Datenschutz bei Microsoft 365 – Teil 1 Grundlagen

Microsoft 365 (ehemals Microsoft Office 365) löst nach und nach die bekannten Microsoft Office Lizenzen weg von der rein lokalen Installation hin zur Cloudlösung ab. Zeit für uns, den Einsatz von Microsoft 365 auch aus Datenschutzsicht zu betrachten. Mit dieser Themenreihe wollen wir nicht nur allgemein über Datenschutz und Microsoft 365 berichten, sondern auch gezielt einzelne Dienste (Teams, Delve, SharePoint etc.) vorstellen und Datenschutzrisiken betrachten, sowie auf wichtige Konfigurationsmöglichkeiten hinweisen.

Datenschutzgrundlagen für den Einsatz von Microsoft 365

 

1.   Der Weg in die Cloud

Die Versprechen der Cloudanbieter sind verlockend. Mit einem Klick in die Cloud! Immer und überall Zugriff auf die eigenen Daten! Und immer die neuesten Aktualisierungen der Anwendungen! Aus Datenschutzsicht sollte dieser Schritt jedoch wohl überlegt und abgewogen werden. Neben Vorteilen der Cloud bringt sie auch Nachteile, Einschränkungen oder Probleme mit sich.

PRO

  • Daten immer und überall im Zugriff
CONTRA

  • Zugriffspunkte und damit auch Angriffspunkte vervielfältigen sich, die geschützt werden müssen.
PRO

  • Ausreichende Rechen- und Speicherkapazität zu jeder Zeit
CONTRA

  • Abgabe der Daten an Microsoft und dessen Partner, was im Ernstfall einen Verlust der Datenhoheit mit sich bringen kann.
  • Internetbandbreite wird stärker belastet und es besteht eine stärkere Abhängigkeit zur Internetanbindung
PRO

  • Softwareprodukte auf dem aktuellen Stand
CONTRA

  • Neuerungen und damit auch Fehler oder Probleme werden ggf. direkt übernommen, zudem müssen sich Mitarbeiter an die schnell ändernden Gegebenheiten anpassen.
PRO

  • Backups und Datenverfügbarkeit sind Aufgabe des Anbieters
CONTRA

  • Vielfach besteht die Abhängigkeit, die Verfügbarkeit- und Backupkonzepte des Anbieters zu übernehmen. Auch bei Microsoft 365. Eigene andere Backupkonzepte sind nur bedingt möglich.
PRO

  • Administration erfolgt durch den Anbieter, der meist höhere Fachkenntnisse in seinem System besitzt
CONTRA

  • Individuelle Einstellungen und Änderungen sind nur innerhalb der Anbietervorgaben möglich. Dies betrifft bspw. auch das unterschiedliche Datenschutzverständnis zwischen Cloudanbieter und Kunde.
  • Zugriffe auf Daten zur Administration können von globalen Dienstleistern oder von Standorten aus Drittstaaten erfolgen.
PRO

  • Höhere Sicherheit beim Cloudanbieter durch höhere Sicherheitsstandards
CONTRA

  • Clouddienste unterliegen aufgrund der vielen Kunden und Daten meist einem höheren Interesse bei Hackern.

2.   Auswahl der richtigen Lizenz

Es gibt eine Vielzahl an unterschiedlichen Lizenzen: Family, Single, Business Basic, Standard oder Premium, Enterprise 1, 3 oder 5. Daher sollte genau überlegt werden, welche Lizenz die richtige ist. Die drei wichtigsten Unterschiede aus Sicht des Datenschutzes sind dabei der Business Einsatz, der Funktionsumfang und die Möglichkeit zum lokalen Arbeiten.

  • Für Unternehmen ist der Business Einsatz wichtig, da ansonsten die erforderlichen Datenschutzverträge nicht Bestandteil werden.
  • Der Funktionsumfang ist für die Prüfung der Sicherheit der Daten und für Einrichtung organisatorischer und technischer Schutzmaßnahmen
  • Die Möglichkeit zum lokalen Arbeiten ist ebenso wichtig, um eine Risikoeinschätzung vorzunehmen. Ist es bspw. nur möglich online mit Microsoft zu arbeiten, hat dies Auswirkungen auf die Verfügbarkeit wie auch auf die Sicherheit, da sensible Verarbeitungen nicht lokal stattfinden können.

3.   Verträge und Datenschutz

Wird ein Microsoft 365 Tenant (Kundenkonto des Unternehmens) bei Microsoft registriert, müssen mit Abschluss der Registrierung auch die erforderlichen Verträge, wie die Online Service Terms (OST) akzeptiert werden, solange keine anderweitigen, individuellen Verträge mit Microsoft ausgehandelt wurden. Wurde früher der Auftragsverarbeitungsvertrag (Data Protection Addendum, DPA) mit in die OST integriert, liegt heute ein separates Dokument vor.

