Datenschutz & Office 365: DSGVO-konformer Einsatz im Unternehmen?

Fachbeitrag

Office 365 ist die cloudbasierte Version des Office-Anwendungspakets der Firma Microsoft Corporation. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher, sowie der Cloud-Speicher-Dienst OneDrive. Office hat einen fast unerreichten Stellenwert für jegliche Bürotätigkeit, weswegen ein Verzicht so gut wie ausgeschlossen ist. Aus Datenschutzsicht ist der Einsatz jedoch nicht unbedenklich. Kann Office 365 datenschutzkonform eingesetzt werden?

Datenschutz-Folgenabschätzung aus der Niederlande

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen zum Ende des letzten Jahres fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne. Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft.

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet. Die Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz wohl zulässig ist. Doch was sind eigentlich die datenschutzrechtlichen Probleme beim Einsatz von Office 365?

Datenverarbeitungen bei der Nutzung von Office 365

Zur besseren Einordnung, sollen kurz die verschiedenen Datenverarbeitungen durch Office 365 erläutert werden:

Funktionsdaten

Bei der Nutzung von Office 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten. Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Service Office 365 sind. Microsoft wird hierbei gemäß den Online Service Terms (im Folgenden „OST“) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.

Inhaltsdaten

Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Office 365 erstellen. Diese Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Office 365. Eine Verwendung zu anderen Zwecken ist in den OTS unter „Verarbeitung von Kundendaten“ ausgeschlossen.

Diagnosedaten

Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Office 365 jedoch eine Vielzahl sog. Diagnosedaten. Diese enthalten eine von Office 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können.

Dabei werden unter anderem folgende Datenarten übermittelt. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung zu finden:

  • Client-ID
  • User-ID
  • Dauer der Nutzung eines Office-Diensts
  • Größe der bearbeiteten Datei
  • Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments)
  • Programmsprache

Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA nicht auszuschließen. Microsoft hat angegeben diese Informationen für folgende Zwecke zu verwenden:

  1. Bereitstellen und Verbessern des Dienstes,
  2. Aktualisierung des Dienstes
  3. und dessen Sicherheit.

Weiterhin bestätigte Microsoft die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung. Seit der Office ProPlus Version 1904 gibt es die Möglichkeit die Übermittlung von Diagnosedaten auf folgende Stufen einzustellen: (1) Optimal, (2) Erforderlich, (3) Keine.

Dabei werden jedoch auch bei der Einstellung „(3) Keine“  Diagnosedaten für essentielle Dienste übermittelt, wie etwa die Authentifizierung oder Lizenzprüfungen. Außerdem werden die notwendigen Daten für die Nutzung der Connected Experiences übermittelt.

Connected Experiences

Bei den „Connected Experiences“ handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder der Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei 14 Connected Experiences auch als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke nicht mehr greift. Die Verwendungszwecke von Microsoft als eigener Verantwortlicher umfassen bspw. die Nutzung zur Personalisierung, Werbung oder Produktentwicklung.

Office 365 bietet mittlerweile jedoch die Option die Connected Experiences, für die Microsoft eigener Verantwortlicher ist, zu deaktivieren. Die zu deaktivierenden Connected Experiences sind folgende:

  • 3D Maps
  • Insert online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Research
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

Datenschutzrechtliche Einordnungen der Verarbeitungen

Anders als es noch bei der ersten Datenschutz-Folgenabschätzung der Fall war, hat Microsoft die Verarbeitungszwecke der Diagnosedaten stark eingeschränkt. Von ehemaligen acht Verwendungszwecken sind nur noch die oben genannten drei übrig. Problematisch war dabei immer, dass Microsofts exzessive Nutzung der Daten zu eigenen Zwecken dazu führte, dass das Unternehmen seine Stellung als Auftragsverarbeiter verlor. Microsoft und der Office 365-Kunde wären damit gemeinsam Verantwortliche nach Art. 26 DSGVO gewesen. Dafür stellte Microsoft jedoch kein entsprechendes Vertragswerk zur Verfügung.

