Viele Unternehmen arbeiten mit Microsoft Office 365. Doch aus datenschutzrechtlicher Sicht ist dieser Dienst nicht unbedenklich: es mangelt an Sicherheitsstandards.

Microsoft´s Antwort: Microsoft 365. Denn so heißt der ehemalige Service Office 365 nun. Geworben wird mit einer Komplettlösung, die innovative Office-Anwendungen, intelligente Cloud-Dienste und erstklassige Sicherheit vereint.

Klingt versöhnlich – nicht wahr? Wir gehen der Sache mit Fokus auf die datenschutzrechtlichen Aspekte auf den Grund und zeigen Ihnen, wie Sie das Datenschutzlevel im Umgang mit Microsoft 365 verbessern können.

Mangelnder Datenschutz bei Microsoft Office 365

Damit wir alle auf den gleichen Wissensstand bringen können: was wurde eigentlich an Office 365 bemängelt? Wie genau spiegelten sich die Sicherheitslücken wider?

Nach einer Datenschutz-Folgenabschätzung aus den Niederlanden wurden 8 Problempunkte bei der Verwendung von Office 365 detektiert:

  • Mangelnde Transparenz: es gibt keine Übersicht über spezifische Risiken für die einzelnen Organisationen
  • Ungehinderte Sammlung von Diagnosedaten: Der User hat keine Möglichkeit, die Sammlung von Diagnosedaten zu beschränken oder gar zu beenden
  • Datenspeicherung: u.a. personenbezogene Daten wurden aus Metadaten oder Dateiinhalten unrechtmäßig gespeichert
  • Einstufung als Auftragsverarbeiter und nicht als gemeinsamer Verantwortlicher
  • Mangelhafte Kontrolle über Subdienstleistern und die faktische Verarbeitung
  • Fehlende Zweckbeschränkung für gesammelte Diagnosedaten sowie für die Möglichkeit des Hinzufügens von neuen Ereignissen
  • Datentransfer in Drittländer auf Grundlage des EU-U.S. Privacy Shields
  • Fehlende zeitliche Begrenzung für die Speicherung von Diagnosedaten und fehlende Löschungsmöglichkeit

Microsoft reagierte darauf und minimierte die Datenschutzrisiken – dies gelang jedoch nur bei den Punkten 1 und 2 in zufriedenstellender Weise.

Die Lösung

Microsoft 365 soll jedoch nun die Lösung sein: Microsoft Windows 10, Office 365, Sicherheitslösungen und Gerätemanagement in einem Paket:

Microsoft 365: datenschutzkonform?

Doch auch bei Microsoft 365 sollten Sie einige Punkte beachten, da die Nutzung einer Public Cloud Risiken mit sich bringt. Um zu 100% datenschutzkonform zu sein, müssen Sie einige unternehmensinterne Prozesse durchführen:

Binden Sie Microsoft 365 in Ihr Verarbeitungsverzeichnis ein

Kurz gesagt: In diesem Verzeichnis müssen all Ihre Verarbeitungsvorgänge aufgelistet werden. Und da darf Microsoft 365 nicht fehlen.

Doch was genau muss solch ein Verzeichnis enthalten?

Hier finden Sie ein Muster für ein VVT von Johannes Nehlsen.

Nutzen Sie noch weitere Dienste von Microsoft? Dies sind unter anderem:

  • Forms (Online Formulare)
  • Planer für die Arbeitsorganisation
  • Office Online (Word, PowerPoint, Excel, OneNote, usw.)
  • Office Lens (zur Digitalisierung von Dokumenten)
  • OneDrive Business
  • Teilen eigener Dateien
  • Stream (Interne Videoplattform)
  • Sway (Alternative zu Prezi)
  • Teams (Zusammenarbeit und Kommunikation)
  • To Do (Aufgabenverwaltung)
  • Whiteboard

Dann sollten Sie diese ebenfalls nennen und den Zweck und den Inhalt der Datenverarbeitung durch diese Dienste auflisten.

Benötigen Sie jedoch Hilfe bei der Erstellung oder Überarbeitung eines VVT? Dann kontaktieren Sie uns gerne!

