Datenschutz & Office 365: DSGVO-konformer Einsatz möglich?

Fachbeitrag

Office 365 ist die cloudbasierte Version des Office-Anwendungspakets der Firma Microsoft Corporation. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher, sowie der Cloud-Speicher-Dienst OneDrive. Office hat einen fast unerreichten Stellenwert für jegliche Bürotätigkeit, weswegen ein Verzicht so gut wie ausgeschlossen ist. Aus Datenschutzsicht ist der Einsatz jedoch nicht unbedenklich. Kann Office 365 datenschutzkonform eingesetzt werden?

Datenschutz-Folgenabschätzung aus der Niederlande

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen zum Ende des letzten Jahres fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne. Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft.

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet. Die Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz wohl zulässig ist. Doch was sind eigentlich die datenschutzrechtlichen Probleme beim Einsatz von Office 365?

Datenverarbeitungen bei der Nutzung von Office 365

Zur besseren Einordnung, sollen kurz die verschiedenen Datenverarbeitungen durch Office 365 erläutert werden:

Funktionsdaten

Bei der Nutzung von Office 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten. Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Service Office 365 sind. Microsoft wird hierbei gemäß den Online Service Terms (im Folgenden „OST“) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.

Inhaltsdaten

Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Office 365 erstellen. Diese Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Office 365. Eine Verwendung zu anderen Zwecken ist in den OTS unter „Verarbeitung von Kundendaten“ ausgeschlossen.

Diagnosedaten

Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Office 365 jedoch eine Vielzahl sog. Diagnosedaten. Diese enthalten eine von Office 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können.

Dabei werden unter anderem folgende Datenarten übermittelt. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung zu finden:

• Client-ID
• User-ID
• Dauer der Nutzung eines Office-Diensts
• Größe der bearbeiteten Datei
• Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments)
• Programmsprache

Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA nicht auszuschließen. Microsoft hat angegeben diese Informationen für folgende Zwecke zu verwenden:

1. Bereitstellen und Verbessern des Dienstes,
2. Aktualisierung des Dienstes
3. und dessen Sicherheit.

Weiterhin bestätigte Microsoft die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung. Seit der Office ProPlus Version 1904 gibt es die Möglichkeit die Übermittlung von Diagnosedaten auf folgende Stufen einzustellen: (1) Optimal, (2) Erforderlich, (3) Keine.

Dabei werden jedoch auch bei der Einstellung „(3) Keine“  Diagnosedaten für essentielle Dienste übermittelt, wie etwa die Authentifizierung oder Lizenzprüfungen. Außerdem werden die notwendigen Daten für die Nutzung der Connected Experiences übermittelt.

Connected Experiences

Bei den „Connected Experiences“ handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder der Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei 14 Connected Experiences auch als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke nicht mehr greift. Die Verwendungszwecke von Microsoft als eigener Verantwortlicher umfassen bspw. die Nutzung zur Personalisierung, Werbung oder Produktentwicklung.

Office 365 bietet mittlerweile jedoch die Option die Connected Experiences, für die Microsoft eigener Verantwortlicher ist, zu deaktivieren. Die zu deaktivierenden Connected Experiences sind folgende:

• 3D Maps
• Insert online 3D Models
• Map Chart
• Office Store
• Insert Online Video
• Research
• Researcher
• Smart Lookup
• Insert Online Pictures
• LinkedIn Resume Assistant
• Weather Bar in Outlook
• PowerPoint QuickStarter
• Giving Feedback to Microsoft
• Suggest a Feature

Datenschutzrechtliche Einordnungen der Verarbeitungen

Anders als es noch bei der ersten Datenschutz-Folgenabschätzung der Fall war, hat Microsoft die Verarbeitungszwecke der Diagnosedaten stark eingeschränkt. Von ehemaligen acht Verwendungszwecken sind nur noch die oben genannten drei übrig. Problematisch war dabei immer, dass Microsofts exzessive Nutzung der Daten zu eigenen Zwecken dazu führte, dass das Unternehmen seine Stellung als Auftragsverarbeiter verlor. Microsoft und der Office 365-Kunde wären damit gemeinsam Verantwortliche nach Art. 26 DSGVO gewesen. Dafür stellte Microsoft jedoch kein entsprechendes Vertragswerk zur Verfügung.

