Datenschutz-Akademie » Datenschutz-Wiki » Datenschutz und Microsoft Office 365

Eine Taste mit dem Microsoft Windows Symbol

Datenschutz und Microsoft Office 365: DSGVO-konformer Einsatz für Unternehmen

Die cloudbasierte Version Office 365 von Microsoft ist ein etablierter Standard für Bürotätigkeiten und enthält Produkte wie Outlook, Word, PowerPoint, Excel oder OneDrive. Microsoft Office 365 stand bei den Datenschutz-Aufsichtsbehörden aber auch immer wieder in der Kritik. Welche datenschutzrechtlichen Herausforderungen bestehen und wie man diese DSGVO-konform lösen kann, zeigen wir Ihnen im nachfolgenden Artikel.

Wichtigste Informationen über die datenschutzrechtliche Einordnung von Office 365

  • Die cloudbasierte Version Office 365 von Microsoft ist ein etablierter Standard für Bürotätigkeiten
  • Datenschutzrechtlich ist der Verarbeitung durch Microsoft sehr umstritten, die Datenschutz-Aufsichtsbehörden haben aber aktuell kein einheitliches Verbot ausgesprochen
  • Aktuell gibt es keine zufriedenstellende Empfehlung der Aufsichtsbehörden, zum datenschutzkonformen Einsatz von Microsoft Office 365
  • Verantwortliche in Unternehmen sind trotz dessen angehalten, risikominimierende Maßnahmen sowie datenschutzfreundliche Voreinstellungen vorzunehmen
  • Um das Risiko möglicher Bußgelder zu minimieren ist sind diese Konfigurationen von Office 365 erforderlich
Hinweis

Unterschied Office 365 und Microsoft 365:

Microsoft hat am 21. April 2020 die Umbenennung von Office 365 zu Microsoft 365 offiziell bekannt gegeben. Microsoft 365 beinhaltet alle vertrauten Funktionen aus Office 365.

Hintergrundinformationen: Was sind aktuelle Entwicklungen zu Office 365 und dem DSGVO-konformen Einsatz?

Die Office-Produkte von Microsoft setzen den heutigen Standard für zeitgemäße Bürosoftware. Neben Microsoft Word zur Textverarbeitung und Microsoft Excel zur Tabellenkalkulation ist Microsoft PowerPoint für professionelle Präsentation nicht mehr wegzudenken. Microsoft Exchange stellt in Verbindung mit Microsoft Outlook einen Defacto-Standard für E-Mailing, Kontaktverwaltung und Kalendermanagement im Geschäftskontext dar.

Die Corona-Krise hat gezeigt, dass neben den klassischen Microsoft-Office-Anwendungen auch neue über das Internet erreichbare Anwendungen zunehmend an Gewicht gewinnen. Hierzu gehören Microsoft Teams zum Chatten und Kommunizieren per Audio- und Video im Unternehmen und mit Kunden und Dienstleistern. Zum Teilen von Dateien und wissen eignet sich besonders Microsoft SharePoint und Microsoft OneDrive, als Dokumentenmanagement-System (DMS) und als zentrale Wissensmanagementplattform. Die Microsoft-Anwendungen standen in der Vergangenheit immer wieder in der Kritik durch Datenschutz-Aufsichtsbehörden. Wir geben einen Überblick.

Europäischer Datenschutzausschuss

Der Europäischer Datenschutzbeauftragte hat sich in einem ausführlichem Bericht zu den Produkten von Microsoft positioniert. Er empfiehlt Unternehmen bereits bei der Auswahl von geeigneten Dienstleistern darauf zu achten, dass diese ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen geben, sodass die Verarbeitung von personenbezogenen Daten die Anforderungen der DSGVO erfüllen.

Verantwortlichen die bereits zahlreiche Microsoft-Dienste lizenziert haben rät er, mit dem Auftragsverarbeiter über Anweisungen zu verhandeln, die für den Schutz der Rechte und Freiheiten der betroffenen Personen notwendig sind.  Auch wenn es sich dabei um ein Unternehmen von beachtlicher Größe handelt. Der Einschätzung des europäischen Datenschutzbeauftragten nach, sei Microsoft durchaus bereit ein, den Compliance-Anforderungen der EU nachzukommen.

