Microsoft 365 – wie aufwendig ist der rechtskonforme Einsatz?

Microsoft 365. (Bild: Wachiwit / shutterstock)
Microsoft 365: Immer Pflicht zur Datenschutz-Folgenabschätzung?
Die Pflicht zur DSFA für Unternehmen, die Microsoft 365 einsetzen, besteht nicht automatisch, sondern muss vorab geprüft werden. Eine Pflicht zur Durchführung einer DSFA besteht insbesondere bei Verarbeitungen in großem Umfang oder von Daten besonders schutzwürdiger Personen. Mit Microsoft 365 ist diese Schwelle allerdings schnell erreicht: Kommen Outlook oder Teams im ganzen Unternehmen zum Einsatz, geht das zwangsläufig mit der Verarbeitung der Daten von Kund/innen, Geschäftspartnern/innen und Mitarbeitern/innen einher – wobei letztere aufgrund der besonderen Verbundenheit gegenüber dem Arbeitgeber zu besonders schutzwürdigen Personen gehören. Die Vorabprüfung führt daher bei Microsoft 365 in aller Regel zum Ergebnis, dass die DSFA verpflichtend ist. Dennoch lohnt sich die Prüfung, um schon einmal die Schwerpunkte der DSFA herauszustellen. Die DSFA selbst gliedert sich anschließend in die folgenden Abschnitte:
- Systematische Beschreibung der Datenverarbeitungsvorgänge und ihrer Zwecke, Notwendigkeit und Verhältnismäßigkeit,
- Risikoanalyse,
- Festlegung von Abhilfemaßnahmen und Ermittlung des verbleibenden Restrisikos.
Zum Anfang: Ordnung schaffen und Verarbeitungsvorgänge erfassen
Den Anfang der eigentlichen DSFA macht die Sichtung aller Datenverarbeitungsvorgänge, die im Zusammenhang mit Microsoft 365 stehen: Welche Komponenten werden zu welchen Zwecken eingesetzt und welche Datenkategorien werden verarbeitet? Diese Informationen bilden dann die Grundlage für die Bewertung des datenschutzrechtlichen Risikos. Das kann nämlich ganz unterschiedlich ausfallen – je nachdem, ob ausschließlich die Daten der eigenen Mitarbeiterinnen und Mitarbeiter oder auch externer Personen wie Kund/innen verarbeitet werden, welche konkreten Module von MS 365 verwendet werden oder ob Meta-, Inhalts- oder weitere Daten verarbeitet werden.
Neue Arbeitswelt: Microsoft Mesh digitalisiert uns zu Hologrammen
Wird die Verhältnismäßigkeit gewahrt?
Im nächsten Schritt sollten sich Unternehmen vergewissern, ob die erfassten Verarbeitungsvorgänge rechtmäßig erfolgen können. Am wichtigsten in diesem Zusammenhang sind die Verhältnismäßigkeit der Datenverarbeitungen sowie die Wahl einer passenden Rechtsgrundlage. Unternehmen erfüllen die Anforderungen an die Verhältnismäßigkeit unter den folgenden Voraussetzungen:
- Mit dem Einsatz von Microsoft 365 wird insgesamt ein legitimer Zweck verfolgt,
- der Einsatz ist zum Erreichen des Zwecks geeignet,
- es steht kein gleich wirksames, aber milderes Mittel zur Verfügung und
- die Interessen der betroffenen Personen überwiegen nicht die des Unternehmens.
