MS 365 – FAQs und Link-Sammlung

Bedenken zum datenschutzkonformen Betrieb des Cloud-Dienstes Microsoft Office 365 (MS 365) – nach dem *EuGH-Urteil Schrems II – sind nicht neu.

*Mit diesem Urteil wurde die USA unter Datenschutz-Aspekten zu einem „unsicheren Drittland“ „herabgestuft“. Sprich alle (potentiellen) Datenübermittlungen in die USA bedürfen seitdem entsprechender Schutzmaßnahmen, um einen – nach europäischer Norm – angemessenen Schutz der personenbezogenen Daten zu gewährleisten. Alle europäischen Unternehmen und Organisationen sind gemäß DSGVO verpflichtet, einen angemessenen Schutz sicherzustellen.

Seit dem EuGH-Urteil begibt sich jedes Unternehmen, jede Organisation, mit der Nutzung von MS 365 in „unsicheres“ Datenschutz-Fahrwasser. Beurteilungen von den Datenschutz-Aufsichtsbehörden fallen bisher uneinheitlich aus. Eine einheitliche Untersagung von MS 365 durch die Datenschutzaufsichtsbehörden blieb bisher aus.

Auch in deutschen Behörden und öffentlichen Einrichtungen ist MS 365 noch verbreitet. Im derzeitigen Koalitionsvertrag ist jedoch von digitaler Souveränität die Rede mit dem Ziel, dass sich Verwaltungen unabhängig von Software-Riesen wie Microsoft machen. Das Hamburger Abendblatt titelt in einem interessanten Artikel dazu: Weg von Microsoft: Warum Behörden zu Open Source wechseln.

Der Schwenk der Behörden weg von Microsoft hin zu Open Source ist ein wichtiges Signal für Unternehmen und Organisationen!

Jedes Unternehmen, das MS 365 im Einsatz hat oder derzeit einführt, sollte die technische Neuausrichtung der Behörden im Hinterkopf haben. Denn wenn alle Behörden irgendwann umgesattelt haben, wird es für Unternehmen dünn, argumentativ die Erforderlichkeit des Einsatzes von MS 365 nachzuweisen – vorausgesetzt, dass die USA bis dahin noch immer ein „unsicheres Drittland“ im Sinne des Datenschutzes darstellt (internationale Abkommen könnten die USA datenschutzmäßig wieder zu einem „sicheren“ Drittland aufsteigen lassen).

In der Orientierungshilfe zum Drittlandstransfer des LfDI Baden-Württemberg gibt die Behörde auf Seite 14 einen entsprechenden Hinweis:

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben/mit dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden- Württemberg untersagt werden.

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten.

Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.

Wichtig für Unternehmen und Organisationen beim (geplanten) Einsatz von MS 365 ist aktuell:

• Datenschutz-Risiken erkennen und auf ein Mindestmaß reduzieren.
• Ist der Einsatz von MS 365 noch in der rudimentären Planung, sollten alternative Open Source-Lösungen in Betracht gezogen werden.
  • Auch unter Sicherheitsaspekten ist zu beachten, dass Systeme, die weit verbreitet sind, auch im hauptsächlichen Fokus von Cyberangriffen stehen.
• Auswahlprozess und Entscheidungsgründe für MS 365 sollten dokumentiert (= nachweisbar) abgewogen werden (siehe Hinweis oben in blau).
• Möglichst einen Fahrplan für größtmögliche Datenschutzkonformität bzw. für eine Ablösung von MS 365 haben
  • Der HBDI erteilt folgenden Hinweis | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (hessen.de):
    Der HBDI erwartet, dass datenverarbeitende Stellen in Hessen nachweisen können, dass sie die erforderlichen Überlegungen angestellt und nötigenfalls Schritte eingeleitet haben, um sicherzustellen, dass die eingesetzten Datenverarbeitungsverfahren den Anforderungen der DS-GVO genügen. Dies kann je nach Verarbeitungsprozess unterschiedlich komplex sein. Bei einfach umzusetzenden Verfahrensänderungen, bei denen schon jetzt funktional gleichwertige, datenschutzgerecht einsetzbare Alternativen existieren (wie zum Beispiel für den Einsatz von Videokonferenzsystemen) werden umgehende Umsetzungstätigkeiten erwartet.Wird Umsetzungsbedarf für komplexere Verfahren identifiziert, muss ein angemessener Fahrplan für die Umsetzung erstellt werden.

