Kategorie: Datenschutz

Home  ›  Datenschutz  ›  Page 3
Ist bei Office 365 Datenschutz überhaupt möglich?
  • 07
  • Okt
Ist bei Office 365 Datenschutz überhaupt möglich?
Regina Stoiber Datenschutz,Informationssicherheit,IT-Sicherheit 8 Comments

Bei diesem Thema sind sich selbst die Datenschutzbehörden uneinig.

Eine Aussage zum Beispiel des Berliner Datenschutzbeauftragten, dass Microsoft mit seinen Produkten nicht die gesetzlichen Datenschutzanforderungen umsetzt, ist für die Praxis nicht wirklich hilfreich. Von lösungsorientiert ganz zu schweigen. Daher möchte ich die Cloud Services von Microsoft in diesem Beitrag objektiv beleuchten. Für Fragen stand auch eine Ansprechpartnerin bei Microsoft zur Verfügung, deren Antworten mit in diesen Beitrag einflossen.

Wie sich parallel die Datenschutzbehörden zu diesem Thema positionieren werden, ist noch offen. Zum Zeitpunkt der Erstellung liegt weder ein konkretes Nutzungsverbot noch eine Zustimmung der Behörden zum Einsatz vor. Die DSK spricht sich zwar gegen einen Einsatz von Office 365 aus, einzelne Behörden, sehen das allerdings anders. Eine Stellungnahme des Bayerischen LDAs finden Sie unter diesem Link.

Die hier vorgestellten Informationen sollen Ihnen helfen, eine eigene Bewertung für Ihr Unternehmen vorzunehmen. Weitere Informationen zur Durchführung dieser ausführlichen Bewertung finden Sie im Beitrag zum Einsatz von Cloud Services.

Dieser Artikel kann eventuell als Werbung verstanden werden. Wir stellen jedoch klar, dass wir keine Bezahlung und sonstige Vergütung für diesen Beitrag erhalten haben. Es sind auch keine Affiliate Links hinterlegt. Somit können wir die Berichterstattung neutral halten.

Der obligatorische Hinweis, dass es sich hier um keine Rechtsberatung handelt, sei an dieser Stelle noch angebracht.

Inhaltsverzeichnis

Auf den Punkt gebracht: Microsoft Office 365 und Datenschutz

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Mit einer ausführlichen Dokumentation, strengen Konfiguration und einer entsprechenden Risikobewertung ist aus unserer Sicht der Einsatz von Microsoft 365 möglich.
  • Ein geringes Restrisiko, dass Daten unrechtmäßig an amerikanische Strafverfolgungsbehörden übermittelt werden, bleibt.
  • Microsoft minimiert mit seinen Maßnahmen dieses Risiko.
  • Ob Sie als Verantwortlicher dieses Risiko tragen, müssen Sie selbst entscheiden und dokumentieren.

Einsatz von Microsoft Office 365 im Unternehmen

Gerade für kleine und mittelständische Unternehmen bietet der Online-Dienst 365 von Microsoft wirklich Mehrwert. Das meine persönliche Einschätzung. Eine vergleichbare Alternative dazu ist mir nicht bekannt. Wer hier der Meinung ist, Open Office wäre im Business-Einsatz ein geeignetes Pendant, der braucht an dieser Stelle nicht weiter zu lesen.

Wenn Sie wissen möchten, was Microsoft im Bezug auf Datenschutz zu bieten hat (oder eben nicht), dann hilft Ihnen dieser Artikel weiter. Natürlich beleuchten wir auch die Produkte unter dem Aspekt Datenübermittlung in Drittstaaten und zugrundeliegende Rechtsgrundlage.

Mit diesen Informationen im Beitrag und der Vorgehensweise zum Einsatz von Cloud Services geben wir Ihnen solide Werkzeuge an die Hand. Damit können Sie eine Bewertung vornehmen und als Nachweis dokumentieren, ob Sie den Einsatz von Microsoft Office 365 in Ihrem Unternehmen als datenschutzkonform erachten.

In unserem Whitepaper zum Thema Office 365 – Datenschutz haben wir diese Vorgehensweise und Dokumentation nochmals konkret für Sie zusammen gestellt.

Sie erhalten dieses Whitepaper mit der Anmeldung zu unserem Newsletter. Alternativ senden wir es Ihnen kostenlos zu. Schreiben Sie uns einfach eine kurze E-Mail.

Klicken Sie auf den unteren Button, um den Inhalt von subscribe.newsletter2go.com zu laden.

Inhalt laden

Vertrauen in Microsoft als Anbieter

„Wenn wir unsere Kunden nicht schützen können, haben wir ihr Vertrauen nicht verdient.“

Brad Smith, President und Chief Legal Officer, https://www.microsoft.com/de-de/trust-center

Wenn dies nicht der erster Artikel ist, den Sie von mir lesen, wissen Sie, dass ich keiner Verschwörungstheorie anhänge. Daher bin ich auch nicht der Meinung, dass es das Ziel von Microsoft ist, den Datenschutz mit Füßen zu treten und seine Kunden nicht zu schützen.

Natürlich ist der Konzern ein gewinnorientiertes Unternehmen und nutzt Daten zur Optimierung und Bewerbung seiner Produkte.

Vorgehensweise zur Datenschutzbewertung von Microsoft Office 365

I did it! Mit netter Unterstützung einer Compliance Expertin bei Microsoft habe ich extrem viel gelesen, gelernt und mir eine Meinung gebildet. Das Ergebnis meiner Recherchen finden Sie zusammengefasst in diesem Blogbeitrag. Wer mehr erfahren möchte, wird in unserem Webinar zum Thema „Cloud Services mit Schwerpunkt Microsoft 365“ fündig. Das hier neu Erlernte können Sie sich nach erfolgreicher Prüfung mit einem Zertifikat bestätigen lassen.

Informationsbeschaffung

Was viele hassen, mache ich eigentlich ganz gern. Ich vergrabe mich in Informationen, recherchiere und trage Fakten zusammen. So auch in diesem Fall bei der Mission „Office 365 Datenschutz“.

Mein erster Eindruck ist trotz allem Optimismus kritisch: Will Microsoft überhaupt Transparenz bieten? Es gibt zwar gefühlt zu allem und jedem Detail eine Dokumentation, aber wirklich weiter hilft diese nicht. Selbst dem interessierten Leser erschließt sich der Zusammenhang der tausend und abertausend Dokumente nicht. Ich kann nach tagelangem Lesen noch immer keine Struktur erkennen. Jede Dokumentation verweist auf eine weitere Dokumentation. Irgendwann bin ich fast in jedem Punkt so weit, dass ich meinen Ausgangspunkt nicht mehr im Blick habe.

Zudem werde ich von der Weiterleitung weiter geleitet, bis dann am Ende die Meldung kommt, dass die Datei oder die Seite nicht mehr existiert. Vom ursprünglichen e-Book Link zu DSGVO Best Practices komme ich dann irgendwann bei der digitalen Transformation heraus. Da ging wohl etwas schief bei der Customer Journey! Mein Reisegefühl entwickelt sich gerade etwas in Richtung Aggressivität.

Das ist deprimierend und auf jeden Fall ein Punkt, der mich extrem stört. Ich habe gerne klare Linien und eine Übersicht.

Kategorisierung verschiedener Daten durch Microsoft

In den verschiedenen Dokumentationen liest man immer wieder von unterschiedlichen Datenarten. Was sich dahinter versteckt, fasse ich hier kurz zusammen.

Kundendaten

Das sind die „Nutzdaten“. Sozusagen der produktive Output. Alle Dateien und auch Software, die hochgeladen und gespeichert werden. Dazu zählen auch E-Mails und Berichte oder SharePoint Webseiteninhalte…

Diagnosedaten / Telemetriedaten

Hier wird auf die Daten verwiesen, die quasi als Logfile oder Protokoll generiert werden, wenn man die Microsoft Software lokal installiert hat. Der Zweck der Datenverarbeitung ist die ordnungsgemäße Funktion der Software.

Vom Dienst generierte Daten

Im Gegenzug zu den Diagnosedaten beziehen sich die hier automatisch erfassten Protokolle auf die Online-Services. Unter anderem dienen die Daten auch dazu, Kapazitäten zu erhöhen und dadurch Rückschlüsse auf Auslastung der Server zu ziehen.