So steht es weiterhin um die Verarbeitungen im Rahmen der oben genannten „Connected Experiences“. Die dabei stattfindenden Verarbeitungen sind nicht mit Microsoft als Auftragsverarbeiter zu rechtfertigen. Auch hier kommt man zu dem Ergebnis, dass ein Vertrag zur gemeinsamen Verantwortlichkeit vorliegen müsste.

Ein zu beachtender Punkt ist außerdem, dass eine Übermittlung der Daten an die Server von Microsoft in den USA nicht ausgeschlossen werden kann. Microsoft ist zwar Privacy-Shield-zertifiziert und bietet Standard-Vertragsklauseln an, jedoch stehen genau diese zwei Methoden zur Absicherung von Datenübermittlungen an Drittländer gerade auf dem Prüfstand des EuGHs. Solange jedoch kein entgegenstehendes Urteil ergangen ist, können mit diesen Methoden weiterhin Datenübermittlungen an Microsoft rechtskonform gestaltet werden.

Empfehlungen für den DSGVO-konformen Betrieb von Office 365

Abschließend sollen die notwendigen Maßnahmen und Einstellungen für einen datenschutzkonformen Betrieb von Office 365 zusammengefasst werden.

• Windows Einstellung:
  Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.
• Programm zur Verbesserung der Benutzerfreundlichkeit:
  Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.
• Office ProPlus Version:
  Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.
• Beschränkung der Diagnosedaten:
  Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.
• Connected Experiences:
  Die unter Punkt 3.4 aufgelisteten Connected Experiences sind zu deaktivieren.
• Abschluss eines Auftragsverarbeitungsvertrags:
  Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.
• EU-Standardvertragsklauseln:
  Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.
• Linked-In-Integration:
  Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.
• Workplace Analytics, Activity Reports, Delve:
  Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall von dem Datenschutzbeauftragten geprüft werden. Da es sich um die Auswertung von Leistungsdaten handelt, ist auch der Betriebsrat einzubeziehen.
• Kunden-Lockbox:
  Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.
• Office-Online und Office-Mobile:
  Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.
• Durchführung einer Datenschutz-Folgenabschätzung:
  Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Kontaktieren Sie dazu im besten Falle Ihren Datenschutzbeauftragten.

Datenschutzkonformer Einsatz von Office 365 im Unternehmen immer einzelfallabhängig

Es ist im Rahmen dieser Handlungsempfehlung darauf hinzuweisen, dass es sich hierbei nicht um eine offizielle Stellung der deutschen Aufsichtsbehörden handelt. Es werden lediglich die Erkenntnisse der Datenschutz-Folgenabschätzung zusammengefasst, die ein privater Dienstleister für das Niederländische Ministerium für Justiz und Sicherheit angefertigt hat. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit veröffentliche erst am 15.07.2019 eine Stellungnahme, und untersagte den Einsatz von Office 365 an hessischen Schulen, nur um wenige Wochen später den Einsatz doch zunächst zu dulden.

Letztlich ist zu sagen, dass man sich beim Befolgen der hier aufgeführten Schritte zwar auf einem guten Weg befindet, aber dadurch keine abschließende Rechtssicherheit beim Einsatz von Office 365 im Einzelfall gewährleistet werden kann. Dies sollte stets durch einen fachkundigen Datenschutzbeauftragten geprüft werden.

Update: Mehr Datenschutztransparenz für kommerzielle Cloud-Kunden (18.11.2019)

Mit einem Newsbeitrag kündigte Microsoft:

„ein Update der Datenschutzbestimmungen in den Microsoft Online Services Terms (OST) unserer kommerziellen Cloud-Verträge an, das aus dem zusätzlichen Feedback unserer Kunden resultiert. Unsere aktualisierten OST werden Vertragsänderungen widerspiegeln, die wir mit einem unserer Kunden aus dem öffentlichen Sektor entwickelt haben, nämlich dem niederländischen Ministerium für Justiz und Sicherheit (niederländisches MoJ).“

Die aktualisierten OST wurden am 8.01.2020 veröffentlicht. Großartige Änderungen ergeben sich dadurch aber nicht.