Im Bericht des EDPB sind die folgenden fünf zentralen Punkten aufgelistet, welche durch Einstellungen an den Microsoft-Diensten und durch vertragliche Regelungen lösen lassen sollen:

  1. Laut bisherigen Lizenzverträgen, hat Microsoft umfassende Kontrollbefugnisse und agiert teilweise als Verantwortlicher für die Verarbeitungstätigkeiten von personenbezogenen Daten. Um diese Kontrollbefugnisse auf ein Mindestmaß zu reduzieren, empfiehlt der EDPB, eine vertragliche Vereinbarung darüber, dass Microsoft vom Verantwortlicher zum Auftragsverarbeiter festlegt werden soll.
  2. Der Umgang von Microsoft mit Unterauftragsverarbeitern und das Fehlen von sinnvollen Prüfungsrechten wurde ebenfalls als mangelhaft eingestuft. Daher lautet die Empfehlung des EDPB einen transparenteren Einsatz von Unterauftragsverarbeitern umzusetzen und deren Kontrollen vertraglich festzulegen.
  3. Ebenfalls als kritisch wurde die Datenübertragung und das damit einhergehende Risiko einer unrechtmäßigen Offenlegung von personenbezogenen Daten eingestuft. Der EDPB bemängelte die Intransparenz in Bezug auf den Speicherort von personenbezogene Daten  und die nicht vorhandenen  Maßnahmen zum Schutz dieser Daten außerhalb der EU. Es sollte daher genau geregelt werden, wo personenbezogene Daten gespeichert werden und wie der Schutz in Drittländern sichergestellt wird.
  4. Die Datenübermittlung von Microsoft Diagnosedaten wurde durch den EDSB ebenfalls als nicht rechtmäßig eingestuft. Um die Übermittlung von Diagnosedaten auf ein angemessenes Maß zu reduzieren, haben wir  konkrete Schritte zum datenschutzkonformen Einsatz von Microsoft 365 erarbeitet.
  5. Außerdem wurden Art, Umfang und Zwecke der Verarbeitung und die Risiken für die betroffenen Personen, um ihren Transparenzpflichten gegenüber den betroffenen Personen nachkommen zu können, als mangelhaft eingestuft. Es sollten daher die Umstände der Verarbeitung vertraglich genau definiert werden.

Datenschutzkonferenz

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils zum Stand: Januar 2020“ geprüft. Mit der Überprüfung kam die DSK zu dem Ergebnis, dass zum Stand der Überprüfung kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei.

Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands teilten aber die Gesamtbewertung der DSK nicht und stuften diese als noch nicht als entscheidungsreif ein. Insbesondere, weil diese zu undifferenziert ausfällen würde und Microsoft zwischenzeitlich die überprüften Vertragsbestimmungen zweimal überarbeitet habe.

Umso mehr begrüßen die Datenschutz-Aufsichtsbehörden, dass die Datenschutzkonferenz eine Arbeitsgruppe eingesetzt hat, die zeitnah Gespräche mit Microsoft aufnehmen soll.

Deutsche Aufsichtsbehörden

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichtsbehörde veröffentlichte im Februar 2021 ein Hinweis zum datenschutzkonformen Einsatzes von Videokonferenzlösungen, vor dem Hintergrund der Corona-Pandemie. Darin wurde unter anderem Microsoft Teams über ein Ampelsystem bewertet und eine Empfehlung zur Verwendung ausgesprochen. Die Ergebnisse der Kurzprüfungen zu verschiedenen Videokonferenzsystemen finden Sie hier: Hinweise zu Anbietern von Videokonferenzdiensten der Berliner Datenschutz-Aufsichtsbehörde

Der Schwerpunkt der Kurzprüfung der Gestaltung und Umsetzung des Auftragsverarbeitungsverhältnisses, im Falle von Microsoft 365 viel diese allerdings mangelhaft aus, sodass es zu keiner weiteren Überprüfung der technischen und organisatorischen Maßnahmen kam.

