Datenschutz bei Microsoft 365 – Teil 8: Office Online – Word, Excel, PowerPoint, OneNote

Was sind Word, Excel, PowerPoint und OneNote?

Die Anwendungen Word (Tool zur Erstellung von Dokumenten), Excel (Tool für die Erstellung von Tabellen, Rechnungen und Graphiken), PowerPoint (Tool zur Erstellung von Präsentationen) und OneNote (digitaler Notizblock) sind Anwendungen des Microsoft Office-Pakets.

Die Tools sind die zentralen Werkzeuge für die tägliche Arbeit im Büro und inzwischen auch als „Office Online“ im Rahmen der Cloudlösung Microsoft 365 nutzbar. In der Online-Version ist es nun möglich, Dokumente anderen Benutzern/Personen freizugeben, sodass man gemeinsam in Echtzeit daran arbeiten kann. Aus datenschutzrechtlicher Sicht werfen die Tools diverse Fragen auf.

Welche Datenschutzrisiken bestehen beim Einsatz der Anwendungen?

  • Automatische Ablage der Dateien im zentralen Cloudspeicher OneDrive. Zwar wird gemäß der Auftragsverarbeitungs-Vereinbarung der Speicherort nach der geografischen Lage des Kunden bestimmt (also für deutsche Kunden Speicherort Deutschland), jedoch ist dadurch nicht ausgeschlossen, dass Daten auch in die USA oder sonstige Drittländer übermittelt werden (siehe hierzu mehr in Absatz 4 in Teil 1 unserer Blogserie). Es besteht also die Gefahr, dass Daten in unsicheren Drittländern landen, die keine geeigneten Garantien zum Schutz der personenbezogenen Daten bieten. Insbesondere im Hinblick auf besondere Kategorien personenbezogener Daten ist hier Vorsicht geboten.
  • Gefahr unstrukturierter Datenverarbeitung. Word, Excel, PowerPoint oder OneNote sind Tools zur Erhebung, Verwendung und Auswertung von Daten und können potenziell in allen Unternehmensprozessen zum Einsatz kommen. Die Dokumentation ungewollter Daten sowie deren Schutz sind grundlegende Probleme.
  • Datenschutzrisiken bei der Versendung der Freigabe-Links. Jede Datei kann ganz bequem für andere Personen freigegeben werden, indem man im Dokument auf „Freigeben“ klickt. Dies ermöglicht die Zusammenarbeit mehrerer Personen am selben Dokument in Echtzeit. Im nächsten Schritt kann man dann einen Link per E-Mail versenden, der zu diesem Dokument führt. Die Versendung per E-Mail birgt allerdings Risiken, wenn diese, wie meistens der Fall, nicht Ende-zu-Ende-verschlüsselt versendet wird (näheres zur E-Mail Verschlüsselung können Sie in unserem Blogbeitrag nachlesen) und das Dokument nicht mit einem Passwort geschützt wird.
  • Datenschutzrisiken durch falsche Konfiguration der Freigabeeinstellungen. Bei der Versendung des Links sind verschiedene Einstellmöglichkeiten bezüglich der Freigabe vorhanden. Zu großzügige Freigaben erhöhen das Datenschutzrisiko, da dadurch zu viele Personen Zugang zu personenbezogenen Daten bekommen können.
  • Einsatz von „verbundenen Erfahrungen“. Die verbundenen Erfahrungen dienen dazu, die Erstellung von Dokumenten bequemer und effizienter zu gestalten. Dabei werden die Inhalte des Dokuments analysiert und mit Online-Inhalten verglichen, um dem Nutzer z. B. Designempfehlungen oder Bearbeitungsvorschläge zu unterbreiten. Beispielsweise unterstützt der Lebenslauf-Assistent bei der Erstellung von Lebensläufen, indem dieser Erfahrungswerte von LinkedIn analysiert.
  • Unzulässige Verhaltensanalysen durch aktivierte Office-Telemetriedaten. Mit Hilfe des Office-Telemetrie-Agenten lässt sich analysieren, welche Dokumente oder Vorlagen wie häufig verwendet werden. Zudem dienen die Daten der Fehleranalyse. Der Agent protokolliert das Öffnen, Nutzen und Schließen von Dateien sowie Fehlermeldungen unter Angabe des Nutzers. 

