sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsrat

Office365 – Unter Datenschutzgesichtspunkten noch zu empfehlen?

/von

In der Vergangenheit ist Microsoft bereits häufiger wegen unzureichender Lösungen hinsichtlich rechtskonformer Umsetzungen der Vorgaben des Datenschutzes ins Visier der Aufsichtsbehörden geraten. Nun wurde im Auftrag der niederländischen Regierung Office ProPlus genauer durchleuchtet. Microsoft wird von rund 300.000 Arbeitsplätzen in der niederländischen Verwaltung verwendet. Hierzu zählen Ministerien, Justiz und Polizeibehörden sowie die Finanzämter, welche hauptsächlich die Versionen von Office 2016 und Office 365 verwenden.

Die Untersuchung fand in Form einer Datenschutz- Folgenabschätzung (DSFA) durch ein Beratungsunternehmen statt.

Eine DFSA?

Eine DSFA muss gemäß der Datenschutz-Grundverordnung (DSGVO) durch alle Unternehmen durchgeführt werden, sofern Datenverarbeitungen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Weitere Informationen zum Thema DSFA finden Sie hier.

Welche Risiken offenbaren die Ergebnisse der DSFA?

Die Ergebnisse der DSFA sind durchaus erschreckend, wodurch Microsoft in Sachen Datenschutz wieder stärker in den Fokus rückt. Hier finden Sie den gesamten veröffentlichen Text der DSFA in englischer Sprache.

Die DSFA identifiziert acht hohe Datenschutzrisiken, welche dort im Detail erläutert werden. Hier eine kurze Zusammenfassung:

Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Nutzer in großem Umfang. Das Sammeln findet über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook statt. Der Nutzer bekommt hiervon nichts mit, da das Sammeln im Hintergrund stattfindet. Genauso „heimlich“ werden die Daten dann in einem automatisierten Prozess an einen Server in den USA versendet. Es werden hier nicht nur simple Informationen, wie beispielsweise Softwareabstürze versendet, welche für den Betrieb relevant sind, sondern gegebenenfalls auch sensible personenbezogene Daten.

Darüber hinaus werden auch beim Nachschlagen eines Worts mit Hilfe der Rechtschreibprüfung oder mit Hilfe eines Übersetzungsdiensts von Microsoft Office Daten gesammelt. Microsoft Office sammelt und übermittelt bei dieser Aktivität neben dem einzelnen recherchierten Wort auch den Satz vor und nach diesem. Dies führt dazu, dass eine große Datenmenge ohne Wissen des Nutzers automatisiert übermittelt wird.

Wie groß die Datenmenge tatsächlich ist, hat Microsoft bereits (zumindest grob) mitgeteilt. Nach Aussage werden 23.000 bis 25.000 Arten von Ereignissen an mehrere Entwicklerteams versendet, die die jeweiligen Daten auswerten und analysieren. Zu der Frage, was genau von den Entwicklerteams analysiert und protokolliert wird, gibt es bisher keine konkreten Antworten. Im Rahmen der DSFA konnten hierzu keine Dokumentationen gesichtet werden. Auch verschriftlichte Richtlinien zu den Vorgängen lagen nicht vor.

Das bedeutet, dass es weder die Möglichkeit gibt, Informationen über Art und Umfang der gesammelten Daten zu erhalten, noch dieser Prozess deaktiviert werden kann. Es kann auch noch keine Aussage hinsichtlich der Kritikalität der abfließenden Daten getroffen werden, da diese verschlüsselt und somit für Dritte unlesbar sind. Die Prüfer hatten somit bisher keinen Einblick in die Inhalte. Es bleibt zu hoffen, dass Microsoft nun preisgibt welche Informationen genau gesammelt und versendet werden.

Sicher kann es sinnvoll sein, technische Daten zu übermitteln und auszuwerten, um damit die Stabilität und Funktionalität der Software zu verbessern. Es muss allerdings transparent sein, was genau übermittelt und wie lange die Daten gegebenenfalls gespeichert werden. Auch muss es eine Möglichkeit für den Nutzer geben, der Übermittlung zumindest aller personenbezogenen Daten zu widersprechen.

Und was nun?

Nach Veröffentlichung des Prüfberichts hat Microsoft bereits Stellung genommen und zugesichert, dass es in ihrem Interesse liege, dass Kunden ihre Daten selbst verwalten und kontrollieren können. Es sollen entsprechende Maßnahmen ergriffen werden, um den Anforderungen der DSGVO und anderer Gesetze gerecht zu werden.

Eine generelle Empfehlung zum Einsatz von Office365 können wir an dieser Stelle leider nicht geben. Unbekannt ist uns zum Beispiel, ob auch die in der Cloud der Deutschen Telekom betriebene Variante von Office365 „nach Hause funkt“. Darüber hinaus wird es für die meisten Unternehmen auch gar nicht möglich sein, sich kurzfristig von Office365 zu trennen. Unsere Empfehlung lautet daher: Abwarten, sich des Risikos bewusst sein und hoffen, dass die Aufsichtsbehörden mit Augenmaß und Pragmatismus agieren werden. Darüber hinaus empfehlen wir aber auch, anstehende Migrationen zu oder Neueinführungen von Office365 vorerst zu stoppen und abzuwarten, ob Microsoft das gegebene Versprechen einhält. Nach diesen Informationen noch zu Office365 zu migrieren könnte unseres Erachtens durchaus als vorsätzlicher Verstoß gegen die DSGVO gewertet werden.

Benötigen auch Sie eine Datenschutz-Folgenabschätzung (DSFA) zu den bei Ihnen durchgeführten Verarbeitungen? Melden Sie sich bei uns, wir unterstützen Sie gerne!

Das könnte Sie auch interessieren
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratLet’s Encrypt: https-Verschlüsselung einfach gemacht
Datenübertragbarkeit 20 dsgvoSerie Betroffenenrechte: Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanDatenübermittlung in Drittländer im Kontext der DSGVO
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzRechte betroffener Personen – Allgemeine Regeln
Auftragsdatenverarbeitung im Rahmen des Datenschutzes
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7Supportende für Windows 7, Server 2008/R2, Office 2010: Leben Totgesagte länger?
Ulrich Kelber zum Bundesdatenschutzbeauftragten gewähltbdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsghacker pentest penetrationstest abmahnung abmahnfähigSchützen Sie Ihre Daten mit sicheren Passwörtern