Microsoft und die DSVGO

Für viele Unternehmen ist die Entscheidung zur Nutzung von Microsoft 365 durch diverse Unsicherheiten geprägt. Die Unsicherheit resultiert aus dem Wunsch oder der Notwendigkeit zur Nutzung der Microsoft Cloud-Produkte. Aus der anderen Seite existieren die sehr abwertende Meinung einzelner Datenschutzaufsichtsbehörden, mediale Aufmerksamkeit selbsternannter Datenschützer und Microsoftgegner sowie das im Juli 2020 ergangene Urteil am Europäischen Gerichtshof, das das Privacy Shield-Abkommen als angemessene Garantie zur Übermittlung von personenbezogenen Daten in die USA für unwirksam erklärt hat.

Was sind Diagnosedaten?

Um einzelne Kritikpunkte zu verstehen müssen Kunden der Microsoft-Produkte sich erst mal einen Überblick verschaffen welche unterschiedlichen Datenarten Microsoft für seine Kunden verarbeitet.

Es handelt sich hierbei um folgende Kategorien von Daten:

  • Kundendaten – das sind die Dateien, Dokumente, E-Mails und Nachrichten, die das Kundenunternehmen erzeugt und in der Microsoft-Cloud ablegen
  • Diagnosedaten – hierbei handelt es sich um Daten, die während der Nutzung der Microsoftdienste über die Verwendung der Produkte ermittelt werden. Diese Daten entstehen sowohl bei der Nutzung von Windows 10 aber auch bei den unterschiedlichen Diensten in Microsoft 365 (früher Microsoft Office 365)

Ergänzend zu den o. a. Datenkategorien gibt es in Windows 10 die Funktionsdaten und in Microsoft 365 die Connected Experiences Services (Verbundene Dienste). Hierbei handelt es sich beispielsweise um die Gestaltungsempfehlungen in PowerPoint oder die Übersetzung von Texten in E-Mails oder Word-Dokumenten sowie das Diktieren von Texten und Umwandlung in Text.

Die Diagnosedaten beinhalten neben der Fehlerinformation eine zufällig generierte Geräte-ID (diese wird für alle gesendeten Diagnosedaten verwendet). Diese Information ist für Microsoft relevant, um ermitteln zu können, ob ein Fehler auf einem Gerät 1.000 Mal oder auf 1.000 unterschiedlichen Geräten auftritt und somit ein Produktproblem ist.

Das Verständnis für diese drei Datenkategorien ist wichtig für die eigene Risikobewertung.

 

Bewertung der DSGVO-Konformität von Microsoft 365

Eine sicherlich weitläufig bekannte Meinung kommt aus den Niederlanden – das niederländische Justizministerium hat bereits im November 2018 im Rahmen einer Lizenzverhandlung mit Microsoft eine Datenschutzfolgenabschätzung zu Microsoft Office 365 durchgeführt und kam dabei zu folgendem Ergebnis:

Microsoft Office 365 (Version 1904, verfügbar ab März 2019) in der Variante Microsoft 365 Apps for Enterprise (früher Office 365 ProPlus) ist mit technischen, organisatorischen und vertraglichen Maßnahmen DSGVO-konform einsetzbar.

Zu den technischen und organisatorischen Maßnahmen und Empfehlungen gehörte damals u. a. die Vermeidung der Webvarianten der Officeprodukte, die im Browser laufen, Abstellen der Connected Experiences sowie sämtlicher Diagnosedaten.

Microsoft hat auf die Meinung aus den Niederlanden reagiert und im März 2019 ein Tool zur Anzeige der übermittelten Diagnosedaten im Microsoft Store zur Verfügung gestellt, damit die Kunden Transparenz über die Diagnosedaten in Windows 10 und den Office-Produkten erhalten. Des Weiteren wurden Einstellungsmöglichkeiten zur Übermittlung von Diagnosedaten in die Office-Produkte integriert. So können Kunden wählen, ob die erforderlichen, optionalen oder gar keine Diagnosedaten übermitteln möchten.

Des Weiteren wurden durch Microsoft zum Januar 2020 neue Vertragsdokumente (https://aka.ms/OST und https://aka.ms/DPA) und für die datenschutzrechtliche Behandlung der Microsoftdienste bereitgestellt.

Im Juli 2020 hat das niederländische Justizministerium eine neue Datenschutzfolgenabschätzung veröffentlicht. In dieser wurde erneut bestätigt, dass die Office im Web-Varianten nicht eingesetzt werden sollten. Des Weiteren wurde u. a. kritisiert, dass die Liste der Unterauftragsverarbeiter nicht vollständig wäre und die im DPA (Data Protection Addendum) aufgeführten legitimen Geschäftszwecke zu weitreichend wären.