Betriebs- bzw. Dienstvereinbarung zur Nutzung von Microsoft 365

Beachten Sie, dass eine Betriebs- oder Dienstvereinbarung zur Nutzung von Microsoft 365 ggf. geplant oder umgesetzt werden muss

Was versteckt sich dahinter? Bei einer Betriebs- bzw. Dienstvereinbarung wird ein Vertrag zwischen Arbeitgeber und Betriebsrat geschlossen, der nicht nur Rechte und Pflichten dieser Betriebsparteien begründet, sondern auch verbindliche Normen für alle Arbeitnehmer des Betriebs festlegt.

Bei einer Dienstvereinbarung sind die Vertragsparteien dann die Dienststellungsleitung und der Personalrat.

So weit, so gut. Doch was muss dort jetzt alles enthalten sein?

Damit dieser Vertrag Hand und Fuß hat und Sie bei der Erstellung des Vertrages einen Leitfaden haben, an dem Sie sich langhangeln können, haben wir Ihnen eine typische Gliederung einer Betriebs- bzw. Dienstvereinbarung herausgesucht:

  • Geltungsbereich
  • Funktionsumfang
  • Nutzungskonzept
  • Datenschutz und Datensicherheit
  • Informationssicherheit
  • Protokollierung
  • Löschung der Benutzerkonten
  • Verhalts- und Leistungskontrolle (und des Verzichts auf diese (soweit nicht gesetzlich vorgeschrieben))
  • Information und Schulung der Beschäftigten
  • Beteiligung und Rechte des Personalrats (legen Sie fest, welche Rolle dem Personalrat mit lesendem Zugriff auf Office 365 bereitgestellt wird)
  • Schlussbestimmungen
  • Anlage der zugelassenen Dienste

Benötigten Sie Hilfe bei der Ausformulierung und Erstellung eines solchen Vertrages, kontaktieren Sie uns gerne!

Microsoft 365 verwenden?

Falls die Frage aufkommt:
Soll Microsoft 365 wirklich verwendet werden? Dann können Sie bei der Entscheidungsfindung noch weiter Aspekte heranziehen: Erstellen Sie beispielsweise eine interne Dokumentation zur Wirtschaftlichkeit des Dienstes oder wiegen Sie die Vorteile anderer Dienste mit denen von Microsoft 365 ab.

Datenschutzinformationen für Beschäftigte

Erstellen Sie Datenschutzinformationen für die Beschäftigten:
Was gibt es aus datenschutzrechtlicher Sicht beim Umgang mit Microsoft 365 zu beachten?

Sensibilisieren Sie Ihre Mitarbeiter beispielsweise in einem Seminar oder in einer Schulung über die Risiken und die datenschutzkonforme Nutzungsweise von Microsoft 365.

Hier können Sie sich an folgenden Bereichen orientieren:

  • Machen Sie Ihren Mitarbeitern klar, dass die Verwendung von Microsoft 365 im Unternehmen auch nur zu dienstlichen Zwecken genutzt werden darf
  • Auch sind die Mitarbeiter selbst für die Sicherung und Archivierung verantwortlich.
  • Sobald Sie mit der Anwendung personenbezogene Daten Dritter verwenden, müssen die datenschutzrechtlichen Vorschriften eingehalten werden.
    Auf was Sie hier genau zu achten haben, erklären wir Ihnen gerne in einem persönlichen Gespräch!
  • Generell gilt: unveröffentlichte personenbezogene Daten von Personen, die nicht Microsoft 365 bzw. Office 365 nutzen, sowie Daten von Personen, die nicht im Bezug zu aufgabenbezogener Kommunikation stehen dürfen ebenso wenig wie Daten, die besonderer Geheimhaltung unterliegen unverschlüsselt in das Speicherangebot des Dienstes abgelegt werden.
  • Speichern Sie Ihre Daten verschlüsselt ab. Dieser Schlüssel muss jedoch auch den Anforderungen eines sicheren Passworts entsprechen (BSI TR-02102-1)

Hausordnung für Microsoft 365

Darüber hinaus können Sie eine Hausordnung für die Nutzung von Microsoft 365 verwenden.

So wissen alle Mitarbeiter genau, wie Sie sich mit den Diensten von Microsoft verhalten sollen. Inhalte könnten folgende sein (am Beispiel Microsoft Teams):

  • Teams wird als Zentrum der Kommunikation festgelegt
  • Rechtliche Bestimmungen
  • Aktive Nutzung von Teams
    Kommunikation in Ton und Bild kann besonders von Nutzen sein, wenn kein direkter Kontakt möglich ist
  • Keine Silobildung:
    Gruppenchats sollten in betrieblichen Kontexten vermieden werden. Informationen sollten in den jeweiligen Teams gehalten werden.
  • Respektvolle Kommunikation

Technische Aspekte: Datenübertragung minimieren

Beurteilen, optimieren und ggf. dokumentieren Sie den Einsatz von Microsoft 365 im Hinblick auf die IT-Sicherheit.