Im Detail betrachtet wurden der „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste“ (kurz: „DPA“), welcher von Microsoft zuletzt im Juli 2020 überarbeitet wurde. Laut Einschätzung der Berliner Datenschutz-Aufsichtsbehörde ist insbesondere die Verarbeitung gemäß Art. 28 DSGVO unzureichend geregelt. Weiterhin wurden in Bezug auf die Datenübermittlung nach Art. 44 DSGVO keine ausreichenden Maßnahmen getroffen, welche das Datenschutzniveau der USA, nach der Rechtsprechung des EuGH im Urteil „Schrems II“, ausgleichen würden.

Urteil Schrems II

Das EuGH Urteil vom 16. Juli 2020, auch als „Schrems II“ bezeichnet, untersagt die Datenübermittlung die USA ebenfalls zu großen Teilen. Da Microsoft 365 ebenfalls personenbezogenen Daten in die USA übermittelt, ist Microsoft von diesem Urteil direkt betroffen. Zum aktuellen Stand hat sich bislang allerdings ausschließlich die Datenschutz-Aufsichtsbehörde in Berlin mit einem konkreten Verbot zur Datenübermittlung positioniert.

Einordnung: Office 365 DSGVO

Microsoft ist ein Anbieter mit Sitz in den USA. Aus den USA heraus betreibt Microsoft weltweit mehr als einhundert Rechenzentren, auf denen die Leistungen von Office 365 erbracht werden. Für Unternehmen im europäischen Wirtschaftsraum, dem Geltungsbereich der Datenschutz-Grundverordnung (DSGVO), bietet Microsoft an, die oben genannten zentralen Services im Kern auch in europäischen Rechenzentren zu betreiben.

Dieses gilt allerdings nicht für alle Dienste die zum Betrieb von Office 365 notwendig sind. Speziell die erstellten Nutzeridentitäten und damit verbundene sogenannte Meta-Daten fließen aus der EU in die USA. Und hier liegt das Problem der deutschen Datenschutzbehörden, die den Transfer genau dieser Daten als kritisch ansehen.

Das Problem dieser Übertragung lag bis Juli 2023 im Kern darin, dass die USA aus Sicht der EU ein sogenanntes Drittland ohne angemessene Datenschutzgarantien darstellt. Dieses Problem wurde dadurch verschärft, dass das bisher geltende Abkommen zwischen den USA und der EU, das sogenannte Privacy-Shield, im Jahr 2020 durch das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofes für ungültig erklärt wurde. Seit Juli 2023 ist der neue Angemessenheitsbeschluss zwischen der EU und der USA, dass sogenannte „EU-U.S. Data Privacy Shield„, in Kraft getreten.

Das EU-U.S. Data Privacy Framework ist der dritte Versuch der EU-Kommission, nach Safe Harbor und EU-U.S. Privacy Shield, den Transfer personenbezogener Daten in die USA ohne zusätzliche Garantien zu ermöglichen. Das EU-US Data Privacy Framework verfolgt den sektoralen Ansatz. Das bedeutet, dass nur an zertifizierte Unternehmen personenbezogenen Daten übermittelt werden dürfen. Diese Zertifizierung erfolgt durch das U.S. Department of Commerce. Hier geht es zur Liste der zertifizierten Unternehmen

Diese Bedingungen sind im Kern:

Die Anstriche zwei und drei haben allerdings praktisch keine Relevanz. Denn spätestens durch die Nutzung von Exchange und E-Mails ist es de-facto unmöglich, die Nutzung von Office 365 nur auf das Unternehmen zu beschränken bzw. Einwilligung vor dem Absenden der E-Mails einzuholen.

Aus diesem Grund muss aktuell auf die EU-Standardvertragsklauseln zurückgegriffen werden. Dieses werden von Microsoft auch aktiv proklamiert und sind Bestandteil des Lizenzvertrags. Dennoch sind die einige der deutschen Aufsichtsbehörden im Datenschutz nicht mit diesem Vorgehen einverstanden.

