Zum Inhalt springen Zur Navigation springen
Datenschutzkonformer Einsatz von Microsoft Power BI

Datenschutzkonformer Einsatz von Microsoft Power BI

Artikel von Friederike Keil·18. März 2024

Power BI, eine Tool-Sammlung aus dem MS 365 Softwarepaket, bietet dem Nutzer die Möglichkeit Daten aus verschiedenen Quellen zu analysieren und daraus Berichte zu erstellen. Deutsche Aufsichtsbehörden stehen dem Einsatz von MS 365 weiter skeptisch gegenüber. Daher gibt dieser Beitrag einen Überblick darüber was beim Einsatz von Power BI datenschutzrechtlich zu berücksichtigen ist.

Funktionsweise von Power BI von Microsoft

Power BI ist kein einzelnes Tool, sondern eine Sammlung von Softwarediensten, Apps und Connectors. Diese Sammlung ermöglicht es, Daten aus verschiedenen Quellen (Excel-Tabellen, Datenbanken verschiedenster Formate) zu analysieren, in Berichten zusammenzufassen und diese in leicht zugängliche Visualisierungen umzuwandeln. Anbieter und Vertragspartner dieser Tool-Sammlung ist die Microsoft Ireland Operations Limited mit der Konzernmutter Microsoft Inc. mit Sitz in den USA.

Power BI besteht aus verschiedenen, eng miteinander verzahnten Elementen. Die drei Grundkomponenten sind:

  • Power BI Desktop = eine Windows Desktopanwendung,
  • Power BI Service = eine vergleichbare Anwendung als SaaS-Applikation,
  • Mobile Power BI Apps = Anwendungen für mobile Endgerät.

Unterschiedliche Typen von Nutzern bei Power BI von Microsoft

Bei Power BI gibt es zwei grundlegend verschiedene Typen von Nutzern: den einfachen Nutzer und den Designer/Ersteller.

  • Designer sind diejenigen Personen, die festlegen, welche Daten bzw. welche Datenquellen zu welchen Zwecken zusammengefasst, analysiert und auf welche Weise sie visualisiert werden und mit einfachen Nutzern (im Unternehmen) geteilt werden sollen. Damit sind die Designer so etwas wie die Herrscher über die Daten.
  • Einfache Nutzer erhalten die fertigen Berichte und Dashboards vom Designer. Die Nutzer können diese in der Onlineversion von Power BI, dem Power BI Service, selbst nach ihren eigenen Bedürfnissen untersuchen, filtern, kommentieren und dauerhaft überwachen. Sie können auch eigene Berichte und Visualisierungen aus den Ihnen zur Verfügung gestellten Berichten und Visualisierungen erstellen und exportieren.

Welche Daten werden durch Microsoft verarbeitet?

Wie auch bei anderen, „klassischeren“ Anwendungen des MS 365 Pakets können bei der Nutzung von Power BI verschiedene Arten personenbezogener Daten verarbeitet werden. Dies sind zum einen die sog. Inhaltsdaten, also sämtliche Daten, die durch die Nutzer im Rahmen des Dienstes selbst generiert werden. Im Falle von Power BI können dies vor allem Daten aus Tabellen oder Datenbanken bzw. den erzeugten Berichten und Visualisierungen sein. In vielen praktischen Anwendungsfällen dürften die verwendeten Datenquellen keine personenbezogenen Daten enthalten.

Neben den Inhaltsdaten werden sog. Funktionsdaten verarbeitet, ohne die der Dienst technisch nicht funktionieren würde (z.B. Interaktionen des Nutzers mit den Servern). Es werden auch sog. Telemetriedaten (auch als Diagnosedaten bezeichnet) verarbeitet. Diese geben Auskunft über die Nutzung eines Tools durch den Anwender, ohne dass diese Daten zur Erbringung des Dienstes erforderlich wären.

Alle drei vorstehend genannten Datentypen weisen möglicherweise (wie hier im Falle der Inhaltsdaten) einen Personenbezug auf, und unterliegen daher datenschutzrechtlichen Vorgaben.

Skepsis der Datenschutzbehörden gegenüber Microsoft

Aufgrund des mittlerweile ergangenen Angemessenheitsbeschlusses der EU-Kommission vom 10.07.2023 stellt der potenzielle Drittlandstransfer von Daten in die USA bei der Nutzung von MS 365-Diensten derzeit kein Problem mehr dar. Die Microsoft Inc. hat sich dem „Data Privacy Framework“ unterworfen, wodurch – nach rechtlichen Maßstäben – ein hinreichendes Datenschutzniveau auch für Datenverarbeitungen in den USA garantiert wird. Eine Garantie dafür, dass dieser Zustand dauerhaft bestehen bleibt, ist damit gleichwohl nicht verbunden.