So steht es weiterhin um die Verarbeitungen im Rahmen der oben genannten „Connected Experiences“. Die dabei stattfindenden Verarbeitungen sind nicht mit Microsoft als Auftragsverarbeiter zu rechtfertigen. Auch hier kommt man zu dem Ergebnis, dass ein Vertrag zur gemeinsamen Verantwortlichkeit vorliegen müsste.

Ein zu beachtender Punkt ist außerdem, dass eine Übermittlung der Daten an die Server von Microsoft in den USA nicht ausgeschlossen werden kann. Microsoft ist zwar Privacy-Shield-zertifiziert und bietet Standard-Vertragsklauseln an, jedoch stehen genau diese zwei Methoden zur Absicherung von Datenübermittlungen an Drittländer gerade auf dem Prüfstand des EuGHs. Solange jedoch kein entgegenstehendes Urteil ergangen ist, können mit diesen Methoden weiterhin Datenübermittlungen an Microsoft rechtskonform gestaltet werden.

Empfehlungen für den DSGVO-konformen Betrieb von Office 365

Abschließend sollen die notwendigen Maßnahmen und Einstellungen für einen datenschutzkonformen Betrieb von Office 365 zusammengefasst werden.

  • Windows Einstellung:
    Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.
  • Programm zur Verbesserung der Benutzerfreundlichkeit:
    Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.
  • Office ProPlus Version:
    Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.
  • Beschränkung der Diagnosedaten:
    Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.
  • Connected Experiences:
    Die unter Punkt 3.4 aufgelisteten Connected Experiences sind zu deaktivieren.
  • Abschluss eines Auftragsverarbeitungsvertrags:
    Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.
  • EU-Standardvertragsklauseln:
    Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.
  • Linked-In-Integration:
    Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.
  • Workplace Analytics, Activity Reports, Delve:
    Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall von dem Datenschutzbeauftragten geprüft werden. Da es sich um die Auswertung von Leistungsdaten handelt, ist auch der Betriebsrat einzubeziehen.
  • Kunden-Lockbox:
    Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.
  • Office-Online und Office-Mobile:
    Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.
  • Durchführung einer Datenschutz-Folgenabschätzung:
    Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Kontaktieren Sie dazu im besten Falle Ihren Datenschutzbeauftragten.

Datenschutzkonformer Einsatz von Office 365 im Unternehmen immer einzelfallabhängig

Es ist im Rahmen dieser Handlungsempfehlung darauf hinzuweisen, dass es sich hierbei nicht um eine offizielle Stellung der deutschen Aufsichtsbehörden handelt. Es werden lediglich die Erkenntnisse der Datenschutz-Folgenabschätzung zusammengefasst, die ein privater Dienstleister für das Niederländische Ministerium für Justiz und Sicherheit angefertigt hat. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit veröffentliche erst am 15.07.2019 eine Stellungnahme, und untersagte den Einsatz von Office 365 an hessischen Schulen, nur um wenige Wochen später den Einsatz doch zunächst zu dulden.

Letztlich ist zu sagen, dass man sich beim Befolgen der hier aufgeführten Schritte zwar auf einem guten Weg befindet, aber dadurch keine abschließende Rechtssicherheit beim Einsatz von Office 365 im Einzelfall gewährleistet werden kann. Dies sollte stets durch einen fachkundigen Datenschutzbeauftragten geprüft werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Da ergeben sich mir doch einige Fragen:
    Was hat Windows mit Office 365 zutun? Was ist mit „O365 Webanwendungen“ gemeint? Sind die EU Vertragsklauseln für EU-Kunden nicht automatisch Teil des Abos? Was spricht gegen die Verwendung der „Office Apps“?