Zur Unterstützung bzgl. der Auswahl und des Einsatzes von MS 365 haben wir relevante und hilfreiche Veröffentlichungen nachfolgend gebündelt:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz stellt auf seiner Webseite FAQs zu Microsoft 365 zur Verfügung, die wir in diesem Beitrag zusammenfassend und teils „zitierend“ wiedergeben und um relevante Links vom LfDI Baden-Württemberg ergänzt haben.

Ergänzend verlinken wir zur Uni Würzburg, die eine empfehlenswerte Seite zu MS 365 veröffentlicht hat. Dort sind ausführliche Informationen z.B. rund um:

– Vertrag

– Datenschutz

– Informationssicherheit

– Barrierefreiheit

und zur Orientierung:

– wie man Dienstvereinbarungen aufsetzen und Dokumentationspflichten erfüllen kann.

Der Landesbeauftragte von Rheinland-Pfalz geht bzgl. MS 365 auf seiner Seite folgenden Fragen nach:

1. Was ist beim Einsatz von Microsoft Office 365 datenschutzrechtlich problematisch?
2. Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?
3. Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?
4. Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft Office 365 denkbar?
5. Welche Nutzungsdaten werden bei Microsoft Office 365 übermittelt?
6. Welche technisch-organisatorischen Maßnahmen können getroffen werden, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden?
7. Wie ist die Nutzung von Microsoft Office 365 auf Tablets und Smartphones zu bewerten?

Auf der Seite datenschutz.rlp.de | Microsoft Office 365 | werden die Fragen ausführlich beantwortet. Die zusammenfassende Kurzform der Antworten stellen wir hier zur Verfügung:

1. Datenschutzrechtliche Problematik:

   Aufgrund des EuGH-Urteils vom 16.07.2020 „Schrems II“ wird die USA aus Datenschutzsicht zu einem „unsicheren“ Drittland – einem Land in dem das Datenschutzniveau nicht angemessen ist. Die Urteilsbegründung fußt u.a. darauf, dass „Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.“ Damit sind die „rechtlichen Voraussetzungen für personenbezogene Datenverarbeitungen europäischer Unternehmen in den USA kaum zu erfüllen.“

   „Hinsichtlich Microsoft Office 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.“

   Das bedeutet, dass zur Herstellung eines vergleichbaren Datenschutzniveaus die EU-Standardvertragsklauseln vertraglich zu vereinbaren sind und darüber hinaus zusätzliche technisch-organisatorische Maßnahmen (TOMs) von europäischen Unternehmen getroffen werden müssen.

2. Datenverarbeitung auf europäischen Servern nicht ausreichend:
   

   Telemetrie- und dienstgenerierte Daten werden auf Systemen in den USA gespeichert. Diese Daten können personenbezogen sein. „Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen daher durch vertragliche, technische oder organisatorische Maßnahmen (z. B. durch eine Filterung der Datenübermittlungen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.“

   Daten auf europäischen Servern von US-Töchtern sind vor einem Herausgabeverlangen einer US-Behörde nicht geschützt (CLOUD-Act).

3. CLOUD-Act ist ein Datenschutzproblem:

   Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Unternehmen Datenherausgabeverlangen von US-Behörden zu erfüllen. Aufgrund einer derzeit fehlenden internationalen Übereinkunft (z.B. Rechtshilfeabkommen) ist eine Datenherausgabe nach EU-Recht jedoch nicht zulässig. Betroffene würden von der Herausgabe ihrer Daten an US-Behörden i.d.R. nichts erfahren und könnten sich somit auch nicht dagegen „wehren“, was ein Verstoß gegen die DSGVO darstellt.

4. Voraussetzungen für datenschutzkonformen Einsatz von MS 365:

   1. Betrieb auf eigenen IT-Strukturen („on-Premises-Lösung“), die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen
      1. siehe auch Empfehlungen des BSI APP.1.1 Office-Produkte (bund.de)
         „APP.1.1.A12 Verzicht auf Cloud-Speicherung [Benutzer] (S)
         Die in einigen Office-Produkten integrierten Funktionen für Cloud-Speicher SOLLTEN grundsätzlich deaktiviert werden. Alle Cloud-Laufwerke SOLLTEN deaktiviert werden. Alle Dokumente SOLLTEN durch die Benutzer auf zentral verwalteten Fileservern der Institution gespeichert werden. Um Dokumente für Dritte freizugeben, SOLLTEN spezialisierte Anwendungen eingesetzt werden. Diese Anwendungen SOLLTEN mindestens über eine verschlüsselte Datenablage und -versendung sowie ein geeignetes System zur Benutzer- und Rechteverwaltung verfügen.“
   2. Wenn auf on-Premises-Lösung nicht möglich, dann möglichst Einschaltung eines europäischen Datentreuhänders ohne US-Mutter – wie es die Deutsche Telekom einst anbot. Ein Nachfolgeprodukt gibt es dort momentan nicht.
   3. Keine Übermittlung von Telemetriedaten an Microsoft durch vertragliche und technisch-organisatorische Maßnahmen (TOMs) nachweislich sicherstellen.