Professional Services-Daten

Nach meinem Verständnis sind das Daten, die entweder durch den Kunden selbst an Microsoft für Support Zwecke übermittelt werden oder die Microsoft aufgrund der Kundenvereinbarung erfasst – in Bezug auf die Nutzung von Professional Services. Auch das können wieder alle möglichen Formen und Formate an Dateien sein. Dieser Punkt ist aus meiner Sicht etwas intransparent kommuniziert.

Weitere Datendefinitionen von Microsoft

Administratordaten

Darunter fällt nach meiner Interpretation alles, was bei den Tätigkeiten des Admins so anfällt. Das sind die personenbezogenen Daten des Admins, wie E-Mail, Name, Telefonnummer. Aber auch Nutzungsdaten und kontobezogene Daten. Zweck ist die Bereitstellung des Dienstes, Wartung der Konten und Erkennung von Betrug.

Zahlungsdaten

Eigentlich selbsterklärend, hier geht es um die Abwicklung des Kaufs, aber auch um die Erkennung und Verhinderung von Betrug im Zahlungsverkehr.

Personenbezogene Daten

Glücklicherweise hat Microsoft hier keine eigene Definition entgegen der gesetzlichen Begrifflichkeit. Ergänzt wird hier allerdings, dass personenbezogene Daten in jeder Unterkategorie der beschriebenen Daten auftreten können – ist aber auch logisch.

Datenkategorien im Sinne der Strafverfolgung

Wenn es um die Anfrage von Behörden geht, in denen um die Herausgabe von Daten gebeten wird, werden die Daten in folgende Klassen eingeteilt.

Non-content data

Hierbei handelt es sich um allgemeine Informationen des Abonnenten (Name, Adresse, IP-Adresse, Zahlungsfinformationen…).

Content data

Darunter fallen die Kundendaten, die bereits oben beschrieben sind. Also die Nutzdaten, die der Kunde kreiert.

Microsoft Office 365 und Azure

Azure Rechenzentren

Die Services, die unter Office 365 zusammen gefasst sind, laufen als Software as a Service (SaaS) in Azure Rechenzentren. Die Rechenzentren sind in verschiedene Geographien und Regionen zusammen gefasst.

Neu im „Geographie-Club“ ist Deutschland. Jeder neue Office 365 Kunde seit Dezember 2019 ist automatisch in Deutschland lokalisiert. Seine Services (die meisten jedenfalls) laufen also in deutschen Rechenzentren. Alle Kunden, die vor 12/2019 ihr Abonnement begonnen haben, werden sukzessive umgezogen. Für den Umzug gibt es einen Plan, der mir ein Schmunzeln entlockt hat. Quasi alle Kunden in den genannten Ländern werden nach diesem Plan bis Juli 2022 umgezogen sein. Der Umzug der deutschen Kunden (die „Nervensägen“ lt. Microsoft 😉 ), ist jedoch bereits jetzt in Planung.
Wie war das? Wer am lautesten schreit…..

Verteilung der Office Services in verschiedene Geographien

In einer Übersicht zeigt Microsoft, wo welcher Service gehostet wird, also in welchem Land das Rechenzentrum liegt, in dem der Dienst läuft. Bei den gängigen Services (aus meiner subjektiven Sicht, die wohl am meisten verwendeten) sind die Dienste für deutsche Kunden vorbildlich in Deutschland gehostet.

Interessanterweise gibt es aktuell (Stand Sommer 2020) folgende Dienste, die nicht in Deutschland laufen.

Davon werden in der EU folgende Services gehostet:

  • Skype for Business – sehe ich als nicht relevant, da der Dienst quasi durch Teams abgelöst wurde
  • Intune
  • Planner
  • Yammer
  • Stream
  • Whiteboard
  • Formulare

In den USA werden folgende Services für deutsche Nutzer angeboten:

  • Sway
  • Workplace Analytics, was ich als äußerst kritisch sehe, wenn ausgerechnet die sensiblen Auswertungen in den USA laufen

Ob der oben genannte Umzug der Services der deutschen Kunden in deutsche Rechenzentren tatsächlich alle Services beinhaltet, stelle ich mal in Frage. Das würde ich daraus nicht schließen.

Microsoft Applikationen

Ein ganz wichtiger Faktor im Sinne des Datenschutzes ist die benutzerdefinierte Freigabe von Apps. Kritische Apps aus Sicht des Verantwortlichen können für den Anwender deaktiviert werden.

Ein paar der nicht so bekannten Applikationen möchte ich hier kurz vorstellen.

Microsoft Graph

Der Microsoft Graph ist die Summe aller Daten und Informationen rund um Produktivität, Identität und Sicherheit einer Organisation in Microsoft 365. Über die Microsoft Graph API interagieren Office-365-Anwendungen und Drittanbieteranwendungen berechtigungsgesteuert mit den Daten.

Quelle: https://aka.ms/gutgemacht

Mit Microsoft Graph können Funktionen erweitert werden. Mit individuellen Abfragen können z.B. Workflows eingebunden werden und die Interaktion von Dritt-Diensten mit Microsoft Ressourcen kombiniert werden.

Delve

Diese App zeigt die öffentlichen Daten des Mitarbeiters für andere Unternehmensangehörige an. Mitarbeiter können zudem darüber hinaus freiwillige Angaben über sich preisgeben.

Eine weitere Funktion von Delve ist die Anzeige, wer welche Datei als letzte/r bearbeitet hat. Das Berechtigungskonzept wird natürlich eingehalten. Das heißt, wenn Mitarbeiter B keine Einsicht auf den Finanzplan hat, sieht er auch nicht, dass Mitarbeiter A diesen gerade bearbeitet hat.

MyAnalytics

Bei MyAnalytics erhält der Anwender nur Auswertungen und Informationen über sich selbst und sein eigenes Verhalten. Diese Informationen sind nur für den Anwender selbst bestimmt.

Workplace Analytics

Im Gegensatz zu MyAnalytics ist es mit Workplace Analytics möglich, innerhalb von Mitarbeitergruppen das Arbeitsverhalten zu vergleichen. Dazu muss unbedingt eine Betriebsvereinbarung oder eine andere Rechtsgrundlage der Verarbeitung vorliegen. Ansonsten müssen Sie diese Funktion zwingend deaktivieren.

Sofern diese Funktion wie oben beschrieben nur auf amerikanischen Servern verfügbar ist, empfehlen wir grundsätzlich, diese Analyse zu deaktivieren.

Überwachungsfunktionen in Microsoft 365 für Compliance Zwecke durch Betriebs- und Personalräte

Microsoft bietet in seinen Cloud Services ein vielschichtiges Konzept mit Audit- und Überwachungsfunktionen an. Damit ist es möglich, gesetzliche oder sonstige vertragliche und normative Anforderungen zu gewährleisten. Nicht nur ein technischer Admin aus der IT hat somit Überwachungsmöglichkeiten, sondern auch ausgewählte vertrauenswürdige Personen z.B. aus der Revision, dem Betriebsrat oder anderen definierten Stellen.

Eingeschränkte Administratorenrechte

Global Reader

Im System wird ein „Global Reader“ Administrationskonto zur Verfügung gestellt. Damit ist es ausgewählten Rollen möglich, die Konfiguration und vollständige Administration von Office 365 einzusehen.

Ein Zugriff auf die Daten oder auch Änderungen an der Konfiguration sind nicht möglich.

eDiscovery-Funktion

Wer diese Berechtigung erhält, hat die Möglichkeit, alle Inhalte in Office 365 zu durchsuchen. Dies ist z.B. für Mitarbeiter gemacht, die Auskunftsgesuche im Rahmen des Datenschutzes bearbeiten.

Compliance Dashboards und Funktionen

Aber nicht nur funktionelle Rollen unterstützen in der Einhaltung der Compliance Vorgaben. Neben den eingeschränkten Adminrechten gibt es auch weitere Dashboards, die bei der Einhaltung von Compliance Vorgaben unterstützen können. Anbei nur einige Möglichkeiten, die Microsoft hier bietet.

Acitivity API

Die Acitivity API stellt detaillierte Informationen über die Verwendung des Microsoft Cloud Services zur Verfügung. Der Zweck der API soll sich laut Hersteller auf forensische Analysen oder Audit-Systeme beziehen.

Compliance Manager

Der kostenlose Compliance Manager ist ein integriertes Tool zur Risikoabschätzung. Damit lassen sich Regelwerke nachverfolgen, zuweisen und überprüfen.