Der zweite sehr medial geführte Schlagabtausch findet aktuell zwischen der Berliner Datenschutzaufsichtsbehörde und Microsoft statt – der Berliner BfDI hat im März 2020 eine Bewertung verschiedener Anbieter von Videokonferenzdiensten während den Kontaktbeschränkungen herausgegeben. Eine weiterführende Betrachtung zu diesem Vorgang finden Sie im Blog von Stefan Köster eConsulting: https://www.koester-econsulting.com/microsoft-vs-berlin/

Die dritte Unsicherheit für Unternehmen in der EU ergibt sich aufgrund des EuGH-Urteils vom 16.7.2020 zur Unwirksamkeit des Privacy Shield-Abkommens als angemessene Garantie zur Übermittlung von personenbezogenen Daten in die USA (und Drittländer).

Dazu empfiehlt die Deutsche Datenschutzkonferenz, dass eine Übermittlung von Daten auf Basis der EU-Standardvertragsklauseln in Verbindung mit ergänzenden Schutzmaßnahmen, die eine Einsicht in die übermittelten Daten durch Geheimdienste in den USA unterbinden. Als ein Beispiel wird die Verschlüsselung von Daten aufgeführt.

Zum Umgang mit diesem Urteil und seinen Auswirkungen haben die deutschen Aufsichtsbehörden auch sehr unterschiedliche Meinungen publiziert. Im Gegensatz zur Berliner Datenschutzaufsichtsbehörde, die sofort alle Übermittlungen in die USA unterbinden möchte, sieht die Aufsichtsbehörde in Baden-Württemberg hier verschiedene Wege, die in einer Orientierungshilfe sehr gut kommuniziert wurden (https://www.baden-wuerttemberg.datenschutz.de/verunsicherung-nach-schrems-ii-urteil-lfdi-baden-wuerttemberg-bietet-hilfestellung-an/).

 

Microsoft reagiert

Microsoft war in den letzten Monaten nicht untätig und hat auf die unterschiedlichen Entwicklungen im europäischen Markt sowie den einzelnen Kritikpunkten aus den Aufsichtsbehörden reagiert. So gab es diverse Anpassungen am DPA sowie den OST und den darin enthaltenen CoreServices, die unter diese Vertragsdokumente fallen. Die Liste der Unterauftragsverarbeiter wurde aktualisiert und eine neue Funktion zur Verschlüsselung von Kundendaten (Double Key Encryption) in die public Preview gebracht.

Des Weiteren arbeitet Microsoft mit einzelnen Ministerien und Datenschutzaufsichtsbehörden (Einsatz von Microsoft Teams in Baden-Württemberg), auf bundesdeutscher Ebene mit dem Bundesdatenschutzbeauftragten und der DSK (Nutzung von Office 365) und auf europäischer Ebene mit dem europäischen Datenschutzausschuss zusammen. Hier dürften in absehbarer Zeit Ergebnisse zu erwarten sein.

 

Handlungsempfehlung zum Einsatz von Microsoft 365

Zum Schluss könnte folgende Handlungsempfehlung die Unsicherheiten reduzieren und ergänzt um eine Risikobewertung zu einem positiven Bewertungsergebnis bei den meisten Unternehmen führen.

  • Eine wichtige Grundvoraussetzung ist die Nutzung eines bezahlten Businessplans, also die Lizensierung, damit die relevanten Vertragsdokumente gelten.
  • Prüfen Sie in den OST und die darin enthaltenen Core Services – nutzen Sie nur diese Dienste.
  • Reduzieren Sie die Connected Expierences und Diagnosedaten auf ein dem Schutzbedarf ihrer Daten angemessenes Niveau
  • Vermeiden Sie die Nutzung der Office Web-Versionen oder stellen Sie die übermittelten Diagnosedaten ein (ggf. zusätzliche Lizenzen notwendig)
  • Verwenden Sie einen eigenen Schlüssel zur Verschlüsselung ihrer Kundendaten (BYOK, Bring your own Key, zusätzliche Lizenzen notwendig)
    • Prüfen Sie ggf. den Einsatz von HYOK (Hold your own Key) oder DKE (Double Key Encryption) für besonders schutzwürdige Dokumente

Führen Sie ggf. ergänzend eine Betrachtung der (Rest-)Risken durch. Betrachten Sie hierbei die Kundendaten und Diagnosedaten getrennt!

Folgende Tabelle visualisiert meine Betrachtungsweise:

Ein Gastbeitrag von Stefan Köster eConsulting | Op de Elg 13a | 22393 Hamburg | Web: www.koester-eConsulting.com