5. Nutzungsdaten, die Microsoft erhält:

   „Über die eingebaute Telemetrie-Komponente werden nicht nur Nutzungsdaten der primär genutzten Anwendungen erfasst, sondern auch die individuelle Nutzung verbundener Dienste wie den Übersetzungsdienst oder die Microsoft Suchmaschine Bing sowie Daten über das genutzte Endgerät, die Adresse des Internet-Zugangs (IP-Adresse), Standortdaten u.a. mehr.“

   Vielfach bleibt unklar, welche Daten konkret an Microsoft gesendet werden. „Bei den Diagnose- oder dienstgenerierten Daten handelt es sich in den meisten Fällen um technische Informationen, die für sich genommen keinen direkten Personenbezug haben. Allerdings können diese einer eindeutigen, zur Nutzerin bzw. dem Nutzer gehörenden UserID zugeordnet werden bzw. stellen eindeutige Identifikatoren dar. Untersuchungen haben gezeigt, dass aufgrund der Vielzahl der Informationen auch bei der Nutzung pseudonymer Benutzerkonten eine Re-Identifizierung möglich ist.“

   „Insgesamt fehlt es hinsichtlich der von Microsoft verarbeiteten Daten bislang an einer der Datenschutz-Grundverordnung genügenden Transparenz… Daher können Missbräuche nicht ausgeschlossen werden.“

   Exkurs zu diesem Thema zur Aufsicht Baden-Württemberg:
   Muster zur Beschreibung von Datenflüssen und insbesondere Telemetrie- und Diagnosedaten, das Microsoft und dem Kultusministerium vom LfDI Baden-Württemberg zur Verfügung gestellt wurde: https://media.frag-den-staat.de/files/foi/639491/2021-04-23_Empfehlung_Anlage_11.pdf#

6. Mögliche TOMs zur Verhinderung der Übermittlung von Telemetriedaten:

   1. „Prüfung der Datenübertragungen an Microsoft.“ Zur Analyse stellt Microsoft einen Diagnosedaten Viewer zur Verfügung: Verwenden des Diagnosedaten-Viewers mit Office (microsoft.com)
   2. Konfiguration der Diagnose-/Telemetriedaten. Auch hierbei unterstützt Microsoft:
      Steuerelemente für den Datenschutz für Office-Produkte verfügbar – Deploy Office | Microsoft Docs und
      Übersicht über die Datenschutzsteuerungen für Microsoft 365 Apps for Enterprise. – Deploy Office | Microsoft Docs
      Auch das BSI hat 2022 ein PDF zur Deaktivierung der Telemetriekomponente in Windows 10 21H2 unterstützend herausgegeben
      1. Wenn Konfigurationsmöglichkeiten fehlen, müssen andere TOMs zum Einsatz kommen, z.B. eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur.
   3. Überwachung von MS-Produktupdates und Aktualisierung der Konfigurationen, wenn zuvor getätigte Konfiguration verändert wurden.
   4. Bewertung der Datenschutzrisiken, die durch Produkte und Dienste von MS 365 entstehen und „Behandlung“ der Risiken.

7. Microsoft Office 365 auf Tablets und Smartphones
   

   „Microsoft bietet sogenannte „Steuerelemente“ an, mit den die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann (Android / iOS). Bei einer dienstlichen oder geschäftlichen Nutzung und einer Übermittlung von Diagnosedaten in die USA sind damit die sich aus dem EuGH-Urteil 311/18 (Schrems II) ergebenden Anforderungen zu erfüllen. Wenn ein Arbeitgeber dies anordnen oder verlangen würde, benötigt er eine Rechtsgrundlage für die Übermittlung. Durch pseudonyme Microsoft-Accounts kann ein direkter Personenbezug zwar reduziert werden, aufgrund der Menge der Daten (s.o.) und der individuellen gerätebezogenen Daten ist jedoch davon auszugehen, dass eine Re-Identifizierungsmöglichkeit besteht.“

   Exkurs zu diesem Thema zur Aufsicht Baden-Württemberg:
   Analyse der Kommunikation der MS-Authenticator-App unter Android = https://media.frag-den-staat.de/files/foi/639491/2021-04-23_Empfehlung_Anlage_02_Geschwrzt.pdf