Der allgemeine und legitime Zweck von Microsoft 365 dürfte meist in der übergreifenden Zusammenarbeit im Unternehmen und mit Dritten liegen. Ansonsten variieren die Zwecke je nach Tool und den erfassten Daten. Diagnosedaten werden beispielsweise für die Fehlerbehebung erfasst, personenbezogene Daten bei Onedrive für die Synchronisation von Cloud und Endgerät. Als mildere Mittel sollten zum Beispiel datenschutzfreundlichere Alternativen anderer Anbieter geprüft werden. Auf sie muss aber nicht zwingend zurückgegriffen werden. Die DSGVO erkennt auch an, wenn andere Anbieter beispielsweise deshalb weniger geeignet sind, weil sie schlechter aufeinander abgestimmt sind als Microsoft 365 mit seinen unterschiedlichen Komponenten. Die Bewertung sowie die anschließende Abwägung der Interessen erfolgen streng nach Einzelfall.
Microsoft rudert bei Mitarbeiterüberwachung in Office 365 zurück
Kern der DSFA: Risiko erkennen und beheben!
Nachdem das technische und rechtliche Umfeld rund um den Microsoft-365-Einsatz gesichtet ist, geht es an die Risikoanalyse. Risiken können hier an ganz unterschiedlichen Stellen auftauchen: Microsoft erhält bei der Nutzung mancher Komponenten Zugriffsmöglichkeiten auf Daten im Rahmen vordefinierter Zwecke. Gegebenenfalls gelangen Daten auch auf Server in Drittländer wie den USA, wo auch die Sicherheitsbehörden Zugriff haben können. Datenschutzrechtlich gesprochen, bestehen also vor allem Risiken für die Vertraulichkeit und Integrität der Daten.
Sobald das Risiko ermittelt ist, können passende Abhilfemaßnahmen festgelegt werden. Die Möglichkeit technischer Maßnahmen verbleibt zwar weitestgehend in der Hand von Microsoft, Unternehmen können aber dennoch mit organisatorischen Maßnahmen das Risiko angemessen senken. Zu diesem Zweck sollten in den Einstellungen einige Änderungen umgesetzt werden. Für das Senden von Diagnosedaten an Microsoft sollte die Option „weder noch“ in den Einstellungen gewählt werden. Damit werden die standardmäßig gesendeten optionalen Diagnosedaten zur Produktverbesserung und Fehlererkennung nicht mehr an Microsoft übermittelt. Wenn Dienste wie die Connected Experiences (etwa für Designempfehlungen), das Customer Experience Improvement Program (zur Verbesserung der Nutzerfreundlichkeit zum Beispiel durch automatisches Übersenden von Fehlermeldungen) oder die Linkedin-Integration von Mitarbeiterkonten nicht zwingend benötigt werden, sollten sie ebenfalls deaktiviert werden, auch wenn das die Funktionsfähigkeit etwas beeinträchtigen kann. Zudem sollten die Analysetools der Workplace Analytics zur Auswertung des Arbeitsverhaltens der Mitarbeiterinnen und Mitarbeiter nicht verwendet werden, da hier Informationen aus Dokumenten, E-Mail-Konten und Kalendern über die Intensität und Dauer der Kommunikationen zusammengebracht werden. Zudem können Unternehmen die von Microsoft verwendeten Rechenzentren selbst und damit solche aus der EU auswählen, sodass die Wahrscheinlichkeit von Zugriffen aus den USA durch Microsoft oder seine Subunternehmer/innen zumindest verringert werden kann.
Über diese Einstellungen hinaus können Unternehmen noch weitere Möglichkeiten ausschöpfen, um das Datenschutzrisiko von Microsoft 365 zu reduzieren. Dabei sind vor allem die Mitarbeitenden in den Blick zu nehmen: Mit einem praktikablen Rollen- und Berechtigungskonzept sollte der Zugriff auf Informationen nur denen möglich sein, die sie für ihre Tätigkeit benötigen. Mit einer Datenschutzrichtlinie, die auch Microsoft 365 thematisiert, sowie passenden Schulungen können Mitarbeiterinnen und Mitarbeiter auf die Problematik hingewiesen und eine möglichst datensparsame Nutzung der Software erreicht werden.
