Webinar Microsoft 365: Fragen und Antworten

Fachbeitrag

Vergangene Woche fand unser erstes Webinar zum Thema „Microsoft 365: Einblick in die technischen und datenschutzrechtlichen Herausforderungen“ statt. Vielen Dank nochmal an dieser Stelle für das enorme Interesse. Aufgrund der hohen Teilnehmerzahl von fast 1.000 Personen gelang es uns leider nicht, alle Fragen im Webinar zu beantworten. Dieser Artikel behandelt daher noch einige offenen Themen.

Rückblick auf das Webinar

Am 04.02.2021 hat die intersoft consulting services AG in ihrem Webinar einen Überblick über die Welt von Microsoft 365 gegeben. Während mein Kollege, Adrian Klick-Strehl, sich den technischen Themen hinsichtlich IT-Sicherheit und Cloud widmete, erläuterte ich, Juliane Dannewitz, die Datenverarbeitungen durch Microsoft und die damit verbundenen Datenschutzproblemen. Zum Ende zeigten wir noch auf, wie die Projektplanung erfolgen sollte und welche Dokumentationen empfehlenswert sind.

Für die zahlreichen positiven Rückmeldungen zum Webinar möchten wir an dieser Stelle unseren Dank aussprechen. Wenn Sie tiefer in Microsoft 365 und die sichere Gestaltung einsteigen möchten, können Sie unsere kostenpflichtigen Webinare besuchen. Diese finden in kleinen interaktiven Gruppen von maximal 15 Teilnehmern statt.

Ausgesuchte Fragen der Webinar-Teilnehmer

Bei uns sind sehr viele Fragen der Teilnehmer bereits während der Veranstaltung und auch im Anschluss daran eingegangen. Viele davon wurden auch gleich mehrfach gestellt. In Abstimmung mit meinem Kollegen Adrian Klick-Strehl versuche ich im Folgenden einige davon bestmöglich aus unserer Sicht zu beantworten.

Wie ist das mit der Verschlüsselung bei Microsoft 365?

Daten, die auf den Servern bei Microsoft liegen, sind alle auf Dateisystemebene verschlüsselt. Die Schlüssel hierzu liegen natürlich auch bei Microsoft, sodass diese prinzipiell darauf zugreifen können z.B. im Supportfall. Um einen solchen Zugriff effektiv zu unterbinden, müssten die Daten mit einem eigenen Schlüssel verschlüsselt werden, den Microsoft nicht kennt. Hierzu bietet Microsoft selbst je nach Lizenz Möglichkeiten, aber auch externe Anbieter beschäftigen sich mit dieser Frage.

Der Datentransfer zwischen dem Endbenutzer und der Cloud bzw. Server sind transportverschlüsselt. Ein Dritter (z. B. ein Cyberkrimineller) kann also nicht mitlesen, welche Daten gesendet werden.

Für Teams wird u.a. das Secure Real Time Protocol (SRTP) verwendet. Die Kommunikation terminiert hierbei am Microsoft Server. Es besteht also keine Ende-zu-Ende Verschlüsselung zwischen zwei Teilnehmern, die Teams zur Videokonferenz oder Telefonat nutzen.

Microsoft stellt selbst weitergehende Informationen zum Thema Verschlüsselung u. a. in einer Übersichtstabelle zur Verfügung.

Wer hat Zugriff auf die Daten von Teams?

Generell hat erstmal jeder Benutzer Zugriff nur auf seine Daten und kann diese mit anderen teilen. Die Zugriffsverwaltung liegt in dessen Hand. Vorgesetzte und IT-Administratoren können die Kommunikation auch nicht „live“ mitlesen.

Über die Inhaltssuche bzw. das eDiscovery Modul können aber berechtigte Administratoren die gesamte Cloud nach Daten und Inhalten durchsuchen und diese ggf. einsehen. Insbesondere im Falle eines IT- und/oder Datenschutzvorfalles kann dies auch angezeigt sein. Voraussetzung hierfür ist allerdings die entsprechende Lizenz.

Kann man den Telemetriedatenverkehr deaktivieren?

Hier muss zwischen zwei Fällen unterschieden werden:

Zum einen muss man das Betriebssystem Windows 10 und die lokalen Office Installationen betrachten. Die Telemetriedaten lassen sich für die Windows 10 Enterprise Edition mittels Gruppenrichtlinie deaktivieren. Für die Office-Produkte als Desktopanwendungen lassen sich diese ebenfalls mit einer entsprechenden Richtlinie deaktivieren.

Zum anderen gibt es aber noch die Produkte in der Cloud wie z. B. Office for the Web und Office-Produkte als mobile Apps für die Nutzung via Tablets und Smartphone. Hier werden ebenfalls Telemetriedaten von Microsoft erhoben, die derzeit nicht deaktiviert werden können.

Wenn EU als Tenant ausgewählt wird, wie können Daten dennoch in die USA gelangen?

Grundsätzlich sollten ihre Daten dort liegen, wo ihr Tenant beheimatet ist. Es kann aber dennoch Verarbeitungsprozesse geben, bei denen die Daten zu Servern außerhalb der EU gesendet werden und anschließend das Ergebnis zurück transferiert wird. Dies ist beispielsweise in folgenden Szenarien denkbar:

  • Liveübersetzung und Transkriptionen bei Teams denkbar;
  • IT-Supportmitarbeiter von Microsoft sitzt außerhalb der EU und muss bei IT-Problemen auf Ihr System zugreifen;
  • US-Behörden verlangt von Microsoft unter Berufung des CLOUD-Acts oder FISA die Herausgabe von Daten.

Insbesondere wegen dem letzten Grunde wurde ja auch das EU-US-Privacy-Shield vom EuGH gekippt.