   Kurztest Word unter Android = https://media.frag-den-staat.de/files/foi/639491/2021-04-23_Empfehlung_Anlage_04_Geschwrzt.pdf
   Kurztest Office unter Android = https://media.frag-den-staat.de/files/foi/639491/2021-04-23_Empfehlung_Anlage_05_Geschwrzt.pdf

   Analyse der Kommunikation von Outlook unter Android und iOS mit Mailservern abseits von Microsoft 365:
   = https://media.frag-den-staat.de/files/foi/639491/2021-04-23_Empfehlung_Anlage_03_Geschwrzt.pdf

Zusammenfassend lässt sich festhalten:

• Mit der Nutzung von MS 365 finden aufgrund des EuGH-Urteils Schrems II Datenübermittlungen in einen „unsicheren“ Drittstaat (USA) statt.
• Personenbezogene Datenübermittlungen in unsichere Drittstaaten bedürfen entsprechender Vertragsklauseln (Standardvertragsklauseln) PLUS zusätzlich technisch und organisatorischer Maßnahmen, die auch staatliche Zugriffe auf personenbezogene Daten robust verhindern (lediglich vertragliche Zusicherungen sind hier nicht ausreichend),
  • siehe aktuelle Veröffentlichung der hessischen Datenschutzaufsicht: Zusätzliche Maßnahmen | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (hessen.de).
• Wenn möglich weichen Sie auf europäische Dienste (OHNE Subdienstleister in unsicheren Drittstaaten) oder Open Source aus.
  • Wenn dies nicht möglich ist, ist Ihr Aufwand hoch und Sie benötigen (oder Ihr Dienstleister) u.a.:
    • gutes know-how bzgl. Konfiguration von Microsoft-Produkten
    • dauerhaftes Monitoring und Anpassung der Konfigurationen
    • risikoorientierte Maßnahmen zur Gewährleistung der IT-Sicherheit
    • je nach Verarbeitungszweck entsprechende Risikobeurteilungen für die Rechte und Freiheiten der Betroffenen, deren Daten Sie verarbeiten und eine entsprechende Behandlung dieser Risiken.
      • Dokumentieren Sie hierzu die konkreten Verarbeitungszwecke der verwendeten Produkte im Verabeitungsverzeichnis und verschaffen Sie sich einen entsprechenden Überblick über Datenflüsse und Speicherorte.
      • Verschlüsselung ist stets eine gern gesehene Maßnahme im Datenschutz, Microsoft bietet dazu eine Vielzahl von Verschlüsselungsschlüsseln an, die verschiedene Kundenszenarien unterstützen siehe https://techcommunity.microsoft.com/t5/security-compliance-and-identity/understanding-microsoft-information-protection-encryption-key/ba-p/2214589
        • allerdings bewertet der LDI Baden-Württemberg in seinen aktuellen Hinweisen zur Nutzung von Microsoft 365 durch Schulen die Konfigurationen und Verschlüsselungen (Stand Herbst 2020 – Frühjahr 2021!) wie folgt:
          • „Der mehrmonatige und intensive Praxistest hat gezeigt, dass dieser Versuch der Erstellung einer datenschutzkonformen Konfiguration nicht erfolgreich war, Annahmen sich als nicht zutreffend erwiesen haben und dass der Einsatz von MS 365 im schulischen Kontext zahlreiche datenschutzrechtliche Verstöße mit sich bringt. Dass sich diese künftig – auch unter konstruktiver Mitwirkung von Microsoft – reduzieren oder teilweise beheben lassen, ist nicht ausgeschlossen, aber derzeit nicht absehbar…Da im Piloten eine sehr restriktive Konfiguration geprüft wurde, geht der LfDI davon aus, dass auch andere Konfigurationen entsprechende oder weitergehende datenschutzrechtliche Problem aufwerfen und deswegen kaum datenschutzkonform betrieben werden können….So konnte z.B. keine Verschlüsselung festgestellt werden, die einen Zugriff durch Microsoft, Beschäftigte von Microsoft bzw. von deren Unterauftragnehmern auf personenbezogene Daten technisch ausschließen oder signifikant reduzieren konnte. Im Rahmen des Pilotbetriebs konnte nicht festgestellt werden, dass Nutzende die Kontrolle über die Schlüsselverwaltung einer eventuell vorhandenen Verschlüsselung haben.“
      • Werfen Sie einen Blick in die Empfehlungen des Europäischen Datenschutzausschusses
        • ab Seite 18 werden zusätzliche Maßnahmen erläutert
        • im Anhang 2 des pdf finden Sie praktische Beispiele für zusätzliche Maßnahmen
      • Binden Sie Ihren Datenschutzbeauftragten bereits zu Beginn Ihrer Überlegungen ein!