Deutsche Aufsichtsbehörden stehen dem Einsatz von MS 365 weiter skeptisch gegenüber. So hatte die Datenschutzkonferenz (DSK) in ihrer Stellungnahme vom 14.11.2022 einen datenschutzkonformen Einsatz von MS 365 weiterhin für nicht möglich erachtet. Die hierin geäußerte Kritik scheint jedoch in weiten Teilen überzogen. Zudem dürfte zumindest im Hintergrund einiger der vorgebrachten Bedenken auch die (nunmehr ausgeräumte) Drittlandsproblematik gestanden haben.

Dennoch hat im September vergangenen Jahres eine Gruppe von sieben deutschen Aufsichtsbehörden die vorgenannte Kritik nochmals bekräftigt – und zugleich eine Handreichung veröffentlicht, um Unternehmen dabei zu unterstützen, einen (aus ihrer Sicht notwendigen) ergänzenden Auftragsverarbeitungsvertrag mit Microsoft abzuschließen.

Nutzung von Power BI ohne Auswertung personenbezogener Daten

Soweit in die Berichte/Visualisierungen keine personenbezogenen Daten einfließen, ist die Nutzung von Power BI datenschutzrechtlich überwiegend unbedenklich. Dies würde voraussetzen, dass keine (personenbezogenen) Inhaltsdaten (mit unter Umständen erheblichen Auswirkungen für die Betroffenen) ausgewertet würden. Relevant bliebe dann nur noch der Umgang mit den Daten über die Nutzung des Dienstes durch ein Unternehmen selbst und Microsoft als Anbieter.

Umgang mit Mitarbeiterdaten

Daten aus der Nutzung von Power BI durch die Mitarbeitenden eines Unternehmens weisen einen Personenbezug auf. Diese Daten könnten potenziell von der IT des Unternehmens ausgewertet werden. Außerdem besteht die Möglichkeit, dass ein Ersteller (Designer) sog. „Nutzungsmetriken“ über die von ihm erstellten Berichte/Dashboards abrufen kann. Damit ist gemeint, dass er sehen kann, wer im Unternehmen wie mit seinen Berichten/Dashboards umgeht. Eine solche Überwachung von Mitarbeitenden ist unzulässig, kann (und muss) deaktiviert werden, bzw. sollte sie standardmäßig deaktiviert sein.

Übermittlung von Nutzerdaten an Microsoft

Außerdem kann Microsoft selbst Daten aus der Nutzung des Dienstes erhalten, siehe etwa die oben erwähnten Telemetrie-/Diagnosedaten. Da Power BI auf verschiedene Weisen und mit verschiedenen Geräten genutzt werden kann, fallen hier auch unterschiedliche Arten von Daten an. Soweit möglich sollte darauf geachtet werden die Übermittlung solcher Daten an Microsoft zu unterbinden. Der Telemetriedatenverkehr im Rahmen von MS 365 sollte ohnehin deaktiviert werden. Auch für Power BI Desktop selbst gibt es hinsichtlich der Übermittlung von „Nutzungsdaten“ an Microsoft eine Einstellungsmöglichkeit, die deaktiviert sein sollte. Am kritischsten zu sehen ist die Nutzung des Power BI Services, da dieser ausschließlich über einen Webbrowser aufgerufen werden kann. Welche Daten eines Nutzers hierbei von Microsoft tatsächlich verarbeitet werden, ist von außen nicht genau nachvollziehbar. Es bleibt insoweit nur, auf die Aussagen von Microsoft zu vertrauen, wie auf diejenigen aus dem aktuellen DPA vom 02.01.2024, in dem es u.a. heißt:

„When providing Products and Services, Microsoft will not use or otherwise process Customer Data, Professional Services Data, or Personal Data for: (a) user profiling, (b) advertising or similar commercial purposes, or (c) market research aimed at creating new functionalities, services, or products or any other purpose, unless such use or processing is in accordance with Customer’s documented instructions.“

Dadurch dass Microsoft nicht konkret darüber informiert, welche Telemetriedaten über die Power Automate Cloudanwendung verarbeitet werden, wird es einem Unternehmen zudem erschwert, Mitarbeitende und Vertragspartner rechtskonform (im Sinne der Informationspflichten aus Art. 12 ff. DSGVO) zu informieren.

Nutzung von Power BI mit Auswertung personenbezogener Daten

Soweit jedoch personenbezogene Daten auch Teil der mittels Power BI durchzuführenden Auswertungen sein sollten, wären weitere Problemstellungen zu klären:

Gibt es eine Rechtsgrundlage für die Verarbeitung?

