Das Thema Datenschutz begleitet Unternehmen mittlerweile seit mehreren Jahren. Kritisch werden Softwarelösungen unter die Lupe genommen und nicht selten als datenschutzrechtlich ungenügend befunden. So trifft es auch den Software-Riesen Microsoft mit seiner cloudbasierten Anwendung Office 365.
Die Software, die Textverarbeiten, Tabellenkalkulation und Präsentation vereint, ist aus den meisten Büros nicht mehr wegzudenken. Nachdem der Konzern auf ein Abo-Modell umgestiegen ist, wurde die beliebte Büro-Software jüngst von Datenschützern unter die Lupe genommen. Hintergrund ist, dass mit der Online-Subscription quasi dauerhaft eine Verbindung zu den MS-Servern erforderlich ist. Zudem kann im Cloud Admin Center jetzt viel mehr Dinge eingesehen werden als vorher.
Niederländisches Ministerium lässt Office 365 prüfen
Das niederländische Ministerium für Justiz und Sicherheit hat bereits im vergangenen Jahr eine Datenschutzfolgeabschätzung zu Office 365 in Auftrag gegeben. Anhand der Ergebnisse scheint ein DSGVO-konformer Einsatz von Office 365 in Unternehmen nicht möglich.
Denn bei der Abschätzung wurden unter anderem
- mangelhafte Transparenz
- Nichteinstellbarkeit der Übermittlung von Diagnosedaten
- Eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft
festgestellt.
Office 365 Datenschutz: Verarbeitung personenbezogener Daten
Die Nutzungsbestimmung für Office 365 werden in dem Online Service Terms (OST) festgelegt. In diesen tritt Microsoft als Auftragsverarbeiter i. S. d. Art. 28 DSGVO auf, während der Auftraggeber der jeweilige Nutzer von Office 365 ist.
Problematisch bei der Nutzung von Office 365 ist in der Hauptsache die Verarbeitung einer Vielzahl von personenbezogenen Daten. Dazu gehören auch Funktionsdaten, die notwendig sind für die Bereitstellung des Service Office 365. Diese werden allerdings gleich nach der Bereitstellung wieder gelöscht.
Darüber hinaus werden Inhaltsdaten, die mittels Office 365 erstellt werden, von Microsoft verarbeitet. Dies betrifft beispielsweise die eigentlichen Inhalte wie Dokumente, E-Mails, Präsentationen und ähnliches. Nur so ist es beispielsweise möglich, Inhalte gemeinsam in einem Browser zu bearbeiten oder eine Präsentation zu betrachten, ohne dass die Datei sich auf dem jeweiligen Laptop befindet. Somit werden diese Daten, wie im OST hinterlegt, nur für die Bereitstellung des Service und nicht zu anderen Zwecken verwendet.
Neben Funktions- und Inhaltsdaten werden eine große Anzahl an Diagnosedaten verarbeitet und an die Server von Microsoft geschickt. So wird unter anderem für jeden Nutzer eine individuelle ID generiert. Mittels dieser erhebt Office 365 unter anderem Daten zur Nutzungsdauer eines Office-Dienstes – wie z. B. Outlook, Word, Power Point, Excel und den Cloudspeicher OneDrive –, die Größe der bearbeiteten Datei, User- und Client ID sowie die verwendete Programmsprache.
Laut Microsoft werden diese Daten für das Bereitstellen, Verbessern und Aktualisieren des Dienstes und dessen Sicherheit verwendet, nicht für Profiling, Marktforschung oder Werbung.
Nutzung der Daten durch Microsoft nicht ausgeschlossen
Unternehmen sollte bei der Nutzung von Office 365 daher klar sein, dass eine Übermittlung von Daten an Microsoft nicht ausgeschlossen werden kann. Auch wenn Microsoft Privacy-Shield-zertifiziert ist und Standard-Vertragsklauseln anbietet, werden diese Absicherungen von Datenübermittlungen an Drittländer gerade vom Europäischen Gerichtshof (EuGH) überprüft.
Insbesondere die Verarbeitung der individuellen Nutzungsdaten sowie die Verarbeitung von erstellten Inhalten sind in diesem Zusammenhang problematisch – sowohl im Hinblick auf den Schutz von Mitarbeitern sowie von Kundeninformationen.
Aus diesem Grund sollten Unternehmen gewisse Vorkehrungen treffen, wenn Office 365 als Arbeitsanwendung genutzt werden soll, unter anderem:
- Programme zur Verbesserung der Benutzerfreundlichkeit, Connected Experiences deaktivieren
- Einstellungen u. a. bei der Beschränkung der Diagnosedaten auf die geringste Stufe setzen
- Abschluss eines Auftragsverarbeitungsvertrages
- Abschluss von Standard-Vertragsklauseln
- Durchführung einer eigenen Datenschutzfolgeabschätzung vornehmen
Detailliert Beschreibung der Einstellungsanpassungen bei der Nutzung von Office 365
Ab der Office-ProPlus-Version 1904 stellt Microsoft einige Einstellungen zur Verfügung, um die DSGVO-Konformität zu erhöhen. Um die im Folgenden beschriebenen Einstellungen vornehmen zu können, müssen Unternehmen daher diese oder eine nachfolgende Version verwendet.
Windows-Einstellung
Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.
Programm zur Verbesserung der Benutzerfreundlichkeit
Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.
Beschränkung der Diagnosedaten
Die Übermittlung der Diagnosedaten muss auf die geringste Stufe, „Keine“, eingestellt werden.
Connected Experiences
Folgende Connected Experiences sind zu deaktivieren:
- 3D Maps
- Insert Online 3D Models
- Map Chart
- Office Store
- Insert Online Video
- Researcher
- Smart Lookup
- Insert Online Pictures
- LinkedIn Resume Assistant
- Weather Bar in Outlook
- PowerPoint QuickStarter
- Giving Feedback to Microsoft
- Suggest a Feature
Abschluss eines Auftragsverarbeitungsvertrags
Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen. In diesem Punkt lässt Microsoft auch nicht mit sich verhandeln. Die DAV wird so unterschrieben, wie sie in den OST beschrieben wird.
EU-Standardvertragsklauseln
Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen, die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.
Linked-In-Integration
Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.
Workplace Analytics, Activity Reports, Delve
Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall geprüft werden, da es sich um die Auswertung von Leistungsdaten handelt.
Kunden-Lockbox
Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.
Durchführung einer Datenschutz-Folgenabschätzung
Je nach Art und Umfang der Daten, die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.
Wie DSGVO-konform sind Office Online und Office Mobile
Während mit der Office-ProPlus-Version 1904 einige Einstellungen zum Datenschutz vorgenommen werden können, muss die Verwendung der Office-365-Webanwendung und der Office-Apps bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden.
Abschließend kann gesagt werden, dass Office 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGHs abgewartet werden muss.