Fast schon naturgemäß: Datenschutz-rechtliche Bedenken
Das niederländische Ministerium für Justiz und Sicherheit hat zum Einsatz von Office 365 nacheinander zwei Datenschutz-Folgenabschätzung in Auftrag gegeben. Die – nach zwischenzeitlichen Verhandlungen- zweite Version, ist eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die Datenschutz-Folgenabschätzung hält den Einsatz wohl für zulässig.
Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit veröffentliche erst am 15.07.2019 eine Stellungnahme, und untersagte den Einsatz von Office 365 an hessischen Schulen, nur um wenige Wochen später den Einsatz doch zunächst zu dulden.
Wegen der Empfehlungen für den DSGVO-konformen Betrieb von Office 365 und der detaillierten Beschreibung der Datenverarbeitungen bei der Nutzung von Office 365:
Bei der folgenden Handlungsempfehlung ist zu beachten, dass es sich hierbei nicht um eine offizielle Position der deutschen Aufsichtsbehörden handelt. Es werden lediglich die Erkenntnisse der Datenschutz-Folgenabschätzung zusammengefasst, die ein privater Dienstleister für das Niederländische Ministerium für Justiz und Sicherheit angefertigt hat.
Folgt man den aufgeführten Schritten, dürfte dies die derzeit beste Absicherung der Nutzung sein, bietet aber gleichwohl keine abschließende Rechtssicherheit beim Einsatz von Office 365.
Windows Einstellung: Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.
Programm zur Verbesserung der Benutzerfreundlichkeit: Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.
Office ProPlus Version: Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.
Beschränkung der Diagnosedaten: Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.
Connected Experiences: Die unten aufgelisteten Connected Experiences sind zu deaktivieren.
Abschluss eines Auftragsverarbeitungsvertrags: Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.
EU-Standardvertragsklauseln: Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.
Linked-In-Integration: Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.
Workplace Analytics, Activity Reports, Delve: Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall von dem Datenschutzbeauftragten geprüft werden. Da es sich um die Auswertung von Leistungsdaten handelt, ist auch der Betriebsrat einzubeziehen.
Kunden-Lockbox: Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.
Office-Online und Office-Mobile: Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.
Durchführung einer Datenschutz-Folgenabschätzung: Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Kontaktieren Sie dazu im besten Falle Ihren Datenschutzbeauftragten.
U.a. werden folgende Daten verarbeitet
Funktionsdaten: Es handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Service Office 365 sind. Microsoft wird hierbei gemäß den Online Service Terms (im Folgenden „OST“) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.
Inhaltsdaten: Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Office 365 erstellen. Diese Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Office 365. Eine Verwendung zu anderen Zwecken ist in den OTS unter „Verarbeitung von Kundendaten“ ausgeschlossen.
Diagnosedaten: Diese enthalten eine von Office 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können. Dabei werden unter anderem Client-ID, User-ID, Dauer der Nutzung eines Office-Diensts, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments) verarbeitet (eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung zu finden). Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA nicht auszuschließen. Microsoft hat angegeben diese Informationen für die Zwecke Bereitstellen und Verbessern des Dienstes, Aktualisierung des Dienstes und dessen Sicherheit zu verwenden.
Weiterhin bestätigt (oder behauptet?) Microsoft die Daten nicht für Profiling, Datenanalyse, Marktforschung oder Werbung. Seit der Office ProPlus Version 1904 gibt es die Möglichkeit die Übermittlung von Diagnosedaten auf folgende Stufen einzustellen: (1) Optimal, (2) Erforderlich, (3) Keine. Dabei werden jedoch auch bei der Einstellung „(3) Keine“ Diagnosedaten für essenzielle Dienste übermittelt, wie etwa die Authentifizierung oder Lizenzprüfungen. Außerdem werden die notwendigen Daten für die Nutzung der Connected Experiences übermittelt.
Connected Experiences: Hierbei handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder der Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei 14 Connected Experiences auch als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke nicht mehr greift. Die Verwendungszwecke von Microsoft als eigener Verantwortlicher umfassen bspw. die Nutzung zur Personalisierung, Werbung oder Produktentwicklung.
Office 365 bietet mittlerweile an, die Connected Experiences, für die Microsoft eigener Verantwortlicher ist, zu deaktivieren. Zu deaktivieren sind 3D Maps, Insert online 3D Models, Map Chart, Office Store, Insert Online Video, Research, Researcher, Smart Lookup, Insert Online, Pictures, LinkedIn Resume Assistant, Weather Bar in Outlook, PowerPoint QuickStarter, Giving Feedback to Microsoft, Suggest a Feature.
