitt­ler­weile die Mög­lich­keit, ein­zelne Funk­tio­nen abzu­schal­ten. Dadurch kann ein erheb­li­cher Daten­strom nach außen gekappt wer­den.

Gibt es noch ein Leck?

Um zu über­prü­fen, wel­che Daten nach der Abschal­tung aller nicht zwin­gend benö­tig­ten Fea­tures an externe Ser­ver wei­ter­ge­lei­tet wer­den, ist es rat­sam, eine ent­spre­chende Ana­lyse durch­zu­füh­ren. Völ­lig ver­meid­bar ist die Wei­ter­gabe von Daten nach jet­zi­gem Stand näm­lich nicht. Nach­dem das Ergeb­nis vor­liegt, kann man mit­hilfe einer Daten­schutz­fol­gen­ab­schät­zung ent­schei­den, inwie­weit das noch beste­hende Risiko für das eigene Unter­neh­men und die eige­nen Mit­ar­bei­ter sowie Kun­den ver­tret­bar ist. Ein ver­tret­ba­res Risiko kann zunächst erst­mal die Wei­ter­gabe der IP-​Adressen der Ange­stell­ten sein, da dadurch erst ein­mal kein rea­ler Scha­den ent­steht. Auch die ein­zel­nen Unter­neh­mens­pro­file, die in Micro­soft 365 erstellt wer­den, stel­len zunächst kein hohes Risiko dar. Wich­tig hier­bei ist aber, dass alle Ange­stell­ten von der Wei­ter­gabe in Kennt­nis gesetzt wur­den und dem auch expli­zit (am bes­ten schrift­lich) zuge­stimmt haben.

Um mehr Sicher­heit zu bie­ten, soll­ten die Daten, sofern mög­lich, ver­schlüs­selt wer­den. Micro­soft selbst bie­tet eine Ver­schlüs­se­lung an, aller­dings ist es rat­sam, eine eigene Ver­schlüs­se­lung zu nut­zen, weil so erst ein­mal nie­mand ande­res einen Zugriff auf die Daten hat – auch Micro­soft nicht. Dabei kann die Ver­schlüs­se­lung zum Bei­spiel ein­fach auto­ma­ti­siert über Unter­neh­mens­richt­li­nien erfol­gen.

Auch eine Daten­tren­nung hilft dabei, das Risiko zu ver­rin­gern. Es ist rat­sam zu über­le­gen, wel­che Daten wirk­lich in der Microsoft-​Cloud gespei­chert wer­den müs­sen und wel­che nicht. Dinge, wie Gehalts­ab­rech­nun­gen und per­sön­li­che Details über Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter soll­ten bes­ser lokal oder in einer deut­schen bzw. euro­päi­schen Cloud gespei­chert wer­den, um ein aus­rei­chen­des Datenschutz-​Niveau zu errei­chen.

Des Wei­te­ren ist ein jähr­li­ches Re-​zu emp­feh­len, da Micro­soft die ver­schie­de­nen Appli­ka­tio­nen immer wie­der updatet und Funk­tio­nen hin­zu­fügt und ver­än­dert.

Was den CLOUD Act betrifft, kann man auch hier durch­aus zu dem Schluss kom­men, dass das Risiko gering ist, da die Geheim­dienste zum einen nicht rou­ti­ne­mä­ßig den Zugriff auf Daten anfor­dern und sie zudem einen rich­ter­li­chen Beschluss benö­ti­gen.

Doku­men­ta­tion für mehr Sicher­heit

Jeder ein­zelne Schritt zu einem mög­lichst DSGVO-​konformen Umgang mit Micro­soft 365 muss dabei genaus­tens doku­men­tiert wer­den, um bei etwai­gen Audits oder ande­ren Über­prü­fun­gen gewapp­net zu sein. So kann die Dis­kus­si­ons­grund­lage von „Sie benut­zen ja Micro­soft 365, das ist ja gar nicht DSGVO-​konform“ hin zu „Ja, wir nut­zen Micro­soft 365 und haben alle erfor­der­li­chen Maß­nah­men getrof­fen, um das Risiko so gering wie mög­lich zu hal­ten!“ ver­scho­ben wer­den.

Auch das nie­der­län­di­sche Minis­te­rium für Jus­tiz und Sicher­heit kam nach einer ent­spre­chen­den Daten­schutz­fol­gen­ab­schät­zung eines exter­nen Dienst­leis­ters zu dem Schluss, dass die Ver­wen­dung von Office 365 Pro­Plus Ver­sion 1905 so ein­ge­setzt wer­den kann, dass der Daten­schutz ein­ge­hal­ten wird. Aller­dings wurde auch fest­ge­stellt, dass die Web– und Mobile-​Versionen nicht den Daten­schutz­kri­te­rien ent­spre­chen und daher nicht genutzt wer­den soll­ten.

Ist Micro­soft 365 nach heu­ti­gem Stand DSGVO-​konform ein­setz­bar?

Die Micro­soft 365 Suite von Micro­soft birgt hin­sicht­lich einer DSGVO-​konformen Ver­wen­dung viele Tücken und Hin­der­nisse. Aller­dings besteht die Mög­lich­keit, viele davon durch Unter­bin­dung und Deak­ti­vie­rung von Funk­tio­nen zu umschif­fen. Auch eine Ver­schlüs­se­lung der Daten sowie eine aktive Daten­tren­nung ver­schaf­fen mehr Sicher­heit.

Im Rah­men einer Risi­ko­fol­gen­ab­schät­zung bleibt es aller­dings wei­ter­hin eine Ermes­sens­ent­schei­dung, ob man die Soft­ware im Ein­satz haben möchte oder nicht. Eine Behörde zum Bei­spiel spei­chert und ver­ar­bei­tet in der Regel mehr per­so­nen­be­zo­gene Daten als ein mit­tel­stän­di­sches Unter­neh­men.

Zudem gibt es immer noch Unstim­mig­kei­ten bei der Aus­le­gung der Gesetze. Denn auch, wenn ein pri­va­ter Dienst­leis­ter im Auf­trag des nie­der­län­di­schen Minis­te­ri­ums für Jus­tiz und Sicher­heit befin­det, dass mit ent­spre­chen­den Ein­stel­lun­gen und Restrik­tio­nen Micro­soft 365 DSGVO-​konform betrie­ben wer­den kann, sieht der Lan­des­be­auf­tragte für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-​Württemberg die Sache schon wie­der anders. Um hier für mehr Klar­heit und Trans­pa­renz zu sor­gen, muss der Gesetz­ge­ber drin­gend nach­bes­sern.

Doch viel­leicht wird schon bald eini­ges ein­fa­cher: Am 3. Juni 2022 wurde in den USA ein Geset­zes­ent­wurf vor­ge­stellt, der den Daten­schutz in dem Land um eini­ges ver­schär­fen soll. Ob der vor­ge­legte Ent­wurf der DSGVO über­haupt gerecht wer­den kann, ist bis­lang noch nicht sicher. Einige Punkte sor­gen momen­tan für Dis­kus­si­ons­stoff. Doch hin­sicht­lich der Bemü­hun­gen der EU und den USA, einen Daten­trans­fer zu ermög­li­chen, besteht den­noch die Mög­lich­keit, dass in Zukunft eini­ges leich­ter wer­den könnte.

Die­ser Fach­ar­ti­kel stellt keine Rechts­be­ra­tung dar. Wir über­neh­men keine Haf­tung für etwaige Schä­den.