Hilfreiche organisatorische Regelungen für die Anwendungen

  • Jedes Unternehmen sollte sich Gedanken machen, welche Daten in den Anwendungen verarbeitet werden können und welches Schutzniveau an diese Daten zu stellen ist. Ein gut ausgearbeitetes Konzept zur Dokumentenklassifizierung hilft, Datenschutzrisiken zu minimieren. Anhand der Klassifizierung lassen sich dann entsprechende Maßnahmen ableiten, die für besondere Kategorien personenbezogener Daten strenger sein müssen als für Daten, die nicht als sensibel im Sinne von Art. 9 DS-GVO eingestuft werden. So kann man entscheiden, ob Daten überhaupt in den Online-Versionen verarbeitet werden dürfen oder nur in den lokal installierten Anwendungen, ob Dokumente mit einem Passwort zu schützen sind oder ob Dokumente mit Hilfe der Freigabefunktion per E-Mail versendet werden dürfen. Hierfür sollten klare, unternehmensweit geltende Anweisungen verabschiedet werden. Es ist zu empfehlen, dass das Konzept in enger Abstimmung mit dem Datenschutzbeauftragten entwickelt wird.
  • Folgende Leitfragen helfen bei einer sicheren Konfiguration der Freigabeoptionen:
    • Für wen soll das Dokument freigegeben werden?
      Die Dateien sollten immer nur für diejenigen Personen freigegeben werden, die zwingend Zugriff auf die Datei benötigen. Es sollte daher grundsätzlich von der Funktion Freigabe für „Bestimmte Personen“ Gebrauch gemacht werden. Nur Personen, denen Sie dann den Link direkt zusenden, können auf die freigegebenen Dokumente zugreifen. Wahlweise und sofern der Empfängerkreis innerhalb des Unternehmens angesiedelt und zu groß oder nicht ganz klar ist, kann die Freigabe auch für „Personen bei [Organisation] mit dem Link“ erteilt werden. Dann haben ausschließlich interne Personen die Freigabe erhalten. Von der Freigabe „Jeder mit dem Link“ sollte abgesehen werden, da dann auch Dritte, die den Link auf irgendeinem Weg erhalten, auf Dokumente zugreifen können.
    • Muss die Person, die die Freigabe erhält, das Dokument bearbeiten können?
      Manchmal reicht es aus, dass eine Person die Freigabe lediglich mit Leseberechtigungen erhält. Wenn eine Bearbeitung durch die andere Person nicht erforderlich ist, sollte der Haken bei „Bearbeitung zulassen“ entfernt werden. Damit kann das Verändern der Daten durch diese Person verhindert werden.
    • Muss die Person, die die Freigabe erhält, das Dokument herunterladen können?
      Der Download des Dokuments kann blockiert werden. Auch von dieser Funktion sollte Gebrauch gemacht werden, damit niemand die Daten lokal abspeichern, ausdrucken, kopieren und missbräuchlich verwenden kann.
    • Wie lange muss die Freigabe erteilt werden?
      Ist die Freigabe des Dokuments nur für eine bestimmte Zeit erforderlich, so ist der Link mit einem Ablaufdatum zu versehen. Mit Erreichen des Datums wird die Berechtigung automatisch entzogen.

Datenschutzfreundliche Voreinstellungen für die Anwendungen

  • Die Funktion „verbundene Erfahrungen“ sollte zentral durch den IT-Administrator deaktiviert werden. Ist der Wunsch da, die Anwendung optional nutzen zu können, so sind die Mitarbeiter aktiv auf die Risiken und die Freiwilligkeit der Nutzung hinzuweisen. Jeder Nutzer kann dann selbst entscheiden, ob er die Funktion deaktivieren möchte und kann dies selbst durchführen.
  • Der Telemetrie-Agent sollte ebenfalls deaktiviert werden oder zumindest so eingestellt werden, dass die Daten anonymisiert werden, sodass die Identität des Anwenders nicht nachvollzogen werden kann.
  • Die IT-Administration sollte sich zudem umfassend mit der Richtlinienverwaltung befassen. Microsoft stellt hier einige Möglichkeiten zur Verfügung, um zentral per Richtlinie Vorgaben technisch zu erzwingen und die Office Datenschutzeinstellungen zu konfigurieren.    

Sollten Sie noch Fragen zum Datenschutz, Microsoft 365 oder den Office Online Anwendungen haben, freuen wir uns über Ihre Nachricht. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 5: Compliance
Teil 6: Yammer
Teil 7: OneDrive
Teil 9: Exchange
Teil 10: Intune
Teil 11: Admin Center

Link zu unserem White Paper Microsoft 365

Hilfreiche Links:

Hilfeseite zu Word
Hilfeseite zu Excel
Hilfeseite zu PowerPoint
Hilfeseite zu OneNote
Hinweis zur Freigabe von Dateien
Hinweise zu verbundene Erfahrungen

Autor: Bastian Maute, 30.11.2020
Bild von Pixaline auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.