Die aktuellen Online Service Terms finden Sie hier.

Den aktuellen Auftragsverarbeitungsvertrag finden Sie hier.

Wichtig für die Verträge ist, dass die Verträge sich nicht automatisch aktualisieren und damit nicht immer die aktuellste Version gilt. Vielmehr gelten die OST und der DPA die zum Zeitpunkt der Registrierung oder der Vertragsverlängerung des Tenant Gültigkeit hatten.

Fügt Microsoft Neuerungen wie neue Module oder Features innerhalb der Vertragslaufzeit ein, kann Microsoft hier extra Vertragsergänzungen für diese Neuerungen vornehmen.

Empfehlenswert ist es daher, die aktuell gültige Version abzulegen, um den Prozess selbst nachvollziehbar zu halten. Die alten und neuen Vertragsstände können aber auch im Trust-Center von Microsoft abgerufen werden.

Hinweise zu den OST:

  • Auch wenn Microsoft Gesellschaften in Deutschland oder eine Hauptniederlassung in Irland hat, werden die Verträge mit Microsoft Inc. in den USA geschlossen.
  • Der Speicherort der Daten wird nach der geografischen Zone des Tenant bestimmt. Umso wichtiger ist es, bei der Registrierung darauf zu achten, welche Region und Unternehmensdaten man verwendet. Office 365 Services werden für deutsche Kunde in Deutschland betrieben.
  • Nicht alle Microsoft Diente unterliegen dem DPA, bspw. Bing, LinkedIn Angebote oder GitHub werden hiervon in den OST ausgeschlossen.

Hinweise zum DPA:

  • Das DPA beinhaltet einen Auftragsverarbeitungsvertrag, technische und organisatorische Maßnahmen und einen EU-Standardvertrag mit seinen Anhängen.
  • Das DPA spricht weitgehend von Kundendaten, Diagnosedaten und dienstgenerierten Daten. Unter Kundendaten werden alle vom Auftraggeber in die Microsoft-Welt eingebrachten Daten verstanden. Also auch Daten von Kunden, Klienten, Mitarbeitern, Bewerbern, Interessenten etc. des Auftraggebers.
  • Microsoft darf gemäß des DPA personenbezogene Daten nur verarbeiten um,
    • die Microsoft 365 Umgebung bereitzustellen,
    • Probleme zu beheben,
    • die Umgebung kontinuierlich zu verbessern,
    • Abrechnungen und Vergütungen vorzunehmen,
    • Konten zu verwalten,
    • Sicherheits- und Gesetzesverstöße zu verfolgen und zu verhindern,
    • interne Berichterstattungen und Modellierungen vorzunehmen (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie), oder
    • um gesetzlichen Verpflichtungen nachzukommen.

Kritik am DPA:

Problem dabei ist, das unter „Problembehandlung und kontinuierliche Verbesserung“ weitreichende Datenverarbeitungen verstanden werden könne, die auch die umstrittenen Telemetrie-Daten umfassen können.

Explizit ausgeschlossen werden:

    • Benutzerprofilierung
    • Werbung oder ähnliche kommerzielle Zwecke
    • Marktforschung zur Entwicklung neuer Funktionen, Dienstleistungen oder Produkte
  • Mit Abschluss des DPA ist der Auftraggeber in der Pflicht, die im DPA enthaltenen technischen und organisatorischen Maßnahmen zu überprüfen. Er bestätigt mit Abschluss des Vertrages, dass diese für die vorgenommenen/geplanten Datenverarbeitungen in der Microsoft 365 Umgebung angemessen sind.
  • Microsoft verpflichtet sich, mindestens einmal im Jahr eine Prüfung der vorgesehenen Normen – insbesondere der ISO 27001 – durch externe unabhängige Prüfer durchzuführen. Die Prüfungsergebnisse und Berichte werden im Servicetrust-Center zur Verfügung gestellt. Leider kann darauf nur mit einem aktiven Vertrag zugegriffen werden. Einen Zugriff zur Dienstleisterauswahl haben wir nicht gefunden.

Reichen dem Auftraggeber die Prüfungen und Berichte nicht aus, kann er eine zusätzliche Prüfanweisung an Microsoft erteilen. Diese Prüfanweisung erfolgt dann auf eigene Kosten und gegen Gebühr. Die Prüfung kann durch eine von vom Auftraggeber beauftragten, externen, unabhängigen und akkreditierten Prüfungsgesellschaft durchgeführt werden. Microsoft verpflichtet sich, wesentliche fehlende Einhaltung aus den Prüfungen unverzüglich umzusetzen.

