DSGVO und Office 365 – was bedeutet dies für Unternehmen?

Aktuelle Ergänzung: DSK stuft Office 365 als nicht DSGVO-konform ein:

Mittlerweile hat sich auch die Datenschutzkonferenz der Landesdatenschutzbeauftragten der einzelnen Bundesländer (kurz: DSK) zum Thema Office 365 gemeldet und einen Beschluss verkündet (abrufbar unter: https://fragdenstaat.de/anfrage/bewertung-des-dsk-arbeitskreises-verwaltung-zur-auftragsverarbeitung-bei-microsoft-office-365-vom-15-juli-2020/):

"Das Papier kommt zu dem Ergebnis, dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Eine Arbeitsgruppe wird eingesetzt, die zeitnah Gespräche mit dem Hersteller aufnehmen soll.“

Anpassungen von Microsoft

Mittlerweile hat Microsoft seine Standardvertragsklauseln um folgende begrüßenswerte Punkte ergänzt:

• die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehördenherauszugeben;
• die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte an-zurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten
• den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat

(https://www.lda.bayern.de/media/pm/pm2020_9.pdf )

Ob dies den Aufsichtsbehörden genügt oder ob weitere Anpassungen gefordert werden bleibt abzuwarten.

Bisheriger Meinungsstand:

Obwohl Office 365, die cloud-basierte Version des Office- Anwendungspakets von Microsoft Co., für die meisten Bürotätigkeiten nicht wegzudenken ist, muss überprüft werden, ob die Anwendung den einzuhaltenden datenschutzrechtlichen Regelungen genügt.

Nachdem das Niederländische Ministerium eine Datenschutzfolgeabschätzung zu Office 365 in Auftrag gegeben hat, ist fraglich, ob ein datenschutzrechtlich konformer Einsatz möglich ist.

Festgestellt wurden u. a. mangelhafte Transparenz, Nichteinstellbarkeit der Übermittlung von Diagnosedaten und eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft.

Im Ergebnis wurde dadurch klar: Ein DSGVO-konformer Einsatz von Office 365 ist nicht möglich.

Wo liegt das Problem?

Die eigentlichen Probleme beim Einsatz von Office 365 ergeben sich bei den verschiedenen Datenverarbeitungsvorgängen. Microsoft verarbeitet bei der Nutzung von Office 365 eine Vielzahl von personenbezogenen Daten.

Zu diesen gehören auch die Funktionsdaten, die notwendig sind für die Bereitstellung des Service Office 365, welche allerdings gleich nach der Bereitstellung wieder gelöscht werden. Dass Microsoft hierbei als Auftragsverarbeiter i. S. d. Art. 28 DSGVO tätig ist, wird aus dem Online Service Terms (OST) ersichtlich. Auftraggeber ist der jeweilige Nutzer von Office 365.

Zudem werden Inhaltsdaten verarbeitet, d. h. also die tatsächlichen Dokumente, E-Mails, Präsentationen etc. die Nutzer mit Office 365 erstellen. Laut den OST werden diese Daten aber wiederum nur für die Bereitstellung des Service und nicht zu anderen Zwecken verwendet.

Neben Funktions- und Inhaltsdaten werden eine große Anzahl an Diagnosedaten verarbeitet und an die Server von Microsoft geschickt. Nachdem für jeden Nutzer eine individuelle ID generiert wird, werden Daten erhoben wie die Nutzungsdauer eines Office-Dienstes – wie z. B. Outlook, Word, Power Point, Excel und den Cloudspeicher OneDrive – Größe der bearbeiteten Datei, User-, und Client ID und die verwendete Programmsprache.

Laut Microsoft werden diese Daten nicht für Profiling, Marktforschung oder Werbung, sondern für das Bereitstellen, Verbessern und Aktualisieren des Dienstes und dessen Sicherheit verwendet.

Nachdem das erste Ergebnis der oben dargestellten Datenschutzfolgeabschätzung deutliche Defizite und die Unvereinbarkeit mit der DSGVO aufzeigte, hat Microsoft mittlerweile die Verarbeitungszwecke stärker eingeschränkt, da sie aufgrund der Verarbeitung zu anderen Zwecken nicht wie gewünscht „nur“ als Auftragsverarbeiter, sondern gleichzeitig mit dem Office 365-Nutzer als Verantwortlicher (Joint-Controller Art. 26 DSGVO) im Sinne der DSGVO galten, inklusive der damit verbundenen Rechten und Pflichten.

Bei der Nutzung von Office 365 muss den Nutzern klar sein, dass eine Übermittlung der oben genannten Daten an Microsoft nicht ausgeschlossen werden kann. Auch wenn Microsoft Privacy-Shield-zertifiziert ist und Standard-Vertragsklauseln anbietet, werden diese Absicherungen von Datenübermittlungen an Drittländer gerade vom Europäischen Gerichtshof (EuGH) überprüft.

Empfehlungen:

Daher kann für den Einsatz von Office 365 generell empfohlen werden z. B. Programme zur Verbesserung der Benutzerfreundlichkeit, Connected Experiences zu deaktivieren, die Einstellungen u. a. bei der Beschränkung der Diagnosedaten auf die geringste Stufe zu setzen und Maßnahmen wie Abschluss eines Auftragsverarbeitungsvertrages, Abschluss von Standard-Vertragsklauseln und die Durchführung einer eigenen Datenschutzfolgeabschätzung vorzunehmen. Insgesamt sind folgende Anpassungen zu empfehlen:

Windows-Einstellung

Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.

Programm zur Verbesserung der Benutzerfreundlichkeit

Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

Office-ProPlus-Version

Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office-ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.

Beschränkung der Diagnosedaten

Die Übermittlung der Diagnosedaten muss auf die geringste Stufe, „Keine“, eingestellt werden.

Connected Experiences

Folgende Connected Experiences sind zu deaktivieren:

• 3D Maps
• Insert Online 3D Models
• Map Chart
• Office Store
• Insert Online Video
• Researcher
• Smart Lookup
• Insert Online Pictures
• LinkedIn Resume Assistant
• Weather Bar in Outlook
• PowerPoint QuickStarter
• Giving Feedback to Microsoft
• Suggest a Feature

Abschluss eines Auftragsverarbeitungsvertrags

Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

EU-Standardvertragsklauseln

Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

aktuelle Ergänzung: Seit dem Urteil des EuGH vom 16.07.2020 (vgl. auch https://www.anwalt.de/rechtstipps/eugh-urteil-zum-privacy-shield-und-eu-standartvertragsklauseln_170422.html) ist dieser Schritt nunmehr unumgänglich.

Linked-In-Integration

Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.

Workplace Analytics, Activity Reports, Delve

Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall geprüft werden, da es sich um die Auswertung von Leistungsdaten handelt.

Kunden-Lockbox

Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.

Office Online und Office Mobile

Die Verwendung der Office-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

Durchführung einer Datenschutz-Folgenabschätzung

Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

Abschließend kann gesagt werden, dass Office 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.