Hinsichtlich der Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten muss zunächst berücksichtigt werden, dass es sich hier zum einen möglicherweise um eine Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO handelt. Sodann kann sich ein Unternehmen gegebenenfalls auf seine berechtigten Interessen im Sinne von Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen.

Zulässigkeit einer Zweckänderung

Da die Daten, die analysiert werden sollen, ursprünglich für einen anderen Zweck erhoben worden sind, läge eine sog. Zweckänderung vor, wenn sie nunmehr zu Zwecken der „Erkenntnisgewinnung für das Unternehmen“ (o.ä.) verwendet werden sollen. Eine solche Zweckänderung wäre unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO zulässig, der einen sog. „Kompatibilitätstest“, d.h. die Prüfung der Vereinbarkeit der neuen Verarbeitung mit dem ursprünglich verfolgten Zweck, vorsieht. Das Problem hierbei ist, dass dieser Kompatibilitätstest nur durchgeführt werden kann, wenn man den genauen (!) Zweck der neuen Verarbeitung benennen und ihn mit dem genauen Zweck der ursprünglichen Datenverarbeitung abgleichen kann. Dies macht es unmöglich, für die Vielzahl denkbarer Anwendungsfälle einer Auswertung mittels Power BI eine allgemeingültige Prognose hinsichtlich der Kompatibilität abzugeben.

Berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO

Ähnlich sieht es aus, wollte man sich als Rechtsgrundlage auf Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen, da auch für die hier erforderliche Interessenabwägung jeweils auf die konkreten Datenverarbeitungen und die mit ihnen verfolgten Zwecke abzustellen wäre. Eine Aussage dergestalt, dass die mit der Nutzung von Power BI durch ein Unternehmen einhergehenden Datenverarbeitungen ohne weiteres auf (z.B.) Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden könnte, lässt sich leider nicht treffen. Vielmehr bedürfte es für jede Auswertung einer Abwägung bzw. Entscheidung anhand der konkreten betroffenen Daten und Zwecke. Aus Praktikabilitätsgründen sollte ein Unternehmen versuchen, hinreichend konkrete Fallgruppen zu bilden, für die dann jeweils die vorgenannten Abwägungen vorgenommen werden können.

Berechtigungs- und Rollenkonzept für Power BI

Besonders wichtig wäre hier ein Berechtigungskonzept, an das sich der Admin bei der Konfiguration halten muss. Aufgrund der weitreichenden Möglichkeiten, über dieses Tool auf (alle möglichen) personenbezogenen Daten zuzugreifen und der Möglichkeit, über bestimmte Formen der Auswertung auch ganz neue Verknüpfungen zu erstellen und neue Einsichten zu erhalten, entstehen durch die Nutzung des Tools potenziell erhebliche datenschutzrechtliche Risiken. Insbesondere die Befugnisse der sogenannten Designer müssen daher klar von der Geschäfts-/Abteilungsleitung definiert werden, ebenso wie die generellen Zwecke, zu denen Auswertungen erstellt werden dürfen. Es sollte zudem festgelegt werden, für welche Arten von Auswertungen ggf. eine vorherige Einbeziehung weiterer Gremien, wie des Betriebsrats oder des Datenschutz-Teams, vorzusehen ist. Ebenso sollte von vornherein festgelegt werden, dass bestimmte Datentypen/Datenquellen nicht für eine Auswertung in Power BI genutzt werden dürfen.

Notwendigkeit einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO

Zumindest die Eigenwerbung von Microsoft legt nahe, dass bei Power BI auch Künstliche Intelligenz eingesetzt wird, die jedenfalls eine „neue Technologie“ i.S.d. Art. 35 Abs. 1 DSGVO darstellt. Damit ist es nicht unwahrscheinlich, dass der Einsatz von Power BI – soweit Auswertungen mit personenbezogenen Daten gefahren werden – mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sein wird. Vor diesem Hintergrund wird vor dem produktiven Einsatz gem. Art. 35 DSGVO die Durchführung einer Datenschutz-Folgenabschätzung angezeigt sein.

Verhinderung eines Profilings gem. Art. 22 DSGVO

Ein weiteres Problem von Power BI ist ein möglicher Verstoß gegen Art. 22 DSGVO, der ein Verbot einer automatisierten Entscheidungsfindung und von Profiling postuliert. Power BI ist jedenfalls darauf angelegt, genau dies zu ermöglichen. Dies sollte zumindest organisatorisch ausgeschlossen werden.

Einbeziehung Betriebsrat

Aufgrund des Potenzials zur Leistungs- und Verhaltenskontrolle wäre gemäß § 87 Abs. (1) Nr. 6 BetrVG auch der Betriebsrat, sofern vorhanden, einzubeziehen.

