Ist Microsoft 365 für Unternehmen nicht zulässig, weil es das Datenschutzrecht nicht zulässt? Ein solches Szenario erscheint nicht nur wenig praktikabel, sondern ein genauer Blick in die Datenschutz-Grundverordnung (DSGVO) zeigt: Es lässt sich auch rechtlich kaum begründen. Um die aber durchaus vorhandenen Datenschutzrisiken einzudämmen, sind Unternehmen in aller Regel dazu verpflichtet, vor dem Einsatz von Office 365 im Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die bedeutet aber nicht bloß zusätzlichen Aufwand, sondern bringt auch Vorteile mit sich: die Übersicht und Dokumentation über Datenverarbeitungsprozesse, die Identifizierung von Problemen und die Vermeidung von Datenschutzvorfällen sowie den dazugehörigen Bußgeldern.

Die Pflicht zur DSFA für Unternehmen, die Microsoft 365 einsetzen, besteht nicht automatisch, sondern muss vorab geprüft werden. Eine Pflicht zur Durchführung einer DSFA besteht insbesondere bei Verarbeitungen in großem Umfang oder von Daten besonders schutzwürdiger Personen. Mit Microsoft 365 ist diese Schwelle allerdings schnell erreicht: Kommen Outlook oder Teams im ganzen Unternehmen zum Einsatz, geht das zwangsläufig mit der Verarbeitung der Daten von Kund/innen, Geschäftspartnern/innen und Mitarbeitern/innen einher – wobei letztere aufgrund der besonderen Verbundenheit gegenüber dem Arbeitgeber zu besonders schutzwürdigen Personen gehören. Die Vorabprüfung führt daher bei Microsoft 365 in aller Regel zum Ergebnis, dass die DSFA verpflichtend ist. Dennoch lohnt sich die Prüfung, um schon einmal die Schwerpunkte der DSFA herauszustellen. Die DSFA selbst gliedert sich anschließend in die folgenden Abschnitte:

1. Systematische Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke, Notwendigkeit und Verhältnismäßigkeit,
2. Risikoanalyse,
3. Festlegung von Abhilfemaßnahmen und Ermittlung des verbleibenden Restrisikos.

Den Anfang der eigentlichen DSFA macht die Sichtung aller Datenverarbeitungsvorgänge, die im Zusammenhang mit Microsoft 365 stehen: Welche Komponenten werden zu welchen Zwecken eingesetzt und welche Datenkategorien werden verarbeitet? Diese Informationen bilden dann die Grundlage für die Bewertung des datenschutzrechtlichen Risikos. Das kann nämlich ganz unterschiedlich ausfallen – je nachdem, ob ausschließlich die Daten der eigenen Mitarbeiterinnen und Mitarbeiter oder auch externer Personen wie Kund/innen verarbeitet werden, welche konkreten Module von MS 365 verwendet werden oder ob Meta-, Inhalts- oder weitere Daten verarbeitet werden.

Neue Arbeitswelt: Microsoft Mesh digitalisiert uns zu Hologrammen

Im nächsten Schritt sollten sich Unternehmen vergewissern, ob die erfassten Verarbeitungsvorgänge rechtmäßig erfolgen können. Am wichtigsten in diesem Zusammenhang sind die Verhältnismäßigkeit der Datenverarbeitungen sowie die Wahl einer passenden Rechtsgrundlage. Unternehmen erfüllen die Anforderungen an die Verhältnismäßigkeit unter den folgenden Voraussetzungen:

1. Mit dem Einsatz von Microsoft 365 wird insgesamt ein legitimer Zweck verfolgt,
2. der Einsatz ist zum Erreichen des Zwecks geeignet,
3. es steht kein gleich wirksames, aber milderes Mittel zur Verfügung und
4. die Interessen der betroffenen Personen überwiegen nicht die des Unternehmens.

Der allgemeine und legitime Zweck von Microsoft 365 dürfte meist in der übergreifenden Zusammenarbeit im Unternehmen und mit Dritten liegen. Ansonsten variieren die Zwecke je nach Tool und den erfassten Daten. Diagnosedaten werden beispielsweise für die Fehlerbehebung erfasst, personenbezogene Daten bei Onedrive für die Synchronisation von Cloud und Endgerät. Als mildere Mittel sollten zum Beispiel datenschutzfreundlichere Alternativen anderer Anbieter geprüft werden. Auf sie muss aber nicht zwingend zurückgegriffen werden. Die DSGVO erkennt auch an, wenn andere Anbieter beispielsweise deshalb weniger geeignet sind, weil sie schlechter aufeinander abgestimmt sind als Microsoft 365 mit seinen unterschiedlichen Komponenten. Die Bewertung sowie die anschließende Abwägung der Interessen erfolgen streng nach Einzelfall.