Hierunter fallen Belange unterschiedlicher Art, die sich auch nach den Standards in Ihrem Unternehmen orientieren. Haben Sie Fragen? Dann kontaktieren Sie uns gerne!

Deaktivierung bzw. Konfiguration der Telemetrie Funktionen

Deaktivieren bzw. konfigurieren Sie die Telemetrie Funktionen bei Microsoft 365. Denn Microsoft sammelt Informationen auf den Endgeräten des Users und nutzt diese für eigene Geschäftsinteressen.

Jedoch gibt es Tricks, durch die der Umfang der Datensammlung begrenzt werden kann.

Zum Verständnis

Der Begriff der Telemetriedaten wird häufig für die gesammelten Daten verwendet. Nun wurde dieser Begriff jedoch durch den wohl aussagekräftigeren Begriff der "Diagnosedaten" getauscht.

Windows 10

Microsoft bietet mittlerweile die Möglichkeit, die Übermittlung der Diagnosedaten zu kontrollieren.

Verwalten Sie Ihr Betriebssystem zentral und nutzen Sie die Editionen Enterprise oder Education, stehen Ihnen noch weitere Optionen zur Einschränkung des Sendeverhaltens zu Diagnosedaten zur Verfügung.

Der Umgang mit Diagnosedaten von Microsoft kann in vier Ebenen unterteilt werden: „Sicherheit“, „Einfach“, „Erweitert“ und „Vollständig“.

Setzen Sie das Level „Sicherheit“, wenn Sie Ihren digitalen Fußabdruck verkleinern wollen.

Trotz der Einstellung „Sicherheit“ kann es sein, dass weitere Diagnosedaten erhoben werden. Sie können diese jedoch anzeigen ("Diagnosedaten anzeigen") und löschen ("Diagnosedaten löschen"), indem Sie in Ihren Einstellungen unter dem Menüpunkt „Datenschutz“ „Diagnose und Feedback“ wählen.

Office 365 (Desktop-Anwendung)

Unsere Empfehlung: verwalten Sie Office 365 zentral.

Wählen Sie dann zwischen den Optionen: „Erforderlich“, „Optional“ sowie „Weder noch“. Die Kategorie „Weder noch“ ist vorzugswürdig, wenn Sie Ihren digitalen Fußabdruck verkleinern möchten.

Achtung: Für einige Nutzergruppen kann das Level „Optional“ notwendig sein, wenn Sie auf bestimmte Funktionen zugreifen wollen.

Frühere Office 365 Versionen bieten diese Möglichkeiten nicht. Hier gibt es lediglich die Möglichkeit, die übermittelten Diagnosedaten über einen Viewer einzusehen.

Auf einen Blick: Die Anleitung zu den Datenschutzeinstellungen

Fazit

Microsoft hat mit Microsoft 365 auf die Vorwürfe der Sicherheitslücken reagiert. Jedoch bleiben einige Punkte undurchsichtig.

Es müssen also einige individuelle Einstellungen getätigt werden, um die Datenübermittlung an Microsoft zu minimieren und wirklich datenschutzkonform zu arbeiten.
Werden diese Schritte jedoch beachtet, steht der Verwendung von Microsoft 365 nichts mehr im Wege.

Haben Sie noch Fragen oder möchten Sie weitere Informationen zur datenschutzkonformen Arbeit mit Microsoft 365?

Auf der Seite des Rechenzentrums der Uni Würzburg lassen sich viele nützliche Tipps und Tricks finden: z.B. Welcher Ansprechpartner steht bei welchem Belang bei Microsoft zur Verfügung?

Oder möchten Sie eine individuelle Beratung oder eine Expertenmeinung? Dann rufen Sie uns gerne an!

Erhalten Sie unverbindlich Ihr individuelles Angebot

Füllen Sie unseren kurzen Fragebogen aus und wir erstellen Ihnen ein für Ihre Anforderungen passendes Angebot zusammen.