Zu Recht kann dabei kritisiert werden, dass die Regelung nicht vorsieht, dass die Kontrolle durch den Auftraggeber erfolgen können, wie es in Art. 28 Abs. 3 lit. h Datenschutz-Grundverordnung (DS-GVO) vorgesehen ist. Jedoch wird dies durch den EU-Standardvertrag und der Anlage 3 mit den Bestimmungen zur DS-GVO konkretisiert und ausdrücklich zugelassen.

Ebenso kann bemängelt werden, dass Kosten für weitergehende Prüfungen verlangt werden können, was von Seiten des Bayrischen Landesbeauftragten für den Datenschutz als unzulässig eingestuft wird. (Statement des BayLfD)

  • Es gibt keine klar definierten Meldewege für die Meldung von Sicherheitsvorfällen. Microsoft behält sich vor, Meldewege im Einzelfall festzulegen und gegebenenfalls Administratoren auch per E-Mail zu informieren. Wichtig ist es daher, die Kontaktdaten der Administratoren immer aktuell zu halten und die E-Mails von Microsoft zu prüfen. Ebenso sollten die Statusinformationen und die Benachrichtigungen im Admin-Center regelmäßig überprüft werden. Hilfreich kann hier auch die Admin-App für das Smartphone sein. Diese gibt bei wichtigen Incidents eine Push-Benachrichtigung aus.
  • Wird ein Abonnement gekündigt, sind die Daten eingeschränkt für weitere 90 Tage nach Kündigung abrufbar. Danach werden sie gesperrt und innerhalb von weiteren 90 Tagen gelöscht. Dabei ist das Abonnement nicht als gesamter Tenant zu verstehen. Vielmehr ist jedes User-Konto ein Abonnement. Wird ein User gelöscht, werden auch seine Daten nach 90 Tagen gelöscht. Dies macht es erforderlich, auch Konzepte zur Übergabe geschäftsrelevanter oder aufbewahrungspflichtiger Daten aus dem Mitarbeiterkonto zu entwickeln und innerhalb von 90 Tagen nach Löschung des Kontos umzusetzen.
  • Microsoft setzt Unterauftragnehmer ein. Dabei ist Microsoft nicht verpflichtet, die Zustimmung des Auftraggebers einzuholen, sondern über neue Auftragnehmer nur über die Benachrichtigungskanäle zu Informieren.

Die Information zu neuen Unterauftragnehmern, die Zugriff auf Kundendaten erhalten, hat mindestens 6 Monate im Voraus zu erfolgen. Für Zugriffe auf Diagnosedaten und dienstgenerierten Daten wird eine Frist von 14 Tagen vorgesehen. Ist der Auftraggeber nicht mit den Unterauftragnehmern einverstanden, wird ihm ein Sonderkündigungsrecht eingeräumt.

Die Liste der Unterauftragnehmer kann im Trust-Center abgerufen werden.

4.   Datenübermittlung in Drittstaaten

Wie oben bei den Hinweisen zu den OST beschrieben, wird der Speicherort der Daten nach der geografischen Zone des Tenant bestimmt. Für deutsche Kunden werden die Microsoft 365 Daten damit in deutschen Rechenzentren gespeichert.

Über den Zusatzplan Microsoft Multi-Geo können jedoch auch abweichende geografische Zonen für die Benutzer festgelegt werden. So ist es beispielsweise trotz des festgelegten Tenants „Deutschland“ möglich, Daten von Beschäftigten an anderen Standorten, wie z.B. den USA in eben diesem Land zu speichern. Insbesondere bei Konzerngesellschaften mit Hauptsitz außerhalb der europäischen Union, ist dies auch eine Möglichkeit die Daten von EU-Gesellschaften auch innerhalb der EU zu speichern.

Um die Onlinedienste bereitzustellen, ist Microsoft nach dem DPA berechtigt, die Daten in jedes Land zu übermitteln, in denen Microsoft oder dessen Unterauftragnehmer tätig sind. Unter Bereitstellung wird dabei die Zurverfügungstellung der Microsoft 365 Funktionen, die Problembehandlung und die kontinuierliche Verbesserung verstanden. Vielfach wird hier eine unklare Definition kritisiert, da doch laut den OST die Daten in einer festgelegten geografischen Zone zu speichern sind. Jedoch trifft die Regelung der OST nur auf „ruhende“ Kundendaten zu. Nicht auf in Verwendung/in Bearbeitung befindliche Daten. Bspw. sind danach Datenübermittlungen in Drittstaaten im Rahmen von Fernwartungszugriffen für die Problembehandlung durch andere Gesellschaften der Unterauftragnehmer möglich. Ebenso könnten bei einem Datenzugriff durch im Ausland befindliche Beschäftigte die Daten in das „nächstgelegene Rechenzentrum“ geladen werden, um den Dienst vor Ort anzubieten. Genau Angaben, wann Daten weitergegeben werden, macht Microsoft nicht.