Ich muss gestehen, ich bin beim ersten Öffnen ziemlich erschlagen. Es gibt neben den vordefinierten Compliance-Regeln auch die Möglichkeit, eigene Vorgaben zu integrieren und diese zu überwachen.

Microsoft 365 Compliance Manager Dashboard
Beim ersten Öffnen des Compliance Managers erhalte ich dieses Dashboard.

DSGVO Dashboard

Mit diesem DSGVO Dashboard hat man verschiedene Optionen, Vorgaben des Datenschutzes umzusetzen. Die Löschung kann man hier z.B. in Regeln hinterlegen. Ebenfalls gibt es eine Funktion, um Auskunftsgesuche zu beantworten (also die Daten dazu herauszufiltern).

Microsoft 365 DSGVO Dashboard
Mit dem DSGVO Dashboard können grundlegende Anforderungen des Gesetzes unterstützend umgesetzt werden.

Secure Score – Sicherheitsbewertung

Mein persönlicher Favorit ist der Secure Score von Microsoft. Hier werden ganz konkrete Handlungsempfehlungen gegeben. Je nach umgesetzter Maßnahme verbessert sich im Anschluss die Bewertung, der interne Secure Score steigt also.

Ich sehe weniger die absolute Zahl, die man hier erreichen kann, als hilfreich. Viel mehr finde ich das Verhältnis gut, das zeigt, mit welchen Maßnahmen man die eigene Sicherheit erhöhen kann. Dass natürlich nicht für jedes Unternehmen und jeden Einsatzzweck dieselben Maßnahmen sinnvoll sind, müssen wir nicht diskutieren. Vielmehr werden hier dem Admin und dem Unternehmen Möglichkeiten aufgezeigt, sich damit auseinander zu setzen.

Microsoft 365 Secure Score Bewertung
Konkrete Handlungsempfehlungen gibt die Sicherheitsbewertung des Cloud Services von Microsoft.

Microsoft Trust Center

Das Trust Center enthält eine Vielzahl an Dokumentationen über Compliance und technische Sicherheit der Microsoft Dienste und Produkte.

Selbstverpflichtung des Anbieters

Im Trust Center unter Datenschutz verpflichtet sich Microsoft selbst zu strengen Regeln des Datenschutzes:

  • Kunden haben Kontrolle und Transparenz
  • Es werden keine Datenprofile zu Marketing- und Werbezwecken genutzt und auch nicht an Dritte weitergegeben
  • Keine „Hintertür“ in der Software oder den Diensten, um Verschlüsselung zu umgehen oder Behörden Zugriff zu gewähren
  • Umsetzung der DSGVO Anforderungen weltweit – nicht nur in der EU
Ist bei Office 365 Datenschutz überhaupt möglich?
Pin it on Pinterest!

Schutz der Kundendaten in der Cloud

Dieses Thema füllt einen eigenen Artikel. Was Sie beim Einsatz von Cloud Services generell beachten sollten, finden Sie im Beitrag auf unserem Blog.

Ganz besonders und vor allem beim internationalen Anbieter Microsoft beschäftigen wir uns mit dem Thema Datentransfer in die USA. Aufgrund des Wegfall des EU US Privacy Shields ist hier ja grundsätzlich ein Compliance Risiko zu berücksichtigen. Wie sich Microsoft hier positioniert und dem Kunden Sicherheit entgegen bringt, hat mir unser Kontakt bei Microsoft erläutert.

Microsoft im Umgang mit dem CLOUD Act

Microsoft erlegt sich hier selbst strenge Verpflichtungen auf. Bei Anfragen von Dritten zur Herausgabe von Kundendaten leitet Microsoft diese Anfragen direkt an den Kunden weiter. Dies gilt auch bei Anfragen, die auf dem Cloud Act basieren.

Anfragen auf Basis der Strafverfolgung in den USA

Folgendes Vorgehen wurde mir von Microsoft per Mail mitgeteilt:

  1. Im Falle einer Strafverfolgung der US Behörden muss eine entsprechende Spezifizierung stattfinden, die den genauen Zweck, Begründung, Suchparameter… enthält. Also letztendlich ähnlich wie auch bei uns.
  2. Standardmäßig widerspricht Microsoft – auch vor Gericht – und schlägt vor, den Kunden direkt zu kontaktieren und über diesen Weg die notwendigen rechtlichen Schritte einzuleiten. In den allermeisten Fällen ist dies erfolgreich.
  3. Die meisten Anfragen beziehen sich auf Konsumenten Accounts und nicht auf Business Accounts.

Stellungnahme von Microsoft zum Umgang bei Anfragen von Strafverfolgungsbehörden

In einer Stellungnahme von Microsoft ist nachvollziehbar, welche Maßnahmen und vor allem Klagen Microsoft seit 2013 bestritten hat, um für die Sicherheit der Kundendaten einzustehen.

Konkret findet man hier auch einen Erfolgsbeitrag, wie Microsoft eine Klage zur Herausgabe von E-Mails an Strafverfolgungsbehörden verhindert hat.

Microsoft wird Behörden bei Anfragen zur Herausgabe von Kundendaten von Unternehmenskunden weiterhin immer zunächst an den Kunden verweisen beziehungsweise den Kunden über die Anfrage informieren, soweit nicht gesetzlich verboten. Microsoft bietet seinen Kunden zudem Transparenz über die an Microsoft gestellten Anfragen sowie verschiedene Alternativen zur Speicherung von Kundendaten. 

Whitepaper „Datenschutz mit Windows 10 und Microsoft 365“

Dieses Zitat ist schon mal ein guter Ansatz. Aber irgendwie doch unbefriedigend mit dem Zusatz „soweit nicht gesetzlich verboten“. Wie groß ist nun das Risiko, dass auf Daten durch die US Regierung zugegriffen wird, ohne das der Kunde darüber Bescheid weiß?

Transparenz-Reports

Hierzu veröffentlich Microsoft halbjährlich einen Transparenz-Report. Dieser ist einzusehen über den Law Enforcement Requests Report.

Hier wird auch noch unterschieden bzw. angezeigt, welche Art von Daten (siehe Definition oben) durch die Strafverfolgungsbehörden angefragt wurde.

Die Anzahl der Löschanfragen wird ebenfalls protokolliert und ist in einer Auswertung einsehbar.

Zertifizierungen von Microsoft 365 Services

Wer noch ein paar weitere unabhängige Nachweise haben möchte, kann sich die vielen Zertifikate von Microsoft ansehen. Für jede Sparte ist quasi etwas dabei.

Übersicht über alle Controls und Auditberichte finden Sie unter diesem Link.

Hier gibt es eine Übersicht der Zertifikate von Microsoft.

Fazit: Geht nun bei Office 365 Datenschutz?

Allein diese Dokumentation sagt Ihnen noch nicht, ob Sie in Ihrem Unternehmen nun die Cloudlösung einsetzen können. Die aufgelisteten Punkte sind Faktoren, die Sie selber für Ihr Unternehmen bewerten müssen.

Für die Bewertung empfehlen wir Ihnen folgende Vorgehensweise

  1. Beschreibung des Verfahrens, welches Sie mit der Cloud Lösung im Unternehmen einsetzen möchten. Dokumentieren Sie genau welchen Zweck Sie abdecken möchten und vor allem welche Datenkategorien dabei verarbeitet werden. Nur so ist eine spätere Bewertung überhaupt möglich.
    Wie sollten Sie sonst Daten bewerten können, von denen Sie nicht mal genau wissen, was Sie sie verarbeiten?
  2. Identifizieren Sie Risiken aus drei Risikotypen
    – Compliance Risiken des Anbieters
    – Allg. Risiken in Technik und Prozessen beim Anbieter
    – Risiken im eigenen Unternehmen bei der Datenverarbeitung
  3. Bewerten Sie die Risiken und suchen Sie nach Maßnahmen, wenn hohe Risiken identifiziert werden.
  4. Nach Einbezug aller Maßnahmen bleibt ggf. ein Restrisiko. Stellen Sie dies klar und deutlich für Ihre Entscheider dar und legen Sie Ihnen mit Fakten eine Entscheidungsvorlage vor, um der Einsatz von Microsoft Cloud Produkten unter definierten Bedingungen im Unternehmen erfolgen soll.

Hört sich kompliziert an? Eigentlich nicht, aber etwas Arbeit steckt schon dahinter. Wie genau diese Bewertung und Stellungnahme aussehen kann, zeigen wir Ihnen detailliert im Blogbeitrag zum Thema.