Dennoch bietet die DSGVO immer auch die Möglichkeit, Verarbeitungen auch auf Basis einer Risikoabwägung zu begründen und entsprechende Maßnahmen umzusetzen, um das Datenschutzniveau anforderungsgemäß zu erhöhen. Die Methode hierzu nennt sich Datenschutz-Folgeabschätzung, deren Anforderungen im Artikel 35 DSGVO beschrieben sind.

Ist eine Datenschutzfolgenabschätzung bei der Verwendung von Office 365 DSGVO erforderlich?

Aufgrund einiger datenschutzrechtlicher Risiken beim Einsatz in Unternehmen muss beim Einsatz von Office 365 eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (DSFA) durchgeführt werden. Die Bewertung des Einsatzes von Office 365 im Rahmen einer DSFA ist immer ein Einzelfall und abhängig von Faktoren wie: Anzahl Mitarbeiter, Nutzung von Softwareprodukten oder den Verarbeitungszwecken.

Welche Daten werden in Office 365 verarbeitet?

  • Bringen Sie in Erfahrung welche Softwareprodukte von Office 365 Ihr Unternehmen im Einsatz hat
  • Untersuchen Sie welche Personen auf diese Zugriff haben
  • Erfassen Sie die Arten von Daten welche verarbeitet werden: handelt es sich um Kunden-, Telemetrie‑, Diagnose-, Meta- oder Funktionsdaten?
  • Beschreibe Sie zu welchem Zweck diese Datenarten verarbeitet werden

Risikoanalyse und Abhilfemaßnahmen

Exkurs

Das Niederländische Ministerium für Justiz und Sicherheit beauftragte bereits 2018 ein privates Unternehmen dahingehend, eine Datenschutz-Folgenabschätzung zum Einsatz von Office 365 durchzuführen. Dabei wurde allerdings nur die Office 365 ProPlus Version 1905 als Installation bewertet. Als Ergebnis wurde festgestellt, dass der Einsatz der Office 365 ProPlus Version 1905 datenschutzkonform möglich ist. Die Web-Zugänge für Office 365 wurden in einer weiteren Prüfung als nicht datenschutzkonform eingestuft.

Microsoft 365 sicher nutzen durch Beratung von Robin Data® und PowerBiT®. Mit unserer Lösung „Microsoft® 365 managed DSGVO“ konfigurieren Experten Ihr Microsoft® 365 DSGVO-konform nach gegeben Standards. Maximale Datenschutzkonformität. Minimales Haftungsrisiko.

Zur Beratung

DSGVO-konformer Einsatz von Office 365: Was sind notwendige Einstellungen?

Viele der Microsoft-Produkte werden in Unternehmen lokal, sprich On-Premises, durch einen Administrator, installiert, bereitgestellt und aktuell gehalten. Dieses ist mit teilweise hohen Kosten (Hardware und Personal) und komplexen Lizenz Modellen und Lizenzkosten verbunden. Da auf lokal betriebenen Microsoft-Servern in der Regel sehr sensible personenbezogene Daten (z. B. E-Mails, Personalakten etc.) und zu schützende Geschäftsgeheimnisse (z. B. Strategien, Kundendokumente die der Geheimhaltung unterliegen) verarbeitet werden, stellt sich zusätzliche die Herausforderung, die Vorgaben des Datenschutzes, speziell des Art. 32 DSGVO, als auch die Sicherheitsanforderungen orientiert an der ISO / IEC 27001 oder dem BSI-Grundschutz oder anderen Sicherheitsstandards wie TISAX, ISIS 12 oder vds3473 einzuhalten.

Viele Unternehmen stellt das vor erhebliche Herausforderungen. Aber nicht zuletzt die im März 2021 bekanntgewordene Zero-Day-Sicherheitslücke (Zero-Day-Exploit) Hafnium im Microsoft Exchange Server (Lokale Versionen) zeigt, dass das lokale Vorhalten komplexer IT-Infrastruktur mit Problemen behaftet sein kann. Im Übrigen war die Office 365 Cloud Version der oben beschriebenen Microsoft Produkte von der Sicherheitslücke nicht betroffen.

