Office 365 und DSGVO.

M

icrosoft Office ist von einem modernen Arbeitsplatz nicht wegzudenken.
Die konforme Verwendung der cloudbasierten Version „Office 365“ zur geltenden Datenschutz-Grundverordnung hat in der Vergangenheit Bedenken bei den Datenschutz-Spezialisten hervorgerufen. Nach einem Gutachten der holländischen Regierung, sowie der Kritik des deutschen Anwenderverbands reagierte Microsoft nun mit den passenden Tools zur DSGVO-konformen Nutzung ihrer Software.

In diesem Artikel möchten wir Ihnen zeigen welche DSGVO-Risiken beim Einsatz von Office 365 lauern und wie Sie diese durch Verwendung der bereitgestellten Tools vermeiden können.

Angefangen mit den Kritikpunkten, über die daraus resultierenden Risiken, bis hin zu den Maßnahmen um Office 365 DSGVO-konform zu nutzen.

Kritikpunkte

Verarbeitung und Übermittlung von Telemetrie- und Diagnosedaten

Bei der Nutzung von Office 365 verarbeitet Microsoft eine Vielzahl von Daten. In der Regel geschieht das, um die Software sicherer zu machen und diese zu verbessern. Jedoch sind einige dieser Daten personenbezogen und werden 1 bis 18 Monate in den USA gespeichert.

Vertragliche Rolle Microsoft

Vertraglich nimmt Microsoft bisher die Rolle des Auftragsverarbeiter ein und handelt quasi im Auftrag des Benutzers. Ein Auftragsverarbeiter handelt weisungsgebunden und hat keine eigene Entscheidungskompetenz über die Verarbeitung der Daten. Da Microsoft die Daten jedoch zur Breitstellung und Verbesserung des Dienstes nutzt ist die Rolle des Auftragsverarbeiters generell in Frage zu stellen.

Risiken

Folgende Risiken gehen nun daraus hervor:

  • Mangelnde Transparenz der Datenverarbeitung
    Microsoft bot bis vor kurzem keine umfassende Dokumentation drüber an, welche Daten konkret verarbeitet werden. Für die browserbasierten Office 365-Apps gilt das weiterhin.

  • Vertragliche Regelung
    Die vertragliche Rolle von Microsoft als Datenverarbeiter anstelle einer gemeinsamen Verantwortung.

  • Übermittlung von Diagnosedaten außerhalb des EWR
    Das EuGH-Verfahren klärt weiterhin, wie eine Übermittlung von Daten aus Europa in die USA mit der DSGVO vereinbar bleibt.

Maßnahmen

Folgende Maßnahmen können ergriffen werden:

  • Verarbeitung von Telemetriedaten einschränken oder komplett unterbinden 
    Vorläufig sollte das Senden von Telemetriedaten für Office 365 komplett unterbunden werden. Diese Einstellung kann der Administrator zentral im Trust-Center oder per Gruppenrichtlinie vornehmen. Office-Anwendungen, welche die Funktion der Deaktivierung noch nicht unterstützen, sollten erstmal nicht für die Nutzung freigegeben werden.

  • Deaktivieren von Controller Connected Experiences
    Bei Zusatzfunktionen von Office-Produkten wie zum Beispiel dem Übersetzungsdienst oder der Office Hilfe sammelt Microsoft Nutzungsdaten in einem nicht bekannten Umfang. Solange Microsoft hier nicht für Klarheit sorgt, sollten diese Dienste ebenfalls deaktiviert werden.

  • Beobachtung EuGH Verfahren
    Momentan ist es vollkommen zulässig, Daten in die USA zu übertragen, es sollten dennoch das EuGH-Verfahren beobachtet werden.

  • Löschtools der Telemetriedaten nutzen
    Um die bereits erhobenen Telemetriedaten zu entfernen, sollten die von Microsoft bereitgestellten Löschtools verwenden.

Wir unterstützen Sie gerne bei dem gesamten Thema Office 365. Durch die erfolgreiche Implementierung des Services in zahlreichen Infrastrukturen können wir auf die nötige Erfahrung und praxiserprobten Best Practices zurückgreifen. Unsere Vision: Ihre Arbeit mithilfe von Cloud-Services so effektiv wie möglich zu gestalten. 

Sprechen Sie uns gerne an, wir freuen uns auf Ihr Interesse!

Business Consultant

geschrieben von Simon Aldinger

BERATUNG
IST UNSERE DNA.