Gerne stellen wir Ihnen unser Whitepaper zum Thema Office 365 – Datenschutz zur Verfügung. Sie erhalten es, wenn Sie sich für unseren Newsletter anmelden. Alternativ senden wir es Ihnen auf Anfrage zu. Schreiben Sie uns in diesem Fall einfach eine kurze E-Mail.

Update November 2020: Aufsichtsbehörden begrüßen die Bemühungen von Microsoft

Die bayerischen Aufsichtsbehörden äußern sich in einer Pressemitteilung positiv zu den Anpassungen der Standardvertragsklauseln von Microsoft. Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
– die Information der betroffenen Person, wenn Microsoft durch eine

Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit
einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln
aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel
zu folgen.

Der Bayerische Landesbeauftragte für den Datenschutz
Bayerisches Landesamt für Datenschutzaufsicht, Pressmitteilung vom 20.11.2020

Klicken Sie auf den unteren Button, um den Inhalt von subscribe.newsletter2go.com zu laden.

Inhalt laden

Update Mai 2021: Empfehlung des LfDI BW hinsichtlich der Nutzung der geprüften Microsoft 365 Version an Schulen

Das LfDI prüfte in einem Praxistest eine für Schulen konfigurierte Microsoft 365 Version. Als Ergebnis steht folgendes fest:

Für den Schulbereich hat der LfDI daher ein hohes Risiko der Verletzung von Rechten und Freiheiten betroffener Personen festgestellt. Dies gilt für die ins Auge gefasste Erweiterung des Systems um Konten für die Schülerinnen und Schüler umso mehr. Der Staat hat eine Garantenstellung für die in der Regel minderjährigen Schülerinnen und Schüler, welche zudem der staatlichen Schulpflicht unterliegen und daher der Verwendung ihrer persönlichen Daten nicht ausweichen können. In dieser Konstellation bewertet der Landesbeauftragte das Risiko der eingesetzten Software als inakzeptabel hoch.

Pressemitteilung des LfDI Baden-Württemberg vom 07.05.2021: Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

In der Pressemitteilung wird weiterhin darauf aufmerksam gemacht, dass

[a]lle Verantwortlichen […] eine Risikobewertung mit Blick auf die konkret verarbeiteten Daten vornehmen und sich nachvollziehbar mit den Rechtsgrundlagen ihrer Datenverarbeitungen befassen [müssen]. Diese Rechtsgrundlagen unterscheiden sich im öffentlichen und privaten Sektor zum Teil erheblich, so können Behörden grundsätzlich keine Daten auf Basis eines ‚berechtigten Interesses‘ verarbeiten und sind auch bei der Nutzung von Einwilligungen eingeschränkt. Der LfDI betont dabei, dass bei dieser Betrachtung pauschale Aussagen wie etwa, dass eine Software immer oder nie datenschutzkonform einsetzbar sei, zu undifferenziert und nicht überzeugend sind.

Pressemitteilung des LfDI Baden-Württemberg vom 07.05.2021: Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Update Mai 2021: Microsoft kündigt ausschließliche Datenverarbeitung in Europa an

Microsoft kündigt eine sogenannte „Datengrenze“ für die Microsoft Cloud an. Mit dieser wird die ausschließliche Datenverarbeitung in der EU garantiert. Damit kommt Microsoft den Forderungen der Aufsichtsbehörden entgegen und soll damit noch mehr den Datenschutz der Betroffenen wahren.

Uns ist jedoch noch nicht genau klar, welche Dienste unter dem Begriff Microsoft Cloud konkret fallen.

Quelle: https://www.microsoft.com/de-de/berlin/artikel/unsere-neue-eu-datengrenze-fuer-die-microsoft-cloud.aspx

Update Juli 2022: FAQ der Aufsichtsbehörden Rheinland-Pfalz

Die Aufsichtsbehörde hat ein FAQ zu Microsoft 365 veröffentlicht. Es werden dabei folgende Frage beantwortet:

  • Was ist die datenschutzrechtliche Problematik bei Microsoft 365?
  • Warum reicht der Betrieb auf deutschen Servern nicht aus?
  • Warum ist der Cloud-Act ein Problem
  • Welche Nutzungsdaten werden an Microsoft übermittelt?
  • Wie ist die Nutzung auf Tablets oder Smartphones zu bewerten?

Folgende beiden Fragen heben wir explizit aus dem FAQ heraus, da diese besondere Relevanz haben:

Unter welchen Voraussetzungen ist der Einsatz von Microsoft 365 denkbar?

  1. Der Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder bei Stellen innerhalb der EU/des EWR, die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen.
  2. Die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem. Bei Windows 10 Enterprise kann eine Datenübermittlung an Microsoft durch Einstellungen im Betriebssystem weitgehend unterbunden werden.
  3. Hierzu hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder Empfehlungen ausgesprochen www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/; www.datenschutzkonferenz-online.de/media/dskb/TOP_30_Beschluss_Windows_10_mit_Anlagen.pdf;  www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf sind daher zu berücksichtigen.
  4. Eine Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall) soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann. Hier haben die Verantwortlichen durch vertragliche, technische oder organisatorische Maßnahmen sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet (Anmerkung: Im Rahmen eines Pilotprojektes in Baden-Württemberg, bei der eine schulbezogene Microsoft 365-Version eingesetzt wurde, war dies nach Auskunft des LfDI Baden-Württemberg allerdings nicht möglich. Eine entsprechende Filterung kann daher mit notwendigen funktionalen Einschränkungen verbunden sein.
  5. Eine auf die sog. EU-Standard-Datenschutzklauseln gestützte Datenverarbeitung (Musterverträge). Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen (Anmerkung: Rechtliche Mängel der Muster-Verträge zur Auftragsverarbeitung hinsichtlich MS Teams, insb. unzulässige Abweichungen von den Vorgaben des Art. 28 DS-GVO –  zusammengefasst von der Berliner Datenschutzbeauftragten mit Stand 2020, S. 20).
  6. Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts
  7. Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
  8. Die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
  9. Die Verwendung schulseitig bereitgestellter und datensparsam konfigurierter Endgeräte.
  10. Die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.

Welche technischen und organisatorischen Maßnahmen können getroffen werden, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden?

  • Prüfung der Datenübertragungen an Microsoft. Dies sollte exemplarisch den Datenverkehr, der Benutzercomputer verlässt, und seine Ziele abdecken, um den Datenfluss von Microsoft-Software zu Microsoft-Servern oder anderen Zielen herauszufinden. Dabei sollten insbesondere die normalen Nutzungsmuster der eingesetzten Microsoft-Produkte und -Dienste abgedeckt werden.
  • Für die Analyse von Diagnosedaten unter Windows 10 und bei Office Produkten stellt Microsoft den Diagnosedaten-Viewer (DDV) zur Verfügung: https://support.microsoft.com/de-de/office/verwenden-des-diagnosedaten-viewers-mit-office-cf761ce9-d805-4c60-a339-4e07f3182855
  • Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten zu unterbinden (siehe z.B. https://www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/ ). 
  • Innerhalb der Office-Produkte bietet Microsoft eine Reihe sogenannter „Steuerelemente“ an, mit denen die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann: https://docs.microsoft.com/de-de/deployoffice/privacy/products-versions-privacy-controls  https://docs.microsoft.com/de-de/deployoffice/privacy/overview-privacy-controls 
  • Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, sind , um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
  • Überwachung von Microsoft-Produktupdates und Prüfung Konfiguration etwaiger damit verbundener Konfigurationsänderungen.
  • Wenn Microsoft-Produkte und -Dienste eingesetzt werden sollen, die zuvor noch nicht verwendet wurden, sind vor der Bereitstellung Bewertungen der Datenschutzrisiken dieser Produkte und Dienste durchführen.