Zu Legitimation der Datenübermittlung, hat sich Microsoft Inc. (US) jedoch auf das Privacy Shield zertifizieren lassen. Zudem ist in dem DPA ein EU-Standardvertrag enthalten, der die Datenübermittlung in Drittstaaten regelt und auch die Datenweitergabe an Unterauftragnehmer einschließt.

5.   Sichtweisen der Aufsichtsbehörden

Eine klare und eindeutige Positionierung der Aufsichtsbehörden zur datenschutzkonformen Anwendung von Microsoft 365 besteht derzeit nicht. Bekanntestes Beispiel ist die Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), der den Einsatz von Microsoft 365 an Schulen als nicht datenschutzkonform eingestuft hat, um später den Einsatz vorrübergehend, bis zu einer endgültigen Entscheidung zu dulden. (1. Stellungnahme, 2. Stellungnahme)

Das heißt nicht, dass wir dem HBDI den Vorwurf machen, dass er seine Meinung und Einschätzung ändert. Sondern es zeigt eins sehr deutlich: Die Einschätzung der Datenschutzkonformität ist schwierig, insbesondere durch die Vielzahl an unterschiedlichsten Informationen und auch dem unterschiedlichen Verständnis von Datenschutz und Transparenz in der europäischen und amerikanischen Sichtweise. Der große Nachteil für alle, die Microsoft 365 einsetzen: Damit ist es jedem selbst überlassen, eine Einschätzung der Datenschutzkonformität bezogen auf die vorgesehene Datenverarbeitung zu treffen.

Zwei Hauptkritikpunkte der Aufsichtsbehörden:

Die Aufsichtsbehörden bemängeln derzeit hauptsächlich zwei Probleme. Zum einen die Erhebung von Telemetrie-Daten/Diagnosedaten und die Rahmenbedingungen des CLOUD-Acts der USA, wodurch auf Daten von EU-Bürgern, die in Rechenzentren von Microsoft in der EU gespeichert sind, durch US-Behörden zugegriffen werden kann.

Microsoft erhebt Diagnosedaten, um die Funktionsfähigkeit der Anwendungen sicherzustellen und zu verbessern. Dies ist auch Teil des DPA, jedoch wird bemängelt, dass keine Transparenz besteht, wie mit den Daten umgegangen wird und welche Daten verarbeitet werden. Microsoft hat hierauf reagiert. Im Enterprise-Umfeld können Einstellungen bezüglich des Umfangs der Weitergabe von Diagnosedaten durch den Administrator oder durch den User selbst erfolgen. Es kann nur empfohlen werden, die Übermittlung von Diagnosedaten soweit wie möglich zu deaktivieren und auf das erforderliche Maß zu beschränken.

Der CLOUD-Act, der Gerichte und Behörden in den USA berechtigt, auf Daten in der EU oder von EU-Bürgern zuzugreifen, ist in der EU heftig umstritten. Problem hierbei ist, das es nach Art. 48 DS-GVO untersagt ist, Daten, die unter die DS-GVO fallen, auf Behörden oder Gerichtsanforderung eines Drittlandes herauszugeben, wenn dies nicht durch ein bestehendes Rechtshilfeabkommen gedeckt ist. Unklar ist, ob die vorgesehenen Verfahren im CLOUD-Act den bestehenden Rechtshilfeabkommen entsprechen. Hierzu befindet sich die EU in Verhandlungen mit den USA.

Offizielle Aussagen, dass der CLOUD-Act mit EU-Recht nicht vereinbar ist und eine Datenübermittlung in die USA oder an Unternehmen mit Sitz in den USA unzulässig ist, sind nicht bekannt.

6.   Fazit

Schon bei der Entscheidung, ob Microsoft 365 eingesetzt werden soll, sind viele Themen aus Sicht des Datenschutzes zu beachten. Eine generelle Entscheidung, ob Microsoft 365 konform ist, kann pauschal jedoch nicht getroffen werden. Jeder Verantwortliche ist selbst in der Pflicht für seine Datenverarbeitung festzustellen, ob er mit den ausgewählten Lizenzen und Datenverarbeitungen durch Microsoft die Datenschutzgesetze erfüllt. Eine Berücksichtigung unserer Hinweise dürfte in jedem Fall hilfreich sein.

Sollten Sie Fragen zum Datenschutz und Microsoft 365 haben, können Sie sich gern an uns wenden. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Autor: Michael Konitzer

Alle angegeben Links wurden mit Veröffentlichung am 18.06.2020 überprüft. Angegeben Links zu Dokumenten und Verträgen können zu einem späteren Zeitpunkt veraltet sein oder auf veraltete Dokumente verweisen.

Link-Verzeichnis:

 

No Comments

Post a Comment