Immer mehr Unternehmen nutzen nicht mehr die klassischen Microsoft Office Produkte, die ausschließlich offline funktionieren, sondern nutzen vermehrt Microsoft 365 (bis April 2020: Office 365). Bei der Nutzung von Office 365 in Unternehmen ist jedoch der Aspekt des Datenschutzes nicht außer Acht zu lassen.

In den vergangenen Wochen und Monaten geriet Office 365 aufgrund von datenschutzrechtlichen Bedenken immer wieder in die Medien. Im schlimmsten Fall drohten hohe Geldstrafen. Die deutsche Datenschutzkonferenz, kurz DSK, hat hierzu auch bereits eine Empfehlung ausgesprochen. Wir klären Sie auf, warum Microsoft Office 365 derzeit nicht im Standard DSGVO-konform ist. Wie die Empfehlung der deutschen Datenschutzkonferenz aussieht und wie Sie Microsoft 365 (ehemals Office 365) datenschutzkonform nutzen können, erklären wir Ihnen nachfolgend.

Warum Microsoft Office 365 nicht DSGVO konform ist.

In der Diskussion um Microsoft Office 365 in Zusammenhang mit den Bedenken hinsichtlich des Datenschutzes geht es im Kern darum, dass man die Datenübermittlung an Microsoft unterbinden möchte. Jedoch gilt es bereits jetzt zu sagen, dass, wenn alle Einstellungen, die für eine DSGVO-konforme Nutzung von Microsoft Office 365 nötig sind, vorgenommen werden, nicht mehr alle Funktionen von Microsoft Office 365 in der gewohnten, vollumfänglichen Weise nutzbar sind.

Die deutsche Datenschutzkonferenz (DSK) begründete ihr Urteil, dass Microsoft Office 365 nicht ohne weiteres datenschutzkonform nutzbar ist, wie folgt:

1. Die mögliche Weitergabe von Daten ist nicht näher definiert: Bei der Weitergabe von Daten geht es in Falle von Microsoft Office 365 hauptsächlich darum, dass der vertragliche Vorbehalt für die Weitergabe von Daten in den Fällen, die gesetzlich vorgeschrieben sind, zu abstrakt gefasst seien.
2. Details zur Verarbeitung unter anderem im Bereich Auftragsverarbeitung fehlen: Zusätzlich fehlt eine detaillierte Beschreibung in den Online Service Terms und im Bereich der Auftragsverarbeitung. So kann nicht beurteilt werden, ob die Verarbeitung durch Microsoft zulässig ist.
3. Rechtsgrundlage für Erfassung der Telemetriedaten fehlt: Derzeit liegt für die Übermittlung der Telemetrie-Diagnosedaten an Microsoft keine Rechtsgrundlage vor.

Darum sollte Microsoft Office 365 nicht grundsätzlich verbannt werden.

Wenn Sie sich jetzt auf die Suche nach Alternativen zu Microsoft Office 365 machen dann ist dies nachvollziehbar. Allerdings muss dazu gesagt werden, derzeit ist sich die deutsche Datenschutzkonferenz (DSK) nicht endgültig einig. Sie hat lediglich eine Empfehlung ausgesprochen. Zusätzlich haben die einzelnen Produkte, die Teil eines Bündels sowohl in Office 365 als auch in Microsoft 365 sind, unterschiedliche rechtliche Vereinbarungen. Dies hat wiederum zur Folge, dass man überprüfen muss, ob jedes einzelne Produkt sowie die unterschiedlichen Konstellationen den gesetzlichen Anforderungen an den Datenschutz genügt. Immer neue Softwareupdates sowie Anpassungen im rechtlichen Bereich lassen allerdings nur eine verzögerte Rückmeldung der DSK zu. So kann es sein, dass die beanstandenden Punkte bereits seitens Microsoft angepasst wurden. Aufgrund dieser unsicheren Rechtslage, ist es selbst für Juristen teilweise schwierig eine korrekte Aussage zu treffen. Grundsätzlich gilt es vorsorgliche Maßnahmen zu ergreifen um vor möglichen rechtlichen Folgen geschützt zu sein.

Datenschutzfolgeabschätzung.

Gemäß DSGVO ist es für den Datenschutzverantwortlichen erforderlich, eine Datenschutzfolgeabschätzung für Microsoft Office 365 zu entwerfen, wenn eine „Wahrscheinlichkeit besteht, dass eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehen kann“. Dies ist dann der Fall, wenn Sie eigene Mitarbeiter als Benutzer im Office 365 anlegen.

Im Kern kommt es jedoch nicht auf das Produkt an sich an, sondern um welche Daten es sich handelt und mit welchen gesetzten Voreinstellungen IT-Administratoren und Datenschutzbeauftragte - Microsoft Office 365 den Mitarbeitern:innen zur Verfügung stellen. Bei welchen Daten Sie eine Datenschutzfolgeabschätzung benötigen, können Sie aus dem Teil 1 des Leitfadens seitens Microsoft entnehmen.