Update August 2022: Stellungnahme von Microsoft zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams

Microsoft hat sich in einer Stellungnahme zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams geäußert. Die Stellungnahme ist in zwei Kategorien unterteilt:

  • Richtige Aussagen und
  • Falsche Aussagen mit Richtigstellung seitens Microsoft

Folgende drei Falschaussagen werden seitens Microsoft in der Stellungnahme korrigiert bzw. richtig dargestellt:

Aussage: „Die US-Regierung liest alles mit.“

Richtig ist vielmehr:
➢ Ein Interesse von US-Behörden z. B. an Daten aus einem Schulunterricht in Deutschland kann nicht ernsthaft behauptet werden.
➢ Eine umfangreiche Auswertung öffentlich verfügbarer Dokumente von US-Regierungs-Behörden zur Nutzung von §702 des Foreign Intelligence Surveillance Act (FISA) in der Praxis10 belegt dagegen:
➢ Es gibt keinen Anhaltspunkt dafür, dass die US-Regierung §702 FISA nutzt, um

(i) Industriespionage zu betreiben oder US-amerikanische wirtschaftliche
Interessen zu verfolgen oder

(ii) Regierungen im Europäischen Wirtschaftsraum
ins Visier zu nehmen; und
➢ Die US-Regierung nutzt §702 FISA im Wesentlichen zur Sammlung von Informationen für Ermittlungen zu schwerwiegenden Bedrohungen der nationalen Sicherheit, wie Terrorismus, Cybersecurity-Angriffe und Waffenproliferation.
➢ Microsoft hat die US-Regierung mehrmals erfolgreich verklagt, um die Datenschutz-Rechte seiner Kunden zu verteidigen. Microsoft bezieht auch weiterhin Stellung, um Kundendaten zu verteidigen.
➢ Microsofts „Transparency Reporting“ zeigt, dass eine erzwungene Herausgabe von außerhalb der USA befindlichen Unternehmensdaten an amerikanische Strafverfolgungsbehörden in nur sehr wenigen Fällen erfolgt ist.
➢ Die pauschale Empfehlung seitens einzelner Behörden, nur Anbieter aus der EU zu nutzen, verkennt im Übrigen, dass auch Anbieter mit Stammsitz innerhalb der EU US-Überwachungsgesetzen unterliegen können, z. B. durch eine Präsenz in oder minimalen Kontakt mit den USA. Behörden dürfen nicht mit zweierlei Maß messen und unterliegen dem Objektivitätsgebot.

Stellungnahme von Microsoft Deutschland zur
Datenschutzkonformität von Microsoft 365 und Microsoft Teams, 11.08.2022 , Seite 2 Nr. 2

Aussage: „Diagnosedaten sind nicht notwendig und schädlich.“
Richtig ist vielmehr:
➢ Diagnosedaten sind notwendig, um Produkte und Dienste sicher und stabil zu betreiben. Unsere Kunden erwarten zurecht, dass sie unsere Produkte und Dienste vertragsgemäß und sicher nutzen können. Die verantwortungsvolle Nutzung von
Diagnosedaten trägt dazu bei.
➢ Kunden nutzen viele verschiedene technische Infrastrukturen. Die Verarbeitung von Diagnosedaten ist daher sehr nützlich, um die Anfälligkeit für Fehler und die Wahrscheinlichkeit von Sicherheitsrisiken zu verringern.
➢ Diagnosedaten werden oft falsch verstanden und mit Funktionsdaten verwechselt, z. B., weil entsprechende (Fehl-)Einordnungen außer Acht lassen, dass für die vertraglich vereinbarte und daher vom Kunden auch zurecht erwartete Stabilität und Sicherheit der jeweiligen Anwendung (und damit für deren ordnungsgemäßes Funktionieren) bestimmte
Daten erfasst werden müssen, um die gewünschte Aktion des Nutzers auszuführen.

Stellungnahme von Microsoft Deutschland zur
Datenschutzkonformität von Microsoft 365 und Microsoft Teams, 11.08.2022, Seite 3 Nr. 4

Aussage: „Microsoft überwacht die Nutzer seiner Produkte und Dienste.“
Richtig ist vielmehr:
➢ Die technische Verbindung zwischen Nutzer und Microsoft (z. B. über Server und Rechenzentren) ist in vielen Fällen zwingende Voraussetzung für die vertraglich geschuldete Diensterbringung. Nichts davon kann als ein Ausspähen von Kunden
angesehen werden.
➢ Cloud-Dienste funktionieren nur, wenn Nutzeraktionen übermittelt werden, damit die jeweilige Reaktion der Applikation ausgeführt werden kann (z. B. eine Übersetzung). Das ist technisch mit Verarbeitungen bei on-premises Lösungen vergleichbar. 

Stellungnahme von Microsoft Deutschland zur
Datenschutzkonformität von Microsoft 365 und Microsoft Teams, 11.08.2022, Seite 3 Nr. 5

Ist Microsoft damit nun endlich datenschutzkonform einsetzbar?

Die Frage lässt sich nicht mit einem Ja oder Nein beantworten. Die Einschätzung der Datenschutzbehörden stehen hier noch aus.

Die Stellungnahme hilft aber zumindest den Verantwortlichen das Risiko bezüglich des Datentransfers in die USA besser einordnen zu können.

Update Dezember 2022: Stellungnahme DSK zu Microsoft Onlinediensten

Die DSK hat den „Datenschutznachtrag zu den Produkten und Services von Microsoft“ anhand folgender Nachbesserungen bewertet:

  • Art und Zweck der Verarbeitung, Art der personenbezogenen Daten
  • Eigene Verantwortlichkeit von Microsoft (Rechtsgrundlage: „legitime geschäftliche Zwecke“)
  • Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Pflichten
  • Umsetzung der TOMs
  • Löschung und Rückgabe personenbezogener Daten
  • Information über Unterauftragsverarbeiter
  • Datenübermittlung in Drittstaaten

Wesentliches Ergebnis

Aus der Stellungnahme geht eindeutig hervor, dass die vertraglichen Nachbesserungen nur geringfügige Verbesserungen erzielten, im Ergebnis nicht präzise genug sind und teilweise noch Fragen offenbleiben.

Insbesondere bleibt die Frage im Raum, in welchen Fällen Microsoft Verarbeitungen eigenverantwortlich oder im Auftrag des Kunden durchführt. Hierzu sind die Beschreibungen der Tätigkeiten im Vertragswerk nicht genau genug.

Insgesamt kann der Verantwortliche seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachkommen. Das bedeutet, dass der Einsatz vom Microsoft365 weiterhin mit einem Risiko behaftet ist und nach Ansicht der Behörden nicht möglich ist.

Zusammenfassung der einzelnen Nachbesserungen

Art und Zweck der Verarbeitung, Art der personenbezogenen Daten

  • Ergebnis: Es wurde keine eindeutige Verbesserung der Beschreibung festgestellt. Eine Nachbesserung ist somit erforderlich.
  • Der Gegenstand der Auftragsverarbeitung muss spezifisch und so detailliert wie möglich beschrieben sein.
  • Die DSK schlägt vor, sich am Anhang II der SCC zu orientieren. Alternativ könnte auch vertraglich auf das VVT des Verantwortlichen verwiesen werden.

Eigene Verantwortlichkeit von Microsoft (Nutzung der Daten „Geschäftstätigkeiten“)

  • Ergebnis: Es wurden zwar vertragliche Änderungen erreicht, diese stellen jedoch keine wesentliche Verbesserung dar.
  • Die Beschreibungen der Verarbeitungen sind unzureichend und zu wenig eingegrenzt.
  • Es bleibt weiterhin unklar, welche personenbezogenen Daten auf Basis des „Geschäftszwecks“ verarbeitet werden.
  • Auch die Verarbeitung der Telemetrie- und Diagnosedaten bleibt weiterhin noch ungeklärt.

Weisungsbindung, Offenlegung von Daten, Erfüllung rechtlicher Daten (Cloud-Act)

  • Ergebnis: Die Formulierungen im Nachtrag wurden geändert, jedoch bleiben die Befugnisse über die „Erfüllung rechtlicher Verpflichtungen“ ähnlich umfangreich.
  • Die Offenlegung von Daten ist nach Microsoft zulässig, wenn diese gesetzlich vorgeschrieben oder im Datenschutznachtrag geregelt ist. Die Offenlegung erfolgt somit ohne Weisung des Verantwortlichen, was nicht den Mindestanforderungen des Art. 28 DSGVO entspricht.

TOMs

  • Ergebnis: Es wurden Ergänzungen zu den TOMs vorgenommen. Es bleiben dennoch noch Rechtsunsicherheiten, da die Sicherheitsmaßnahmen nur für eine Teilmenge an Daten (siehe nachstehender Punkt) erfasst wurden.
  • Für bestimmte Datenkategorien (Kundendaten in Core-Onlinediensten und Professional Services-Daten) sind Garantie- und Sicherheitsbestimmungen vorhanden.
  • Über servicetrust.microsoft.com (nach Anmeldung) können die TOMs eingesehen werden.

