#9 Office 365

Office 365

Heute beschäftigen wir uns mit der cloudbasierten Office Version von Microsoft. Mittlerweile ist die Software in vielen Unternehmen zu finden und zählt wohl zu den gängigsten Lösungen für Bürotätigkeiten in Unternehmen. Office 365 biete dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher und den Cloud-Speicher-Dienst OneDrive an.

Datenschutz-Folgenabschätzung

Unsere Nachbarn aus den Niederlanden haben sich mit Office 365 näher beschäftigt und festgestellt, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden kann. Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken.

Nach erneuter Prüfung haben die Nachbarn eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet. Die Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version hingegen kam zu dem Ergebnis, dass dessen Einsatz wohl zulässig ist wenn einige Punkte beachtet werden.

Datenverarbeitungen von Office 365

Funktionsdaten

Die Nutzung von Office 365 ist auch mit personenbezogenen Daten verbunden. Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Service Office 365 sind. Microsoft wird hierbei gemäß den Online Service Terms als Auftragsverarbeiter nach Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten.

Inhaltsdaten

Nach den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails gemeint, die Nutzer von Office 365 erstellen. Diese Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Office 365. Eine Verwendung zu anderen Zwecken ist in den OTS unter „Verarbeitung von Kundendaten“ ausgeschlossen.

Diagnosedaten

Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft Diagnosedaten. Diese enthalten eine eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können.

Dabei werden unteranderem folgende Datenarten übermittelt:

  • Client-ID
  • User-ID
  • Dauer der Nutzung eines Office-Diensts
  • Größe der bearbeiteten Datei
  • Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments)
  • Programmsprache

Diese Informationen werden an die Server von Microsoft gesendet. Da das Unternehmen amerikanischer Herkunft ist, ist eine Übermittlung der Daten in die USA nicht auszuschließen. Microsoft hat angegeben diese Informationen für folgende Zwecke zu verwenden:

  • Bereitstellen und Verbessern des Dienstes
  • Aktualisierung des Dienstes
  • und dessen Sicherheit

Außerdem wurde von Microsoft bestätigt, dass die Daten nicht für Profiling, Datenanalyse, Marktforschung oder Werbung verwendet werden. Seit der Office ProPlus Version gibt es die Möglichkeit die Übermittlung von Diagnosedaten auf folgende Stufen einzustellen: (1) Optimal, (2) Erforderlich, (3) Keine.

Dabei werden jedoch auch bei der Einstellung „(3) Keine“  Diagnosedaten für essentielle Dienste übermittelt, wie etwa die Authentifizierung oder Lizenzprüfungen..

Connected Experiences

Bei den „Connected Experiences“ handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder der Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei 14 Connected Experiences auch als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke nicht mehr greift. Die Verwendungszwecke von Microsoft als eigener Verantwortlicher umfassen die Nutzung zur Personalisierung, Werbung oder Produktentwicklung.

Office 365 bietet mittlerweile jedoch die Option die Connected Experiences, für die Microsoft eigener Verantwortlicher ist, zu deaktivieren. Das Deaktivieren betrifft folgende Funktionen:

  • 3D Maps
  • Insert online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Research
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

Holen Sie sich einen Expertenrat

Datenschutz

Problematisch war zunächst immer, dass die von Microsoft exzessive Nutzung der Daten zu eigenen Zwecken dazu führte, dass das Unternehmen seine Stellung als Auftragsverarbeiter verliert. Microsoft und der Office 365-Kunde wären damit gemeinsam Verantwortliche nach Art. 26 DSGVO gewesen. Dafür stellte Microsoft jedoch kein entsprechendes Vertragswerk zur Verfügung.

So steht es weiterhin um die Verarbeitungen im Rahmen der oben genannten „Connected Experiences“. Die dabei stattfindenden Verarbeitungen sind nicht mit Microsoft als Auftragsverarbeiter zu rechtfertigen. Auch hier kommt man zu dem Ergebnis, dass ein Vertrag zur gemeinsamen Verantwortlichkeit vorliegen müsste.

Ein weiterer und wichtiger Punkt ist außerdem, dass eine Übermittlung der Daten an die Server von Microsoft in den USA nicht ausgeschlossen werden kann. Mit der neuen Rechtssprechung zum Privacy-Shield liegt es nun an Microsoft eine Übermittelung zu unterbinden oder rechtmäßig zu gestalten.

Unsere heutige Empfehlung

Wir listen nachfolgend Maßnahmen zur Nutzung von Office 365 auf allerdings sollten Sie in jedem Fall einen Datenschutzbeauftragten hinzuziehen. Gern stehen wir Ihnen zur Verfügung.

  • Windows Einstellung:

Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.

  • Programm zur Verbesserung der Benutzerfreundlichkeit:

Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

  • Beschränkung der Diagnosedaten:

Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.

  • Connected Experiences:

Die aufgelisteten Connected Experiences sind zu deaktivieren.

  • Abschluss eines Auftragsverarbeitungsvertrags:

Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

  • EU-Standardvertragsklauseln:

Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

  • Linked-In-Integration:

Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.

  • Workplace Analytics, Activity Reports, Delve:

Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall von dem Datenschutzbeauftragten geprüft werden. Da es sich um die Auswertung von Leistungsdaten handelt.

  • Kunden-Lockbox:

Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.

  • Office-Online und Office-Mobile:

Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

  • Durchführung einer Datenschutz-Folgenabschätzung:

Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Hierzu sollten Sie sich bei einem Datenschutzbeauftragten einen Rat holen.