Wenn Sie nun wissen, dass Sie und Ihr Unternehmen eine Datenschutzfolgeabschätzung benötigen, gilt es eine ausführliche Bewertung über die Auswirkungen auf den Datenschutz, die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Datenverarbeitung zu erstellen. In Ihren Ausführungen sollten Bewertungen der Auswirkungen auf den Datenschutz von Microsoft beinhalten. Diese Beschreibungen sollten u.a. folgende Punkte beinhalten:

• Art der verarbeiteten Daten
• Dauer der Datenspeicherung
• Ort der Datenspeicherung/ -übertragung
• Möglichkeit des Zugriffs Dritter auf die Daten
• Bewertung der Notwendigkeit der Datenverarbeitung sowie deren Verhältnismäßigkeit
• Bewertung der Risiken für Rechte und Grundfreiheiten natürlicher Personen

Gerne sind wir Ihnen bei der Erstellung der Datenschutzfolgeabschätzung behilflich. Unsere Experten stehen Ihnen hierfür zur Verfügung.

Notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft Office 365.

Damit Sie schlussendlich auch Microsoft Office 365 im Unternehmen möglichst datenschutzkonform einsetzen können, genügt es nicht ausschließlich eine Datenschutzfolgeabschätzung zu erstellen, sondern es sind einige Einstellungen im Tenant (Mandanten) vorzunehmen.

Im ersten Schritt ist es notwendig zu überprüfen, ob Office 365 die Version 1905 oder höher bereits installiert ist. Erst ab dieser Version ist es möglich Einstellungen im Bereich der Datensammlung und Übertragung vorzunehmen. Dies ist die Grundlage für weitere dringend notwendige Maßnahmen.

Diese Maßnahmen sind unter anderem zu empfehlen:

• Deaktivierung der Nutzung von Connected Experiences/ Services in Office 365:
  Bei der Deaktivierung entfallen Ihnen jedoch Funktionen wie der Übersetzer oder die Raumsuche. Grund hierfür ist, dass die deaktivierten Services für die Übermittlung von Daten an Microsoft zuständig sind, die diese Features als Grundlage haben.
• Unterbindung des Versands von Daten im Rahmen von Customer Experience Improvement Programmen:
  Die Unterbindung dieser Programme hat keinerlei Auswirkungen auf den Nutzer und kann sowohl in den Gruppenrichtlinien als auch Registry-Eintrag geregelt werden.
• Verwendung von Customer Lockbox oder des Customer Keys:
  Eine generelle Verwendung der Customer Lockbox oder des Customer Keys ist nicht notwendig. In diesem Zusammenhang kommt es auf die Sensibilität der verwendeten Daten an. Je sensibler diese Daten sind, desto eher ist es notwendig dies zu verwenden. Hier fallen seitens Microsoft zusätzliche Kosten an. Es gilt somit zu überlegen, welche Daten ich mit Microsoft Office 365 verarbeiten möchte.
• Aufnahme der Workplace Analytics und Analytics Report in eigene Datenschutzfolgeabschätzung:
  Bei der Nutzung von Workplace Analytics und Analytics Report müssen Unternehmen bereits vor der Aktivierung beachten, dass unter Umständen eine eigene Datenschutzfolgeabschätzung durchgeführt werden muss. Wenn Ihr Unternehmen einen Betriebsrat hat, ist dieser ebenso über die Aktivierung in Kenntnis zu setzen. Auf die Installation des Plugins „Insights“ sollte verzichtet werden.

In diesem Zusammenhang gilt es jedoch zu beachten, dass es sich hierbei um keine vollständige Liste handelt, sondern lediglich ein Ausschnitt an Empfehlungen und Maßnahmen dargestellt werden kann. Gerne unterstützen wir Sie bei der Umsetzung der einzelnen Anforderungen zu datenschutzkonformer Nutzung von Microsoft Office 365. Unsere Datenschutzdsachverständigen stehen Ihnen hierbei gerne zur Verfügung.

Handlungsempfehlung und Fazit.

Wenn Sie Office 365 einsetzen möchten, gilt es möglichst alle risikobehafteten Punkte zu beseitigen um den Datenschutz gesamtheitlich zu erhöhen und somit das Risiko zu minimieren. Ein Restrisiko bleibt jedoch auch bei der Umsetzung aller Maßnahmen weiterhin bestehen. Die Bewertung dieses Restrisikos obliegt hierbei der zuständigen Aufsichtsbehörde.

Eine vollständig rechtssichere Nutzung von Microsoft Office 365 ist derzeit aus unserer Sicht und der Einschätzung von den meisten Datenschützern nicht möglich. Jedoch führt an der Nutzung von Office-Produkten von Microsoft kaum ein Weg vorbei und man muss einen gewissen Kompromiss eingehen. Wenn Sie vollständig datenschutzkonform handeln möchten, empfehlen wir Ihnen auf die Office 365 Online Services zu verzichten und stattdessen eine Microsoft Office Kauflizenz einzusetzen und alle auf Services seitens deHOSTED (wie zum Beispiel deHOSTED Exchange, deHOSTED Sharepoint und deHOSTED Skype for Business) anzubinden. Diese Services werden ausschließlich in deutschen Rechenzentren bereitgestellt und unterstehen keinem Einfluss durch Microsoft, da  NetTask der Servicebetreiber und Datenverarbeiter ist. Lediglich die Lizenzierung der eingesetzten Microsoft Produkte wird durch Microsoft durchgeführt. Eine Datenübermittlung von Endkundendaten erfolgt nicht.