White Paper: Datenschutz bei Microsoft 365

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Warum das White Paper „Datenschutz bei Microsoft 365“?

Dass der Einsatz von Microsoft 365 aus datenschutzrechtlicher Sicht komplex und schwierig ist, war bereits mit Einführung der DS-GVO klar. Viele Unternehmen haben das Thema bei der Umsetzung Ihrer Compliance ausgeklammert oder vertagt, weil es umfangreiche Expertise auf Datenschutz- und IT-Ebene verlangt. Das sogenannte „Schrems II“-Urteil vom EuGH ließ bereits nichts Gutes zur rechtskonformen Verwendung von Cloud-Lösungen in Drittländern wie den USA ahnen. Mit der Stellungnahme der Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) vom 28. Juli 2020 wird endgültig klar, dass der rechtmäßige Einsatz von Microsoft Office 365 unter Beachtung der aktuellen datenschutzrechtlichen Lage mehr als kompliziert ist. Auch die jüngsten Empfehlungen des EDSA zu Drittlandtransfers verhelfen nur mit viel Vorstellungskraft zu einem Hoffnungsschimmer und sind schwierig in ‚Praxistauglichkeit‘ zu übersetzen.

Wir haben uns diese Arbeit gemacht, sind tief in das Thema eingestiegen und bieten hilfreiche praktische Hinweise für den Datenschutz bei Microsoft 365.

Wie hilft Ihnen das White Paper beim Einsatz von Microsoft 365?

Wir betrachten die unterschiedlichen Lizenzmodelle und die Datenübermittlung in Drittstaaten samt Bewertung der Aufsichtsbehörden. Zudem tauchen wir in das umfangreiche Thema Microsoft 365 Compliance ein und betrachten detailliert die Anwendungen Microsoft Forms, Teams, Delve und MyAnalytics.

Liebe Anwender, bitte stimmen Sie sich auf jeden Fall mit Ihren Geschäftsleitungen, Administratoren und Ihren Datenschutzbeauftragten ab, bevor Sie eigenständig Software installieren oder Einstellungen anpassen!

Worauf Sie bei der Verwendung von Microsoft 365 und den Compliance-Einstellungen achten sollten (Auszug)

Bei der Entscheidung für den Einsatz von Microsoft 365 sind zahlreiche Aspekte aus Sicht des Datenschutzes zu beachten. Eine generelle Entscheidung, ob Microsoft 365 datenschutzkonform einsetzbar ist, kann pauschal jedoch nicht getroffen werden. Jeder Verantwortliche ist selbst in der Pflicht, für seine Datenverarbeitung zu beurteilen, ob er mit den ausgewählten Lizenzen und Datenverarbeitungen durch Microsoft die Datenschutzgesetze erfüllt. Eine Berücksichtigung unserer Hinweise dürfte in jedem Fall hilfreich sein.

Microsoft 365 Compliance widmet sich der Organisation und Verwaltung der Einhaltung von Gesetzen und ist inhaltlich nicht nur auf die Verarbeitung personenbezogener Daten begrenzt. Zentrales Anliegen ist die Sicherheit der Verarbeitung von Informationen und der dazugehörigen Maßnahmen, die das gewährleisten. Dadurch erhöht sich die Komplexität der Aufgaben, um möglichst allen rechtlichen Vorgaben gerecht zu werden. Durch eine strukturierte und anwendungsgesteuerte Vorgehensweise kann Microsoft 365 Compliance dazu dienen, diese Komplexität zu reduzieren, Umsetzungsverläufe darzustellen und durch einen Risiko-Score bewertbar zu machen. Das zentrale Feature im Microsoft 365 Compliance Center ist der „Compliance Manager“, mit dem Unternehmen die Compliance-Anforderungen ihrer Organisation besser und leichter verwalten können um Compliance-Risiken zu minimieren.

Was ist zu beachten beim Einsatz von Microsoft Forms? (Auszug)

Microsoft Forms ist ein Tool zur Ausgestaltung und Auswertung von Online-Umfragen und Quizfragebögen. Personen des Unternehmens oder auch externe Dritte können über Links an einer Umfrage oder einem Quiz teilnehmen und die dort gestellten Fragen beantworten. Ebenso können die Inhalte in einer Webseite eingebettet werden.

• Der Dienst „Forms“ sollte nicht allen Nutzern im Unternehmen frei zur Verfügung stehen. Beschäftigte könnten sonst beiläufig Befragungen erstellen, die nicht datenschutzkonform sind. Durchgängige Kontrollen und Überprüfungen aller Nutzer werden nur schwer umsetzbar sein.
• Administratoren sollten keinen Zugriff auf Forms-Inhalte erhalten.
• In den Einstellungen zu Microsoft Forms im Admin-Center kann die standardmäßige namentliche Aufzeichnung von Personen aus der Organisation deaktiviert werden. Diese Einstellung ermöglicht nur, dass die Standardeinstellungen bei neuen Befragungen die Namen nicht erfassen, dies kann jedoch durch die Ersteller der Befragung jederzeit geändert werden.
• Ebenso kann in den Einstellungen das Einbetten von Inhalten aus Bing oder YouTube deaktiviert werden. Inhalte werden dann nur als Link angezeigt. Beim Einbetten der Daten fließen Daten an diese Dienste und es werden dabei auch Cookies gesetzt. Da es hier kein Consent-Management gibt, raten wir davon ab, diese einzubetten.
• Da für Microsoft Forms kein Consent-Management besteht, sollten die Inhalte auf der eigenen Webseite eingebettet und in das dortige Consent-Management eingebunden werden.
• Umfrageanreize wie Microsoft Rewards-Incentives sollten deaktiviert werden.