Löschung / Rückgabe

  • Ergebnis: Im Nachtrag sind Änderungen zu Löschungen eingebracht, die jedoch zu Unklarheiten und Widersprüchen führen. Die Beschreibungen zu den Lösch- und Rückgabepflichten entsprechen nicht den Anforderungen des Art. 28 Abs. 3 lit. g DSGVO.

Information über Unterauftragsverarbeiter

  • Ergebnis: Das Verfahren der „Hol-Schuld“ des Verantwortlichen wurde dahingehend angepasst, dass diese über Änderungen von Unterauftragsnehmern informiert werden.
  • Allerdings ist in der Meldung die konkret beabsichtige Änderungen zu nennen und nicht nur der allgemeine Hinweis, dass Änderungen geplant sind. Dieses Kriterium erfüllt Microsoft noch nicht.
  • Die aktuelle Übersicht der eingesetzten Unterauftragnehmer beinhaltet nicht die die Funktionalität (Zweck). Die DSK verweist auch hier wieder auf SCC, die weitaus umfangreicher sind.

Datenübermittlung in Drittstaaten

  • „Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich.“
  • Ab Dez. 22 plant Microsoft die sog. Data EU Boundary. Das bedeutet, dass Kunden-, Supportdaten und sonstige personenbezogene Daten aller Kunden grundsätzlich – nicht ausnahmslos – gespeichert werden. Die Ankündigung ist zwar hilfreich, aber die Umsetzung und Bewertung ist zu beobachten und zu bewerten.
  • Des Weiteren wird auf die FISA 702 und E.O. 1233 verwiesen, welche es den US-Geheimdiensten erlaubt, auf die Daten zuzugreifen. Microsoft hat nach der DSK diesen Zugriff zu verhindern oder ineffektiv zu machen.
  • Eine Verschlüsselung der verarbeiteten Daten ist regelmäßig nicht möglich, z.B. wenn Daten im Browser angezeigt werden müssen.
  • Ähnlich verhält es sich mit der Angabe in den Abschnitten zu „ruhenden Daten“ und „Datenübermittlung und Ort“. Die im Nachtrag beschriebenen Daten sind nicht ausreichend.

Update Januar 2023: neuer Auftragsverarbeitungsvertrag von Microsoft

Am 01.01.23 hat Microsoft einen neuen AV-Vertrag (englische Version) veröffentlicht. Damit reagiert Microsoft auf die angebrachte Kritik der Aufsichtsbehörden. 

Im neuen AV-Vertrag ist vor allem folgende Änderung bedeutend, dass über die EU-Cloud sämtliche Kundendaten ausschließlich in der EU verarbeitet und gespeichert werden. Des Weiteren wurde der Anhang I (relevante Regelungen zum AV-Vertrag) überarbeitet und ergänzt. Es werden dabei Bezüge auf die verschiedenen Rechtsgrundlagen nach Art. 5, 28, 32 und 33 genommen und ergänzt.

Seit Anfang Februar ist der Vertrag auch in deutscher Sprache verfügbar. Sie finden ihn hier.

Ob der Vertrag nun den Anforderungen der Aufsichtsbehörden entsprechen, wird sich wohl erst mit einer erneuten Bewertung zeigen.

FAQs

Der Einsatz von Microsoft Office 365 ist laut DSK nicht datenschutzkonform. Was bedeutet das?

Die DSK hat hierzu ein Statement abgegeben. Zum Stand Oktober 2020 stehen allerdings nicht alle Datenschutzbehörden hinter dieser Aussage. Als nächstes planen die Behörden gemeinsam mit dem Anbieter Microsoft eine Lösung zu finden.

Was sollen wir aktuell machen, wenn wir Office 365 im Unternehmen bereits einsetzen?

Wir empfehlen eine ausführliche Risikobewertung und vor allem eine strenge Konfiguration des Services hinsichtlich Datenschutz. Deaktivieren Sie alle Services, die Sie nicht benötigen. Deaktivieren Sie auch Services, die nicht auf EU Servern laufen.

Setzen Sie auch alle weiteren Konfigurationsschalter auf die sichersten Optionen hinsichtlich Datenschutz. Dokumentieren Sie dies gut, damit Sie im Zweifelsfall einen Nachweis haben, alles zum aktuellen Stand mögliche getan zu haben.

Trotz allem, verfolgen Sie zu diesem Thema auch die Stellungnahmen der Behörden. Natürlich aber auch unseren Blog uns unsere Social Media Kanäle. Wir halten Sie zu diesem Thema auf dem Laufenden.

Kann Office 365 derzeit ohne Restrisiko eingesetzt werden?

Selbst nach aktuellen Möglichkeiten bleibt immer ein Restrisiko. Zumal sich Microsoft über den Cloud Act nicht komplett aus der Verantwortung nehmen kann, im Zweifelsfall doch Daten an die US Regierung auszuhändigen. Die Maßnahmen, um dieses Risiko zu verbringen, werden allerdings vom Anbieter sehr streng eingehalten.

Zudem besteht natürlich immer die Gefahr, dass Daten durch eine falsche, fehlende Konfiguration oder unbekannte Funktion an den Anbieter übermittelt werden.

Quellen:

https://www.vitako.de/Publikationen/Leitfaden_Nutzung%20von%20Office.pdf

https://aka.ms/gutgemacht

https://docs.microsoft.com/de-de/microsoft-365/compliance/meet-data-protection-and-regulatory-reqs-using-microsoft-cloud?view=o365-worldwide

https://www.microsoft.com/de-DE/trust-center/privacy/customer-data-definitions

https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterprise

https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/08/Microsoft_Statement_Datenschutzkonformitaet-von-Microsoft-365-und-Microsoft-Teams.pdf

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 09
  • Sep
25. Tätigkeitsbericht des LfDI Niedersachsen
Jasmin Muhmenthaler-Sturm Datenschutz,Papiere der Aufsichtsbehörden No Comments

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die niedersächsische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Continue reading „25. Tätigkeitsbericht des LfDI Niedersachsen“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 20
  • Jul
EuGH kippt Privacy Shield – Fehlende Sicherheit der Daten beim Datenaustausch zwischen der EU und den USA
Regina Stoiber Datenschutz,Informationssicherheit,Urteile 1 Comment

Am 16.07.2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt.

In diesem Beitrag zeigen wir auf, worum es im Urteil überhaupt geht. Für alle, die sich der Konsequenzen schon bewusst sind, geben wir auch Handlungsempfehlungen – nach dem aktuellen Stand der Stellungnahmen der Aufsichtsbehörden und Rücksprache mit Fachkollegen.

[Update am 26.10.2020: Nach einem Austausch in kleiner Runde mit Vertretern der bayerischen Aufsichtsbehörde und erfahrenen Datenschützern, wird dieser Artikel mit den Ergebnissen des Gesprächs ergänzt.]

Die nachfolgende Zusammenfassung stellt natürlich keine Rechtsberatung dar.

Continue reading „EuGH kippt Privacy Shield – Fehlende Sicherheit der Daten beim Datenaustausch zwischen der EU und den USA“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 20
  • Jul
Klage gegen Telekommunikationsgesetz – strengere Regeln für die Herausgabe von Daten
Regina Stoiber Datenschutz,Informationssicherheit,Urteile No Comments

Am Freitag, den 17.07.2020, wurde vom Bundesverfassungsgericht in Karlsruhe in einem Urteil beschlossen, dass Teile des Kommunikationsgesetzes verfassungswidrig sind.

Begründung ist, dass das Gesetz unverhältnismäßig in das informationelle Selbstbestimmungsrecht und das Telekommunikationsgeheimins eingreife.

Für Polizei und Verfassungsschutz bedeutet dies eine Einschränkung in der Auswertung von Nutzungsdaten von Mobilgeräten und der Internetnutzung. Diese Daten dürfen zukünftig nur noch unter strengen Voraussetzungen von Sicherheitsbehörden abgefragt werden.

Im Urteil geht es nicht grundsätzlich um die Zulässigkeit der Verwendung der Daten für die Verfolgung von Straftaten, sondern um die Schwelle, wann diese Daten herausgegeben werden dürfen. Voraussetzung müsse eine konkrete Gefahr oder ein Anfangsverdacht sein.