Neben Aspekten der Sicherheit liegt der Vorteil der Office 365 Suite gegenüber der lokalen On-Premise Installation darin, dass man auf Basis einer einfachen Nutzerlizenz Zugriff auf alle Microsoft Produkte in der Office 365 Suite hat. Das betrifft sowohl die Office Produkte wie Word, Excel, PowerPoint oder OneNote, professionelles E-Mailing über Exchange, als auch die Plattformen zur Zusammenarbeit wie SharePoint und OneDrive, die Kommunikationsplattform Teams, das Terminbuchungssystem Booking, die virtuelle Tafel via Whiteboard, das Videostreaming-Portal Stream oder die Workflow-Engine Flow.

Ein Installation der Office 365 Version ist nicht erforderlich. Es genügt im ersten Schritt eine eigene Domain zu verbinden und die entsprechenden User anzulegen, die dann durchgängig auf alle freigeschalteten Produkte, Sharepoints oder Mail-Postfächer Zugriff erhalten. Man kann also auch als „Laie“ sofort loslegen.

Die Herausforderung liegt allerdings darin, die Details im Office 365 Admin-Center so einzustellen, dass Office 365 den Anforderungen der DSGVO genügt. Hier spielen die detaillierten Zugriff- und Compliance-Einstellungen eine Rolle, als auch Aspekte der Sicherheit wie Backup und Virenschutz.

Die nachfolgenden Konfigurationen basieren auf der niederländischen Datenschutz-Folgenabschätzung und setzen ein Update von älteren Office Version auf die Version 1905 oder höher voraus. Erst mit dieser Version wurden die entsprechenden Einstellungsmöglichkeiten in Office 365 / Microsoft 365 ermöglicht.

DSGVO konformer Einsatz durch Konfiguration: Nach dem Update auf eine aktuelle Version können folgende DSGVO-konformen Konfigurationen vorgenommen werden.

Customer Experiences / Services

Deaktivieren Sie die Nutzung von Connected Experiences/Services in Office 365, jetzt professionell beraten lassen.  Microsoft stuft sich bei der Bereitstellung dieser Services als Verantwortlicher und nicht nur Auftragsverarbeiter ein. Immer dann wenn dies der Fall ist, wird der Verwendungszweck nicht mehr begrenzt und umfasst auch Nutzung von verarbeiteten Daten zu Personalisierung oder Werbung. Deaktivieren Sie die folgenden Customer Experiences um den Verwendungszweck zu beschränken. Beachten Sie das Funktionen wie z.B. der Übersetzer oder die Raumsuche wegfallen:

  • 3D Maps
  • Insert online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Research
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

Diagnosedaten

Microsoft verarbeitet bei der Verwendung von Office 365 sogenannte Diagnosedaten, zum Bereitstellen, Verbessern sowie Aktualisieren von Diensten und deren Sicherheit. Diese Diagnosedaten sind über eine ID einem Benutzer eindeutig zuzuordnen und werden an Server von Microsoft gesendet. Beispielhafte Datenarten sind die User-ID, Programmsprache oder Dauer der Nutzung eines Office-Dienstes. Diese Option kann, ohne direkten Nachteil für den Benutzer, deaktiviert werden, indem in den Einstellungen der Diagnosedaten „weder noch“ ausgewählt wird.

Telemetrie-Niveau und Windows-Einstellungen

Setzen Sie das Telemetrie-Niveau per Gruppenrichtlinie oder Registriy-Eintrag von Microsoft 365 auf „weder noch“ und die Einstellungen von Windows 10 Enterprise auf „Sicher“. Bei Fragen zur Konfiguration beraten wir Sie gern.

Datenschutz-Folgenabschätzung

Besprechen Sie mit Ihrem Datenschutzbeauftragten, ob Art und Umfang der Datenverarbeitung durch Office 365 eine Datenschutz-Folgenabschätzung benötigt. Falls eine DSFA notwendig sein sollte, dokumentieren Sie diese in Ihrer Datenschutz-Dokumentation. Bei Fragen zur Datenschutz-Folgenabschätzung beraten wir Sie gern.