Was ist zu beachten beim Einsatz von Microsoft Teams? (Auszug)

Microsoft Teams ist das zentrale Kollaborations-System in Microsoft 365 zur Zusammenarbeit mit Kollegen und auch externen Dritten. Unter Teams gibt es die folgenden Funktionen: Chats (persönlich oder in Gruppen), Informationskanäle, Audio- und Videokonferenzen, Telefonanrufe, Teilen von Daten und Dateien und gemeinsame Bearbeitung. Besonders die Vielzahl an Möglichkeiten zur Verarbeitung personenbezogener Daten kann eine Herausforderung für den Datenschutz in Microsoft Teams darstellen.

• Teams ist sowohl für die interne wie auch externe Kommunikation ausgelegt. Um die Rechtmäßigkeit feststellen zu können ist es erforderlich, die konkreten Anwendungsfälle, potenzielle Kommunikationspartner und den Schutzbedarf der dabei verwendeten Informationen zu bewerten.
• Teams ist nicht vollständig Ende-zu-Ende-verschlüsselt. Zwar werden bei Audio- und Video-Anrufen Kommunikationsverbindungen zwischen den Beteiligten direkt aufgebaut und verschlüsselt, jedoch erfolgt die Verwaltung und die Generierung der zentralen Schlüssel durch die Teams-Server. Als Restrisiko bleibt, dass Personen mit Zugang zu den Servern auch Zugang zu den Konferenzen erhalten könnten.
• Für Teams gibt es unterschiedliche Add-On-Lizenzen, auch von Drittanbietern. Hierdurch können Daten an unbefugte Dritte übermittelt oder unzulässig verarbeitet werden.
• Teams besitzt keine Möglichkeit, separate Zugangskennwörter für Konferenzen zu vergeben. Damit besteht die Möglichkeit, dass sich fremde Personen mit Zugang zu den Einladungslinks auf eine Konferenz aufschalten können.
• In Teams wird über die Free/Busy-Funktion die Erreichbarkeit eines Anwenders angezeigt. Unzulässige Verhaltens- und Leistungskontrollen sind damit möglich.
• Für Beschäftigte sollten klare Nutzungs- und Verhaltensvorgaben getroffen sein, um den Umgang und Datenschutz mit Microsoft Teams zu regeln.
• Es sollten Regelungen existieren, wie mit Verwendungsberichten in Microsoft Teams umzugehen ist.

Was ist zu beachten beim Einsatz von Microsoft Delve und MyAnalytics? (Auszug)

Microsoft Delve und Microsoft MyAnalytics dienen dazu, den Anwendern Hinweise zur eigenen Arbeitsweise sowie zur Zusammenarbeit mit anderen Kollegen zu geben. Auf Basis von Auswertungen erfahren Anwender, an welchen Dokumenten sie selbst und andere Personen arbeiten. Delve unterstützt beim Suchen nach Dokumenten und MyAnalytics soll den Anwendern Hinweise zur Optimierung der eigenen Arbeitsweise geben. Beide Module werten das Verhalten von Anwendern im Umgang mit Dateien, E-Mails und Kalender aus, so dass verschiedene Datenschutzaspekte zu beachten sind.

• Treffen Sie administrative Regelungen, ob die Module überhaupt zum Einsatz kommen sollen. Binden Sie bei der Bewertung den Datenschutzbeauftragten ein.
• Erstellen Sie klare Nutzungs- und Verhaltensvorgaben für Beschäftigte, um den Umgang mit Microsoft Delve und MyAnalytics zu regeln.
• Deaktivieren Sie Delve und MyAnalytics bei jedem Rollout von Microsoft 365 standardmäßig. Es gilt die Devise: Erst prüfen und dann (ggf.) nutzen.
• Schließen Sie sensible und besonders schützenswerte Dokumente von der Anzeige in Delve aus. Dies ist über die Einstellungen der Bibliothek (erweiterte Einstellungen) möglich.
• Delve kann auch individuell von jedem Beschäftigten selbst deaktiviert werden. Die Einstellung kann jeder Anwender unter den Einstellungen vornehmen. So ist nicht mehr erkennbar, welche Dokument sich jemand angesehen hat. Der Benutzer ist nach wie vor einsehbar.
• Auch unter MyAnalytics kann jede Beschäftigte die Auswertungen selbständig deaktivieren. Unter den Einstellungen lässt sich MyAnalytics grundsätzlich oder auch die einzelnen Funktionen (Dashboard, Wöchentlicher Digest, Outlook-Add-In „Insights) deaktivieren.

Wir freuen uns, wenn wir Ihnen mit diesem White Paper beim datenschutzkonformen Einsatz von Microsoft 365 hilfreich zur Seite stehen. Wenn es Ihnen hilft, geben Sie es gerne an Kollegen weiter! Wenn wir Ihnen dabei helfen können, dass der Einsatz von Microsoft 365 bei gleichzeitigem Datenschutz gelingt und wir damit Datenschutz besser machen, betrachten wir das als Erfolg.