Fazit
Auch wenn die Nutzung von Microsoft 365 im Unternehmen vielfach kritisch gesehen wird, lässt sich ein rechtskonformer und sicherer Einsatz gut erreichen. Dass damit aufgrund der DSFA ein gewisser Aufwand verbunden ist, ist zwar richtig – aufgrund der datenschutzrechtlichen Risiken sollte sie aber sorgfältig durchgeführt werden und kann darüber hinaus zum eigenen Vorteil genutzt werden. Es können nicht nur Datenschutzverstöße und Bußgelder verhindert, sondern auch Prozesse optimiert und die Compliance im Unternehmen insgesamt verbessert werden.
Also mir scheint das nicht machbar zu sein. Im Gegensatz zu vielen anderen Tools, die ein relativ gut absteckbaren Zweck erfolgen kann ich in Office 365 ja praktisch alles speichern.
Ich müsste jetzt jeden Prozess in meinem Unternehmen anschauen und genau analyisieren, welche Daten gespeichert und wie diese verarbeitet werden und ob Office 365 dafür das geeignete Tool ist. Und dafür muss ich die Prozesse jetzt kennen. Wenn aber beispielsweise in einer Agentur ein Mitarbeiter angewiesen wird die Weihnachtsfeier zu organisieren und auch Kunden einzuladen, wird er ja irgendwo eine Address-Liste speichern und eventuell weitergeben. Diesen „Prozess“ ist ja gar nicht definiert und ich kann auch gar nicht alles kontrollieren ohne meine Mitarbeiter zu willenlosen, ausführenden Zombies zu machen.
Diese DSVGO ist einfach Mist, profitieren tun nur Berater und Anwälte, die nichts zur Produktivität in Deutschland beitragen.
Die DSGVO ist großartig. Leider haben die Datenschützer nicht die Eier endlich alle US-Software aus der EU rauszuschmeißen, obwohl sie es sehr gerne würden:
https://www.faz.net/einspruch/podcast/blogs-f-a-z-einspruch-podcast-das-ganz-grosse-dsgvo-interview-16246209.html
Was wäre der Vorteil alle Software aus USA rauszuschmeißen? Wir kriegen mit Sicherheit kein konkurrenzfähigen Produkte hin, auch „dank“ der unendlich vielen Prozesse, Datenschutzvorgaben, Regularien…. Das kriegt vielleicht China hin, aber wir hier nicht.
Ich schließe mich der Meinung an, die DSVGO ist in dieser Form einfach Mist und hält uns unglaublich vom Arbeiten ab.
Noch dazu kommt, dass es trotz EU Vorgabe in den anderen Ländern nicht so angewandt wird (habe in Spanien und Frankreich gearbeitet). Wir schießen hier nur wieder gewaltig über Ziel hinaus und denken, dass andere die gleichen Bedenken haben müssen (wie schon bei dem Drama um die Zeitumstellung, das interessiert auch keinen außer uns…). Das ist aber definitiv nicht der Fall
Office macht eigentlich mehr Kaputt als es hilft.
Grundsätzlich sind ja viele Aufgaben bereits definiert und es existieren Tools dafür. Office bietet eher den Raum für alles nicht-spezifizierte das man am besten auch noch lokal speichert und sich dann wundert, wenn es nicht gesichert wird. Und das ist ja das Argument der Cloud – besser auf fremden Servern als lokal, was nicht wirklich besser ist.
Kritische Daten oder Personendaten sollten darüberhinaus in gar kein Office-Paket übertragen werden, weil diese grundsätzlich keine Authentifzieriung bieten und jeder der Laufwerksberechtigung hat darauf zugreifen kann und diese entweder manipulieren oder gar leicht auch in großen Mengen exportieren kann.
Es fängt doch schon damit an dass überhaupt Office als Software verwendet wird.
Das Fazit entspricht nicht den Anforderungen von Schrems I und Schrems II. Die europäische Datenschutzkonferenz sieht das ebenfalls anders:
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_de.pdf