Customer Lockbox

Insofern Sie besonders schützenswerte personenbezogene Daten in Office 365 verarbeiten, ist es empfehlenswert eine sogenannte Customer Lockbox oder den Customer Key zu verwendet. Die Verwendung dieser Funktion stellt eine kundenseitige Verschlüsselung der Dokumente sicher, ist aber Zusatzkosten verbunden.

LinkedIn-Integration

In Office 365 ist es grundsätzlich möglich die LinkedIn-Accounts von Mitarbeitern zu verbinden, in Deutschland ist diese Funktion aktuell per Default aktiviert. Überprüfen Sie die Einstellungen Ihres Unternehmens in der Administratoroberfläche und nehmen Sie ggf. eine manuelle Deaktivierung vor.

Workplace Analytics oder Activity Reports

Bei den Funktionen Workplace Analytics oder Activity Reports handelt es sich um die Auswertung von Leistungsdaten. Diese Funktion ist grundsätzlich zur deaktivieren und muss vor Einsatz unbedingt mit dem Datenschutzbeauftragten und insofern vorhanden Betriebsrat abgesprchen werden. Gegeben falls ist eventuell sogar eine Datenschutz-Folgenabschätzung durchzuführen. Achten Sie ebenfalls darauf das Plugin „Insights“ nicht zu installieren.

Mobile und Web-Anwendungen von Office 365

Wie bereits erwähnt ist die Verwendung von mobilen und Web-Anwendungen von Office 365 durch die Einstufung der niederländischen Aufsichtsbehörde als nicht DSGVO-konform einzustufen. Verantwortliche müssen Ihre Mitarbeiter dahingegen sensibilisieren und durch Richtlinien davon abhalten diese Anwendungen zu nutzen. Beachten Sie dazu weitere Schritte von Microsoft zu Anpassung des Datenschutzniveaus an geltende EU-Vorgaben. Bei Fragen zur Konfiguration von mobilen und Web-Anwendungen beraten wir Sie gern.

Microsoft 365 sicher nutzen durch Beratung von Robin Data® und PowerBiT®. Mit unserer Lösung „Microsoft® 365 managed DSGVO“ konfigurieren Experten Ihr Microsoft® 365 DSGVO-konform nach gegeben Standards. Maximale Datenschutzkonformität. Minimales Haftungsrisiko.

Zur Beratung

Was sind fehlende Sicherheitsfunktionen im Einsatz von Office 365?

Zwar läuft Office 365 in der Cloud, dennoch darf man nicht davon ausgehen, dass damit alle Sicherheitsprobleme erledigt oder alle Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit erfüllt sind. Ferner müssen dem Office 365 Paket einige Bausteine hinzugefügt werden, die einen tatsächlich sicheren Betrieb ermöglichen und die Datenschutzkonformität bzw. Datenschutz-Compliance sicherstellen. Bei Fragen zur Konfiguration der Sicherheitsfunktionen beraten wir Sie gern.

Manipulationssichere Archivierung des gesamten E-mail-Verkehrs gemäß den aktuellen Richtlinien der Finanzämter (GoBD) und der DSGVO.

Praktikabel einsetzbare, zentral verwaltete Transportverschlüsselung des E-mail-Verkehrs. Überprüfung der Übermittlungsstrecke von Sender zu Empfänger auf eine gültige Transportverschlüsselung.

Zentral verwaltbare Anti-Spam und Antivirenlösung. Maximale Erkennungsleistung durch Tiefenanalyse und KI-basierter Bedrohungserkennung.

Überwachung des E-Mail-Verkehrs in Echtzeit. Detaillierte Informationen zur Verschlüsselungsmethode und Klassifizierung ein- und ausgehender E-mails sowie über den Grund für die entsprechende Klassifizierung.

Einstellmöglichkeiten, um Anhänge von empfangenen E-Mails zu kategorisieren und zu filtern. Möglichkeit zur Durchsetzung von unternehmensweiten Kommunikationsregen.

