MS Office 365 und der Datenschutz – es hat sich etwas getan

Lange Zeit stand Microsoft Office 365 in der Kritik der Datenschützer. Nach den Erkenntnissen einer Datenschutz-Folgenabschätzung, die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit angefertigt wurde und der Eingabe der niederländischen Aufsichtsbehörde, hat sich inzwischen seitens Microsoft einiges getan.

• Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 geändert, sodass diese nun der Datenschutz-Grundverordnung (DSGVO) entsprechen. Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung zu deaktivieren und somit blockieren zu können.

• Microsoft musste DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, das Recht auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vornehmen.

• Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Die niederländische Aufsichtsbehörde kam zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 nun DSGVO konform genutzt werden kann. Voraussetzung dafür ist allerdings eine im Vorwege vorgenommene Datenschutzfolgeabschätzung nach Art. 35 DSGVO sowie eine Auseinandersetzung mit den datenschutzfreundlichen Einstellungen des Tools.

Hier einige Empfehlungen für den DSGVO-konformen Betrieb der Office 365 ProPlus Version 1905:

Windows Einstellung

Stellen sie die Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise auf „Sicher“. Die Nutzeraktivitäten dürfen nicht mit der Zeitachsen-Funktion von Windows 10 synchronisiert werden.

Programm zur Verbesserung der Benutzerfreundlichkeit

Deaktivieren Sie die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit.

Beschränkung der Diagnosedaten

Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.

Connected Experiences

Optional verbundene Dienste sollten deaktiviert werden.

Abschluss eines Auftragsverarbeitungsvertrags

Dies gilt insbesondere für die Nutzung von „Teams“. Hier wäre zudem eine Aufnahme in die eigene Datenschutzerklärung notwendig.

Linked-In-Integration

Eine Integration von Linked-In Accounts der Mitarbeiter ist nicht zulässig.

Workplace Analytics, Activity Reports, Delve

Diese Funktionen sollten nur genutzt werden, wenn diese vom Datenschutzbeauftragten geprüft wurden, da hier Leistungsdaten ausgewertet werden. Zudem wäre dann ggf. auch der Betriebsrat mit einzubeziehen.

Kunden-Lockbox

Bearbeiten Sie sensible Dokumente mit Office 365 sollte die Nutzung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Somit wäre eine kundenseitige Verschlüsselung der Dokumente sichergestellt.

Office-Online und Office-Mobile

Die Verwendung der Office 365 Webanwendung und der Office Apps erfüllte derzeit nicht das notwendige Schutzniveau. Eine Nutzung sollte daher vorerst nicht erfolgen.

EU-Standardvertragsklauseln

Vorbehaltlich der rechtlichen Überprüfung durch den EuGH, müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

Eine dauerhafte Garantie zum datenschutzkonformen Einsatz von Office 365 kann derzeit niemand geben. Die rechtlichen und behördlichen Entwicklungen müssen weiter beobachtet werden. Hier ist insbesondere das Ergebnis aus dem Verfahren Schremms II vor dem EUGH relevant. Bis jetzt ist ein Datentransfer auf Server in den USA aufgrund der Zertifizierung nach EU-US Privacy Shield rechtlich (noch) zulässig.