Es ist deshalb ratsam zur Verarbeitung von Daten, die sie nicht brauchen zu deaktivieren, um das Risiko generell zu mindern. Microsoft gibt hier nicht detailliert preis, wo die Verarbeitung solcher Prozesse stattfindet. Analog gilt dies auch für die Telemetriedaten.

Wie ist das mit den Verträgen von MS 365?

Im Wesentlichen sind zwei Vertragsdokumente besonders relevant: Online Service Terms (OST) und Data Processing Addendum (DPA). Beide Verträge können hier eingesehen werden. Ersteres stellt quasi den Hauptvertrag dar und erläutert unter anderem, für welche Dienste der DPA nicht gilt. Da der DPA weltweit Anwendung finden soll, hat er eine für deutsche Datenschützer etwas untypischen Aufbau:

  • Allgemeine Bestimmungen, welche weltweit gelten
  • Anhang A Sicherheitsmaßnahmen, die über die technischen und organisatorischen Maßnahmen informieren
  • Anlage 1 mit Besonderheiten zu Professional Services, California Consumer Privacy Act und biometrischen Daten
  • Anlage 2 EU-Standardvertragsklauseln (Controller-to-Processor)
  • Anlage 3 Bestimmungen zur DSGVO (insbesondere Art. 28)

Die englische Vertragsversion zum DPA beinhaltet zudem seit Dezember 2020 eine „Additional Safeguards Addendum“, mit denen Microsoft weiterer vertragliche Maßnahmen aufgrund des EuGH Urteil zu Schrems II anbietet.

Die deutschen Aufsichtsbehörden haben bereits mehrfach einzelne Regelungen des DPA kritisiert und dahingehend sogar die Wirksamkeit des DPA in Gänze angezweifelt. Hierbei ging es bislang nur um die deutsche Vertragsversion von Januar 2020. Zwischen den Behörden herrscht allerdings keine Einigkeit. Manchen Argumenten kann man auch definitiv entgegentreten.

Ein Verhandeln mit Microsoft über die Änderung der Vertragstexte wird nach bisheriger Erfahrung erst dann möglich, wenn das Auftragsvolumen für Microsoft lukrativ genug ist.

Gibt es Listen, mit denen man die erforderliche Konfiguration abarbeiten kann?

Es gibt derzeit noch keine allgemeine offizielle Liste, die man abarbeiten könnte. Zudem variieren die Anforderungen an die Konfigurationen je nach verwendeten Lizenzen, dem Geschäftszweck und den konkreten Datenverarbeitungen.

Einzelne Anforderungen zur Konfiguration lassen sich teilweise aus verschiedenen Stellungnahmen entnehmen, z. B. die Datenschutz-Folgenabschätzungen für das niederländische Ministerium für Justiz und Sicherheit, worüber wir in der Vergangenheit schon berichtet hatten. Aber auch die DSK hat ein Prüfschema zu Windows 10 veröffentlicht.

Bei all diesen Dokumentationen werden aber nur Teilaspekte von Microsoft 365 beleuchtet.

Im Rahmen unserer Beratung erstellen wir in Zusammenarbeit mit dem Kunden aber solche Listen über empfohlene technischen Maßnahmen, die ihrerseits aber aufgrund der Komplexität und Konfigurationsmöglichkeiten nicht abschließend ist.

Microsoft 365 ist ein komplexes Thema

Die hier dargestellten Fragen sind nur einige von vielen, die uns während des Webinars erreicht haben. Viele Antworten hängen zudem von den individuellen Geschäftsprozessen, der IT-Landschaft, der Implementierung und nicht zuletzt von den abgeschlossenen Lizenzen ab. Weiterhin ist zu berücksichtigen, dass es sich bei Microsoft um ein dynamisches Produkt handelt, welches einem stetigen Wandel und regelmäßigen Updatezyklen unterliegt. Dadurch wird der Prozess Microsoft 365 als Solches nie endgültig abgeschlossen sein und bedarf einer stetigen Kontrolle.

Auch wenn der Datenschutz eines der größeren Baustellen bei der Implementierung von Microsoft 365 ist, sollten die dadurch entstehenden Änderungen an der IT-Infrastruktur nicht unterschätzt werden. Neue Features und Möglichkeiten gehen auch immer mit neuen Risiken einher, die es zu ermitteln und behandeln gilt.

Ich hätte da noch eine Frage…

Sprechen Sie uns gerne an, sollten noch Fragen offen sein. Für eine weiterführende individuelle Beratung in diesem Themenumfeld steht Ihnen unser Vertriebsteam unter sales@intersoft-consulting.de sehr gerne zur Verfügung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

2 Kommentare zu diesem Beitrag

  1. Vielen Dank für die sehr ausführlichen und kompetenten Ausführungen. Leider zeigt sich aber, dass der Aufwand für den Einsatz von Microsoft-Produkten in der Unternehmensführung noch immer unterschätzt wird. Dies gilt sowohl für die datenschutzrechtliche Seite, als auch für den Bereich der IT-Sicherheit. Bei den Verantwortlichen – sind sie sich dieser rechtlichen Verpflichtung eigentlich immer bewusst? – herrscht dahingehend noch immer die Annahme, man müsse doch einfach nur die Installationsmedien in den PC schieben und das Setup starten…

    In welche Abhängigkeit man sich eigentlich zu Microsoft und anderen us-amerikanischen Anbietern begeben hat, wird leider immer noch übersehen. Auch das damit verbundene Risiko für die Daten und Geschäftsgeheimnisse wird nicht richtig eingeschätzt.

    Von daher ist es gut, wenn man mit Artikeln wie diesem, mal wieder etwas an die Sensibilität appellieren kann.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.