Microsoft rudert bei Mitarbeiterüberwachung in Office 365 zurück

Nachdem das technische und rechtliche Umfeld rund um den Microsoft-365-Einsatz gesichtet ist, geht es an die Risikoanalyse. Risiken können hier an ganz unterschiedlichen Stellen auftauchen: Microsoft erhält bei der Nutzung mancher Komponenten Zugriffsmöglichkeiten auf Daten im Rahmen vordefinierter Zwecke. Gegebenenfalls gelangen Daten auch auf Server in Drittländer wie den USA, wo auch die Sicherheitsbehörden Zugriff haben können. Datenschutzrechtlich gesprochen, bestehen also vor allem Risiken für die Vertraulichkeit und Integrität der Daten.

Sobald das Risiko ermittelt ist, können passende Abhilfemaßnahmen festgelegt werden. Die Möglichkeit technischer Maßnahmen verbleibt zwar weitestgehend in der Hand von Microsoft, Unternehmen können aber dennoch mit organisatorischen Maßnahmen das Risiko angemessen senken. Zu diesem Zweck sollten in den Einstellungen einige Änderungen umgesetzt werden. Für das Senden von Diagnosedaten an Microsoft sollte die Option „weder noch“ in den Einstellungen gewählt werden. Damit werden die standardmäßig gesendeten optionalen Diagnosedaten zur Produktverbesserung und Fehlererkennung nicht mehr an Microsoft übermittelt. Wenn Dienste wie die Connected Experiences (etwa für Designempfehlungen), das Customer Experience Improvement Program (zur Verbesserung der Nutzerfreundlichkeit zum Beispiel durch automatisches Übersenden von Fehlermeldungen) oder die Linkedin-Integration von Mitarbeiterkonten nicht zwingend benötigt werden, sollten sie ebenfalls deaktiviert werden, auch wenn das die Funktionsfähigkeit etwas beeinträchtigen kann. Zudem sollten die Analysetools der Workplace Analytics zur Auswertung des Arbeitsverhaltens der Mitarbeiterinnen und Mitarbeiter nicht verwendet werden, da hier Informationen aus Dokumenten, E-Mail-Konten und Kalendern über die Intensität und Dauer der Kommunikationen zusammengebracht werden. Zudem können Unternehmen die von Microsoft verwendeten Rechenzentren selbst und damit solche aus der EU auswählen, sodass die Wahrscheinlichkeit von Zugriffen aus den USA durch Microsoft oder seine Subunternehmer/innen zumindest verringert werden kann.

Über diese Einstellungen hinaus können Unternehmen noch weitere Möglichkeiten ausschöpfen, um das Datenschutzrisiko von Microsoft 365 zu reduzieren. Dabei sind vor allem die Mitarbeitenden in den Blick zu nehmen: Mit einem praktikablen Rollen- und Berechtigungskonzept sollte der Zugriff auf Informationen nur denen möglich sein, die sie für ihre Tätigkeit benötigen. Mit einer Datenschutzrichtlinie, die auch Microsoft 365 thematisiert, sowie passenden Schulungen können Mitarbeiterinnen und Mitarbeiter auf die Problematik hingewiesen und eine möglichst datensparsame Nutzung der Software erreicht werden.

Auch wenn die Nutzung von Microsoft 365 im Unternehmen vielfach kritisch gesehen wird, lässt sich ein rechtskonformer und sicherer Einsatz gut erreichen. Dass damit aufgrund der DSFA ein gewisser Aufwand verbunden ist, ist zwar richtig – aufgrund der datenschutzrechtlichen Risiken sollte sie aber sorgfältig durchgeführt werden und kann darüber hinaus zum eigenen Vorteil genutzt werden. Es können nicht nur Datenschutzverstöße und Bußgelder verhindert, sondern auch Prozesse optimiert und die Compliance im Unternehmen insgesamt verbessert werden.