Quelle:

Handelsblatt „News am Abend“ vom Freitag 17.07.2020

Diesen Beitrag teilen

Corona Warn App im Blick auf Datenschutz und Datensicherheit
  • 20
  • Jun
Corona Warn App – Wie steht’s um Sicherheit und Datenschutz?
Regina Stoiber Datenschutz,Informationssicherheit,Risikomanagement No Comments

Am 16.06.2020 wurde nun die Corona Warn App veröffentlicht. Sie soll uns helfen, die Pandemie weiter im Griff zu behalten und die Infektionsketten schnellstmöglich zu brechen. Wie es bei der Corona Warn App (CWA) mit Datenschutz und Sicherheit aussieht, möchten wir in diesem Artikel beleuchten.

Wir wollen und können nicht den Quellcode prüfen und die App auf die Schnelle prüfen (lassen). Aber darum geht es auch nicht.

Wenn Sie uns kennen, wissen Sie, dass wir gut und ausführlich recherchieren. Wir arbeiten nach bestem Wissen und Gewissen und kennzeichnen deutlich, wenn bestimmte Aussagen unsere persönliche Meinung darstellen. Beachten Sie – wie immer – dass es sich hierbei aber um keine Rechtsberatung handelt.

Continue reading „Corona Warn App – Wie steht’s um Sicherheit und Datenschutz?“

Diesen Beitrag teilen

Datenschutzanalyse deutscher Webseiten
  • 10
  • Jun
So entstehen rechtssichere Webseiten
Regina Stoiber Datenschutz,IT-Sicherheit No Comments

Gastbeitrag von Dr. Klaus Meffert

Dr. Meffert beschäftigt sich mit dem Thema Datenschutz auf Webseiten. In diesem Gastbeitrag berichtet er, wie Webseiten DSGVO-konform gemacht werden können. Dieser Bericht geht auch auf die häufigsten Probleme in Bezug auf rechtssichere Webseiten (Schwerpunkt Datenschutz) ein und zeigt, welche Maßnahmen zur Abhilfe es gibt.

Hier beschreibt Dr. Meffert wie die DSGVO für Webseiten eingehalten werden kann. Zusätzliche Vorschriften für Webseiten wie die Anbieterkennzeichnung (Impressumspflicht), die Ausgestaltung von AGB oder von Einkaufsprozessen in Internet-Shops werden hier nicht thematisiert. Es geht nur um die datenschutzrechtlichen Betrachtungen, die allerdings sehr wichtig sind. Schließlich kann jede Webseite zu jeder Zeit von jedem, der es möchte, angeschaut, untersucht und bei Bedarf kritisiert werden. Die Webseite ist der öffentlichste Teil jedes Unternehmens.

Continue reading „So entstehen rechtssichere Webseiten“

Diesen Beitrag teilen

Fortbildung des Datenschutzbeauftragten nach Art. 37 (5) DSGVO
  • 03
  • Jun
Erfüllen Sie als Datenschutzbeauftragter Ihre Pflicht zur Weiterbildung?
Jasmin Muhmenthaler-Sturm Datenschutz 2 Comments

Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

In einem vorherigen Blogbeitrag haben wir bereits die zahlreichen Aufgaben des Datenschutzbeauftragten vorgestellt. Neben der Überwachung und Einhaltung der DSGVO, Beratungstätigkeiten und Mitarbeitersensibilisierung ist ein wichtiger Aspekt nicht zu vergessen: Die Weiterbildung des Datenschutzbeauftragten im fachlichen Sinne.

Doch wie und vor allem wo kann ein Datenschutzbeauftragter eine Datenschutzfortbildung absolvieren? Welche Angebote entsprechen den gesetzlichen Anforderungen? Kann man auch ohne Schulungen auf dem laufenden bleiben?

Diese Fragen stellen sich insbesondere interne Datenschutzbeauftragte. In vielen Fällen übt nämlich der interne Datenschutzbeauftragte seine Rolle als DSB zusätzlich zu einer bereits bestehenden Tätigkeit aus. Es bleibt meist wenig Zeit für eine qualifizierte Fortbildung und einen Austausch mit Gleichgesinnten in einem Netzwerk.

In diesem Blogartikel möchte ich Ihnen diese Fragen beantworten und auch einen Lösungsansatz anbieten.

Continue reading „Erfüllen Sie als Datenschutzbeauftragter Ihre Pflicht zur Weiterbildung?“

Diesen Beitrag teilen

Videokonferenzsysteme und Datenschutz
  • 23
  • Apr
Welches Videokonferenzsystem erfüllt die Anforderungen an den Datenschutz?
Regina Stoiber Datenschutz,IT-Sicherheit 5 Comments

Videokonferenzen oder Onlinemeetings haben aufgrund der Corona-Krise von einem Tag auf den anderen Einzug in die Unternehmen erhalten. Wer hätte gedacht, dass die Digitalisierung in diesem Bereich nun doch so schnell vonstattengeht?

Es ist nicht ganz einfach, aus der großen Auswahl von Onlinemeeting Tools den richtigen Meeting-Service auszuwählen. Neben den Anforderungen an die Benutzerfreundlichkeit ist auch die Einhaltung der Datenschutzanforderungen eine wichtige Komponente.

In diesem Beitrag möchten wir Ihnen eine Übersicht über die gängigsten Videokonferenzsysteme und deren Aspekte zum Datenschutz geben. Zudem zeigen wir vorab auf, was bei der Auswahl eines Systems in Bezug auf die Sicherheit personenbezogener Daten beachtet werden soll.
Abschließend geben wir noch ein paar Tipps, was beim Einsatz und der Durchführung von Onlinemeeting-Tools zu beachten ist.

Hinweis: Bei diesem Beitrag handelt es sich um keine Rechtsberatung. Der Inhalt stellt auch keine Werbung dar. Wir listen in diesem Beitrag objektive Kriterien auf und geben unsere subjektive Meinung ab. Dies ist aber auch extra gekennzeichnet („Erfahrung / Einschätzung der Datenbeschützerin).

Continue reading „Welches Videokonferenzsystem erfüllt die Anforderungen an den Datenschutz?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 16
  • Mrz
Datenschutz und Corona – Das müssen Sie bei der Verarbeitung von Daten beachten!
Regina Stoiber Datenschutz No Comments

In Zeiten des Coronavirus steht an erster Stelle, die Anzahl der Neuinfizierungen über einen längeren Zeitraum zu strecken. Dies führt zu drastischen, noch nie da gewesenen Maßnahmen. Sie als Unternehmen, Behörde, Verein oder sonstige Institution, sind verpflichtet mitzuwirken.

Was bedeutet das nun aber für die Regeln des Datenschutzes? Sind die DSGVO und das BDSG aufgrund der Corona-Krise außer Kraft gesetzt?

Natürlich Nicht!

Auf was Sie als Verantwortlicher achten müssen, erfahren Sie in diesem Beitrag!

Auf den Punkt gebracht: Datenschutz und Corona

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die Erhebung und Verarbeitung besonders schützenswerter Daten nach Art. 9 DSGVO ist für die Eindämmung einer Pandemie erlaubt
  • Die Rechtsgrundlagen der Verarbeitung können abweichen von den üblichen Rechtsgrundlagen im Beschäftigungsverhältnis
  • Denken Sie and die Erweiterung Ihrer Informationspflicht für die neue Datenverarbeitung
  • Stellen Sie den besonderen Schutz der Gesundheitsdaten sicher

Wie verhält es sich mit dem Beschäftigtendatenschutz beim Coronavirus?

Der Bundesdatenschutzbeauftragte (BfDI) gibt einige Hinweise für Arbeitgeber heraus. Hier wird auf den Umgang mit personenbezogenen Daten, die durch die Corona-Pandemie entstehen, hingewiesen. Nachfolgend eine Zusammenfassung, der für Sie relevanten Punkte:

Besonders schützenswerte Daten nach Art. 9 DSGVO

Wenn es um Daten zu Betroffenen der Pandemie geht, ist man mehr oder weniger sofort bei besonders schützenswerten Daten nach Art. 9 DSGVO. Diese müssen höher geschützt werden, als „normale“ personenbezogene Daten. Zudem muss ein wichtiger Zweck vorliegen, damit die Daten überhaupt verarbeitet werden dürfen.

Die Maßnahmen zum Schutz der Verzögerung der Ausweitung der Corona-Pandemie gelten als wichtiger Zweck. Natürlich aber auch der Schutz der Mitarbeiter. Trotzdem ist es wichtig, dass auch zu diesem Zweck der Datenschutz eingehalten wird. Das BfDI weißt auch auf die Einhaltung der Verhältnismäßigkeit bei der Datenverarbeitung hin!