„Datenschutzeinstellungen“ innerhalb von Power BI von Microsoft

Die folgenden Ausführungen gelten sowohl für eine Nutzung von Power BI, bei der personenbezogene Daten mit dem Dienst ausgewertet werden, als auch für eine solche, bei der keine personenbezogenen Daten Gegenstand der Auswertung sind.

Microsoft sieht zur Verhinderung einer ungewollten Datennutzung durch Power BI bestimmte Einstellungsmöglichkeiten vor, die „Datenschutzebenen“ und „Datenquelleinstellungen“. Mit diesen kann scheinbar verhindert werden, dass Daten, die als „sensibel“ bzw. „intern“ eingestuft werden, zum Gegenstand einer Datenverarbeitung durch Power BI werden. Es scheint so zu sein, als ob es nur drei verschiedene Einstellungen gäbe:

  • eine, unter der die Daten frei für Power-BI-Analysen verwendet werden können (empfohlen für öffentlich, potenziell jedermann zugängliche, bekannte Daten)
  • eine weitere, unter der Daten als „privat“ eingestuft werden und nur für besonders autorisierte Personen sichtbar sind (wie diese Autorisierung ausgestaltet werden kann, bleibt unklar) und
  • eine letzte, unter der die Sichtbarkeit der Daten „auf eine vertrauenswürdige Gruppe festgelegt ist“ („Organisation“). (Auch hier ist mir leider unklar, was damit genau gemeint ist.)

Eine passende Einstellung würde mit Sicherheit helfen, ungewollte Auswertungen zu verhindern. Wie effektiv diese Einstellungen aber sind, erscheint fraglich. So steht zu befürchten, dass die Grundeinstellung für eingebundene Datenquellen „keine“ ist, so dass erst einmal jegliche zur Verfügung stehende Datenquelle genutzt werden kann. Außerdem ist unklar, wer die Einstellungen für die Datenquellen überhaupt festlegen kann.

Datensicherheit in der Cloud

Wie grundsätzlich beim Einsatz von Cloud-Komponenten von Microsoft muss man als Unternehmen darauf vertrauen, dass die Daten in der Cloud hinreichend sicher sind. Eine diesbezügliche Einschätzung bleibt letztlich der IT eines Unternehmens vorbehalten. Als potenzielles Mittel, die eigenen Daten zusätzlich abzusichern, käme nach Angaben von Microsoft bei Power BI eine Verschlüsselung mit Bring Your Own Key (BYOK) infrage. Dies wäre nicht nur ein Beitrag zu mehr Datenschutz – soweit überhaupt personenbezogene Daten ausgewertet werden sollen – sondern auch zu einem erhöhten Schutz von Geschäftsgeheimnissen. Ob diese Verschlüsselung praktisch nützlich und umsetzbar ist, bedürfte einer Prüfung durch die IT.

Gute Vorbereitung als A&O bei der Nutzung von Power BI von Microsoft

Soweit Power BI nicht zur Auswertung auch personenbezogener Daten genutzt werden soll, bestehen keine wesentlichen datenschutzrechtlichen Bedenken. Die oben genannten Hinweise (insb. zum Umgang mit Nutzungsdaten der Mitarbeitenden) sind gleichwohl zu beachten. Gleichwohl bleibt auch hier auf die weiterhin kritische Haltung der Aufsichtsbehörden gegenüber MS 365 hinzuweisen.

Soweit aber eine Auswertung auch personenbezogener Daten über Power BI erfolgen soll, sind darüber hinaus vorab eine ganze Reihe datenschutzrechtlich relevanter Maßnahmen zu treffen.

Diese wären in Stichpunkten vor allem:

  • Die Klärung der Rechtsgrundlagen für die Verarbeitung, einschließlich möglichst genauer Eingrenzung der betroffenen Daten und verfolgten Zwecke,
  • Erstellung eines ausdifferenzierten Berechtigungs- und Klassifizierungskonzepts für Administratoren, Designer und Nutzer und die zu analysierenden Daten,
  • Prüfung der Notwendigkeit und ggf. Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO,
  • Vermeidung von automatisierter Entscheidungsfindung und Profiling i.S.v. Art.22 DSGVO,
  • Treffen verschiedener datenschutzfreundlicher Einstellungen durch die IT-Administratoren, wie deaktivieren des Telemetriedatenverkehrs für MS 365 und der Nutzungsmetriken,
  • sollte sich in jeder Variante der Nutzung von Power BI mit den „Datenschutzeinstellungen“ innerhalb von Power BI auseinandergesetzt werden.
Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.