    • Ich denke Sie beziehen sich mit Ihrer ersten Frage auf die Handlungsempfehlungen und die darin beschriebenen Einstellungen des Windows-Betriebssystems. Die Telemetriedatenübermittlung von Windows 10 übermittelt bei jeder höheren Einstellung als „Sicher“ auch Informationen über die Nutzung von Office ProPlus Anwendungen.

      Mit Office 365 Webanwendungen sind die Web-Clients der Office Programme im Rahmen der Office 365 ProPlus Suite gemeint – siehe https://www.office.com/?ms.officeurl=webapps.

      Die EU-Vertragsklauseln sind standartmäßig in den OTS enthalten.

      Für genauere Informationen zu den datenschutzrechtlichen Problemen können Sie sich gern die im Beitrag verlinkte Datenschutz-Folgenabschätzung ansehen. Zusammenfassend ist zu sagen, dass es weder bei den mobile Apps noch der Web-Anwendung die Möglichkeit gibt, den Umfang der Diagnosedatenübermittlung zu regulieren. Da es keinen Viewer in den mobile Apps und Webanwendungen gibt, können Nutzer auch nicht einsehen, welche Daten an Microsoft übermittelt werden.
      Für diese Datenverarbeitungen sieht Microsoft sich als Verantwortlicher und nicht als Auftragsverarbeiter. Microsoft kann die in diesem Zusammenhang erhobenen Daten deshalb für alle 14 Zwecke, die in dem „privacy statement“ von Microsoft genannt werden, verarbeiten. Es gibt in den in Rede stehenden Anwendungen weiterhin auch keine Möglichkeit „Connected Experiences“ abzustellen, wodurch ein Opt-Out nicht möglich ist.

  2. Diesmal haben Sie sich ja wirklich lange Zeit gelassen – Veröffentlichung der Dokumente war ja bereits im Juli 2019. Ist man eindeutig nicht gewöhnt!

    Auch wird nicht erwähnt, dass die DSK bereits im August angekündigt hat, 0365 ebenfalls einer Prüfung zu unterziehen.

  3. MS-Office Datenschutzeinstellungen

    Richtlinieneinstellungen zur Verwaltung der Datenschutzsteuerelemente für Office 365 ProPlus verwenden

    https://docs.microsoft.com/de-de/deployoffice/privacy/manage-privacy-controls

    Einstellungen zum Verwalten von Datenschutzsteuerelementen für Office für Mac verwenden

    https://docs.microsoft.com/de-de/deployoffice/privacy/mac-privacy-preferences

    Office für Mac erlaubt granularen Datenschutz
    von Halyna Kubiv

    https://www.macwelt.de/news/Office-fuer-Mac-erlaubt-granularen-Datenschutz-10647889.html

    • Die LinkedIn-Integration stellt eine der „Connected Experiences“ dar, für die Microsoft sich als eigener Verantwortlicher sieht. LinkedIn Resume Assistant prüft dabei bspw. Word-Dokumente, um festzustellen ob es sich um einen Lebenslauf handelt, der mit LinkedIn veröffentlicht werden soll. Dabei wurden Diagnosedaten ausgelesen, die die E-Mail-Adresse des Nutzers, eine eindeutige ID, sowie Geräteinformationen enthielten. Diese Datenübermittlungen finden selbst dann statt, wenn die Übersendung von Diagnosedaten auf die geringste Stufe „Keine“ eingestellt ist.

      Hierbei mangelt es an einer geltenden Rechtsgrundlage für die Verarbeitung, da Microsoft für diese Verarbeitung kein Auftragsverarbeiter ist, sondern eigener Verantwortlicher. Der Nutzer hat in die Übermittlung dieser Daten an Microsoft und damit auch in die USA nicht zugestimmt und aufgrund der Intransparenz kann auch nicht davon ausgegangen werden, dass die Betroffenen mit einer solchen Verarbeitung vernünftigerweise rechnen müssen.

      Es wird deshalb empfohlen die Integration von LinkedIn zu deaktivieren.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.