Fazit:

MS 365 unter der aktuellen EuGH-Rechtsprechung und den aktuellen Konfigurations- und Verschlüsselungsmöglichkeiten in den Microsoft-Produkten ist und bleibt komplex. 100%ige Datenschutzkonformität beim Einsatz von MS 365 ist nach Auffasung und Erkenntnis der Datenschutzbehörden für Schulen derzeit nicht gegeben. In Behörden ist MS 365 aktuell noch im Einsatz. Eine einheitliche Untersagung von MS 365 gibt es seitens der Datenschutzbehörden bislang nicht.

Wenn der Einsatz von MS 365 Produkten unumgänglich erscheint, sollten gute Dokumentationen zu den verschiedenen Verwendungszwecken der genutzten Produkte und deren Konfigurationen angefertigt werden – ergänzt um eine entsprechende Risikobetrachtung und -behandlung sowie gut dokumentierter Argumente, die keine andere Möglichkeit als den Einsatz von MS 365 begründen. Je sensibler die Daten sind (z.B. Gesundheitsdaten, Daten von Kindern) desto eher sollten/müssen andere Anwendungen zum Einsatz kommen.

Sollten Sie MS365 Produkte bereits im Einsatz haben, sollten Sie Überlegungen hinsichtlich möglicher Alternativen anstrengen und dies gleichzeitig dokumentieren. In jedem Fall sind alle derzeit bereits im Einsatz befindlichen MS365 Produkte wie vorbeschrieben zu „untersuchen“ und, wenn nötig, unter Datenschutzgesichtpunkten bestmöglich (dokumentiert) zu optimieren. Je nach Produktnutzung können die Risiken und deren Behandlung unterschiedlich ausfallen.

 

 

Hier gelangen Sie zur empfehlenswerten MS 365-Seite der Uni Würzburg:

Microsoft – Rechenzentrum (uni-wuerzburg.de)

Informatorische, ergänzende Links zu/von Microsoft:

• DSGVO-Aktionsplan für Microsoft 365: die wichtigsten Prioritäten für die ersten 30 Tage, 90 Tage und danach: https://docs.microsoft.com/de-de/compliance/regulatory/gdpr-action-plan
• Microsoft-Servicevertrag
• Anzeigen und Konfigurieren von Windows-Diagnosedaten Windows-Datenschutz – Windows-Datenschutz | Microsoft Docs 
• Quelle der nachfolgende Informationen Datenspeicherung Microsoft 365 | Telekom Geschäftskunden:
  • Hosting-Standorte der einzelnen Microsoft 365-Dienste für alle Länder Microsoft-Dokumentation
    • Wo finde ich die Datenspeicherorte meines Abonnements? Sollten Sie bereits länger Kunde mit einem Office 365 bzw. Microsoft 365-Abonnement sein, also vor der Einführung der deutschen Rechenzentrumsregion, können Sie die Informationen zu den Datenspeicherorten über das Admin Center abrufen – unter dem Menüpunkt Einstellungen | Organisationsprofil | Datenspeicherort-Karte.
      • Wo genau befinden sich die Rechenzentren der jeweiligen Region? Die genauen Adressen der Rechenzentren werden von Microsoft aus Sicherheitsgründen nicht offengelegt, allerdings werden die Städte der Standorte bekannt gegeben. Die deutschen Rechenzentren befinden sich in Berlin und Frankfurt. Die Rechenzentren für die Speicherung innerhalb der Europäische Union befinden sich in Österreich (Wien), Finnland (Helsinki), Frankreich (Paris & Marseille), Irland (Dublin) und den Niederlanden (Amsterdam).
  • Weiterführende Informationen rund um die Datenspeicherung bei Microsoft 365 und Office 365
    • Microsoft Dokumentation: Wo werden meine Microsoft 365-Daten gespeichert?
    • Microsoft Trust Center: Datenverwaltung bei Microsoft
    • Microsoft Trust Center: Wo Microsoft Ihre Daten speichert
    • Microsoft Trust Center: Wie Microsoft Ihre Daten bei Online-Diensten kategorisiert
    • Microsoft Trust Center: Wer unter welchen Umständen auf Daten zugreifen darf
    • Microsoft Dokumentation: Standardvertragsklauseln der Europäischen Union
    • Nutzungsbedingungen der Microsoft Online Services