Zentrale Signaturen sollten u.a. zur Einhaltung gesetzlicher Vorschriften verwendet werden. So stellen Sie die unternehmensweite Einbindung eines rechtskonform gestalteten Impressums für alle E-Mails (auch bei mobilen Endgeräten) sicher.

Office 365 (Microsoft 365) enthält keine Datensicherungsfunktion. Microsoft verweist hier auf die Sicherungsverantwortung der Nutzer. Eine gültige und regelmäßig geprüfte Datensicherung ist ein grundsätzliches Kriterium für den Einsatz einer Softwarelösung, sowohl aus der Sicht des Selbstschutzes wie auch der DSGVO.

Die Datenhaltung erfolgt bei Microsoft für deutsche Kunden vordergründig in deutschen Rechenzentren. Allerdings ist das vertraglich nicht garantiert. Somit muss aus DSGVO-Sicht von einer europäischen Datenhaltung ausgegangen werden.

Die Lösungen von Office 365 bzw. Microsoft 365 sind auf den ersten Blick schon nicht ganz einfach in Betrieb zu nehmen. Im Alltag sieht man sich darüber hinaus noch mit Themen wie Integration in vorhandene Strukturen, durchsetzen rechtlicher Vorgaben oder Beheben von täglichen Problemen konfrontiert. Letztendlich bedeutet die Administration dieser Cloud-Produkte, alle Funktionen eines Windows Client-Server-Netzwerkes fachlich vollständig im Griff haben zu müssen.

Fazit: DSGVO konformer Einsatz ist immer Einzelfall abhängig

Zum aktuellen Stand ist der vollständige DSGVO konforme Einsatz von Office 365 nicht möglich. Es ist lediglich eine möglichst datenschutzkonforme Konfiguration der Microsoft-Dienste notwendig, die allerdings nicht vollständig durch die Microsoft Produkte abgedeckt werden kann. Diese Erkenntnis hilft aber nur wenigen Unternehmen, denn die Microsoft-Dienste sind bei vielen Firmen durch Volumenlizenzen und tagtäglichen Einsatz nicht so einfach zu ersetzen. Zudem positionieren sich die deutschen Aufsichtsbehörden und der europäische Datenschutzbeauftragte sehr unterschiedlich und alles andere als eindeutig zu diesem Thema. Was können also Unternehmen ein Mindestmaß an DSGVO-Konformität beim Einsatz von Office 365 erreichen?

Unsere Empfehlungen:

  1. Verfolgen Sie die Berichterstattung zu den anstehenden Gesprächen mit Microsoft und der weiteren Positionierung der Aufsichtsbehörden
  2. Passen Sie insofern möglich die Einstellungen Ihrer Microsoft-Produkte DSGVO konform wie möglich an
  3. Dokumentieren Sie die getroffenen Maßnahmen in Ihrer Datenschutz-Dokumentation, um im Falle einer Überprüfung durch die zuständige Aufsichtsbehörde aussagekräftig zu sein

Für Unternehmen bedeutet die aktuelle Lage, dass zu einem datenschutzkonformen sichereren Betrieb von Office 365 nicht nur die oben dargestellten zusätzlichen Sicherheitsfeatures vorhanden sein müssen, sondern das in jedem Fall ein funktionierendes Datenschutz-Management-System etabliert sein muss, welches einerseits die Dokumentations- und Nachweispflichten der DSGVO erfüllt und andererseits den Umsetzung der Risikoabwägungen im Rahmen einer Datenschutz-Folgeabschätzung dokumentiert.

Nehmen Sie Kontakt auf

Caroline Schwabe

Das könnte Sie auch interessieren:

IT-Sicherheitsvorfall

TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX® Anforderungen: Informationen zu Fragenkatalog, Reifegradstufen und zur Zertifizierung. bereiten Sie Assessment-Level und Audit vor.
IT-Sicherheitsvorfall

Was tun beim IT-Sicherheitsvorfall?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.

ISMS: Definition, Umsetzung, Normen

Alle Informationen zum Informationssicherheits Management System: Abgrenzung DSMS, Hinweise zur Umsetzung, Normen und Standards