Hinweis zu personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO)

Sehr häufig haben wir die Anfrage bzw. die Annahme, dass die Verarbeitung von Daten, die unter Artikel 9 DSGVO fallen, einen Datenschutzbeauftragten voraussetzen. Dies könnte man beim schnellen Durchlesen, aus Art. 37 (1) lit. c DSGVO heraus lesen.

Beim genauen lesen sieht man allerdings, dass es sich bei der Verarbeitung dieser Daten um die Kerntätigkeit des Verantwortlichen handeln muss. Ebenfalls muss es sich dann noch um eine umfangreiche Verarbeitung dieser Daten handeln. Da fallen nicht mal Ärzte darunter!

Das heißt nun für Sie, als Verantwortlicher im Umgang mit Datenschutz und Corona, dass Sie deswegen nicht plötzlich einen Datenschutzbeauftragten benennen müssen.

Datenschutzrechtlich erlaubte Erhebungs- und Verarbeitungszwecke im Umgang mit Covid-19 Daten

Diese Liste ist übernommen vom Bundesdatenschutzbeauftragten:

  • Personenbezogene Daten (inklusive benötigter Gesundheitsdaten) zur Verhinderung weiterer Ausbreitung des Corona-Virus bei Mitarbeitern und Führungskräften (dies gilt in angemessenen Umgang auch für Vereine und andere Organisationen).
    • Personen, bei denen eine Infektion festgestellt wurde
    • Personen, die Kontakt zu einer nachweislich infizierten Person hatten
    • Personen, die sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben (Risikogebiete werden vom Robert-Koch-Institiut eingestuft)
  • Daten von Gästen und Besuchern, ebenfalls inklusive der benötigten Gesundheitsdaten dürfen erhoben und verarbeitet werden, wenn
    • diese infiziert sind oder Kontakt mit einer nachweislich infizierten Person hatten
    • sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben
  • Die Offenlegung dieser Daten von nachweislich infizierten bzw. unter Verdacht stehenden Personen, sich infiziert zu haben ist mit größter Vorsicht zu behandeln. Dies ist nur erlaubt, wenn diese Informationen für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtsgrundlagen zur Verarbeitung der Daten im Zusammenhang mit der Corona-Pandemie

Auf der Seite des BfDI ist dies sehr ausführlich erläutert. Hier geben wir Ihnen einen kurzen Überblick.

  • Artikel 6 (1) lit. e DSGVO: Verarbeitung von Mitarbeiterdaten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
  • Art. 6 (1) lit. c DSGVO: Auch weiterhin ist natürlich die Erfüllung (eventuell neuer) gesetzlicher Anforderungen eine Grundlage
  • §26 (3) BDSG: Erlaubte Verarbeitung von Daten nach Art. 9 DSGVO zur sozialen Sicherheit und des Sozialschutzes;
  • Art. 9 (2) lit. g DSGVO: Verarbeitung aus Gründen des öffentlichen Interesses
  • §22 Abs. 1 (1) lit. c BDSG: Verarbeitung von Daten besonderer Kategorien im öffentlichen Interesse und zur öffentlichen Gesundheit

Schutz der personenbezogenen Daten für die Verarbeitung zur Eindämmung der Corona-Pandemie

Natürlich müssen diese Daten entsprechend der Anforderungen mit Maßnahmen nach Art. 32 DSGVO geschützt werden.

Besonders ist auf die höhere Sicherheit der Verarbeitung hinzuweisen, wenn Daten nach Art. 9 DSGVO (also besonders schutzwürdige Daten) verarbeitet werden. Beispielsweise muss die Übertragung der Daten höher geschützt sein.

Bei der Erhebung und Verarbeitung handelt es sich um einen temporären Notfallprozess. Hier sollten Sie neben dem Datenschutz noch ein paar weitere Details beachten. Ausführlich finden Sie das im Blogbeitrag zum Notfallplan.

Löschung von Daten für Zwecke der Pandemie-Eindämmung

Nachdem der Verarbeitungszweck erloschen ist (laut BfDI nach Ende der Pandemie – spätestens), müssen die Daten unverzüglich gelöscht werden.

Einwilligung oder Information der Betroffenen bei der Erhebung von Gesundheitsdaten über Corona?

Da mit den oben genannten Rechtsgrundlagen die Verarbeitung zulässig ist, sollte von einer Einwilligung abgesehen werden.

Die Information nach Art. 13 und Art. 14 der Betroffenen über die Datenverarbeitung ist ausreichen. Sie können hierfür folgende Beispielsformulierung entnehmen.

Passage für die Informationspflicht nach Art. 13 und Art. 14 DSGVO zum Zwecke der Eindämmung der Pandemie

„Zur Eindämmung der Pandemie und zum Schutz der Gesundheit unserer Mitarbeiter werden zum aktuellen Zeitpunkt folgende zusätzliche Daten nach Art. 9 DSGVO von unseren Mitarbeitern erhoben: [Bitte hier eine Aufzählung der erhobenen Daten einfügen].

Die Verarbeitung der Daten beruht auf einer gesetzlichen Grundlage nach Art. 6 Abs. 1 lit. c DSGVO, zur Wahrnehmung der Aufgaben des öffentlichen Interesses nach Art. 6 Abs. 1 lit. e DSGVO, sowie aufgrund des Gesundheitsschutzes nach §22 Abs. 1 (1) lit. c BDSG [ggf. hier – falls zutreffend noch weitere Rechtsgrundlagen einfügen].

Die Daten verbleiben intern und werden nur auf Anfrage seitens der Gesundheitsbehörde an diese übermittelt. Die erhobenen Daten werden unverzüglich nach Beendigung der Pandemie gelöscht.“

Quellen:

Die Pressemitteilung vom 13.03.2022 des BfDI finden Sie hier.

Weitere interessante Links zum Thema Beschäftigtendatenschutz bei einer Pandemie

Linksammlung der GDD:

https://www.gdd.de/datenschutz-und-corona

Stellungnahme des Datenschutzbeauftragten aus Baden-Württemberg:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf

Diesen Beitrag teilen

WhatsApp im Unternehmen, Messenger Alternativen
  • 16
  • Dez
WhatsApp im Unternehmen – Welche Messenger Alternativen sind in der Firma möglich?
Regina Stoiber Datenschutz 15 Comments

Dieser Artikel basiert auf unserer Erfahrung im täglichen Geschäft mit Kunden, die uns zum Einsatz von WhatsApp im Unternehmen kontaktieren. Der Bericht wurde nicht bezahlt. Der Beitrag kann aber im Einzelfall als Werbung für verschiedene Produkte, die erwähnt werden, verstanden werden. 

Im Juli 2018, kurz nach dem „DSGVO-Stichtag“, hat WhatsApp die Nutzungsbedingungen aktualisiert. Im Dezember 2019 kam eine weitere Neuerung des Messenger-Betreibers zur Verwendung von Broadcast Listen.

Was bedeutet das für den Einsatz des Messengers in Firmen? Ist die App DSGVO-konform und darf WhatsApp im Unternehmen verwendet werden? Gibt es eigentlich (sinnvolle und praktikable) Alternativen zu WhatsApp?

Auf diese und weitere Themen rund um den Messenger WhatsApp in Unternehmen möchte ich in diesem Artikel eingehen.

Continue reading „WhatsApp im Unternehmen – Welche Messenger Alternativen sind in der Firma möglich?“

Diesen Beitrag teilen

Regina Stoiber - Datenbeschützerin
Worldpeace

 

kostenloses Live-Webinar: So setzen Sie TISAX® um!
Webinar TISAX®
Von Experten – für Experten im Datenschutz
DSB Experten Club
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt

Newsletter Datenbeschützerin
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.

 

Neuste Beiträge

 

DSGVO Praxis für Einzel- und Kleinunternehmer

DSGVO für Einzel- und Kleinunternehmer

 

Wir begeistern unsere Kunden
Erfahrungen & Bewertungen zu Regina Stoiber

 

 

Der obligatorische Hinweis

Wir recherchieren sehr ausführlich für unsere Beiträge. Trotzdem stellen diese Informationen keine Rechtsberatung dar!

Spezielle Fragen zum Datenschutz beantworten wir Ihnen sehr gerne individuell!

Vereinbaren Sie ein kostenloses Erstgespräch.

 

Allianz für Cyber-Sicherheit