Datenschutz: 2 Lösungen, um Microsoft 365 DSGVO-konform zu nutzen (Verschlüsselung/datensparsame Konfiguration)


Nach dem jahrelangen Streit um den Datenschutz und eine DSGVO-konforme Nutzung von Microsofts Cloud-gestützten Bürosoftwarediensten Microsoft 365 und Office 365 zeichnen sich nun zwei gangbare Lösungen ab. Vorausgesetzt, Sie sind keine Schule und keine Behörde, denn da legen die Datenschützer noch deutlich strengere Messlatten an als bei Unternehmen. Microsoft hat zwar in den letzten Jahren stark nachgebessert, um die strengen Datenschutzanforderungen seiner europäischen Kunden zu erfüllen, aber das reichte der deutschen Datenschutzkonferenz im November 2022 immer noch nicht aus. Als ultimative Lösung empfiehlt sich daher, einfach ein zusätzliches Verschlüsselungs-Gateway zwischen Ihrem Client und der Microsoft-Cloud zu installieren. Dann funktioniert alles DSGVO-konform und wie gewohnt, aber niemand kann Ihre Daten einsehen, weder Microsoft noch die US-Behörden. Alternativ können Sie Microsoft 365 auch datensparsamer und damit deutlich risikoärmer konfigurieren.

  • Um zu erklären, warum der Streit so lange andauert und die Lösung nicht selbstverständlich ist, muss im Folgenden leider zum Teil etwas weiter ausgeholt werden. Doch nur so lässt sich das jahrelange Gerangel nachvollziehen.
  • Interessierte können sich die dabei jeweils angeführten Hintergrundinformationen per Mausklick aufklappen. Schnellleser können hingegen gleich zu den vorgeschlagenen Lösungen springen – dem sicheren Verschlüsselungs-Gateway einerseits, oder unserer Anleitung für eine datensparsame und dadurch deutlich DSGVO-konformere Konfiguration von Microsoft 365.

Hier die Hintergrundinformationen zum Aufklappen:

1. Übersicht: Die Ziele der DSGVO

1. Was will die europäische Datenschutzgrundverordnung (DSGVO) überhaupt?

Seit dem 25. Mai 2018 gilt die neue europäische Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedstaaten – und damit auch für alle hierzulande verwendeten Microsoft und Office 365 Produkte wie Exchange, Teams, Outlook, Word, Excel, PowerPoint, SharePoint, OneDrive, OneNote & Co. Die DSGVO hat dabei die über 20 Jahre alte EU-Richtlinie 95/46/EG aus dem Jahr 1995 ersetzt. Das Ziel war, die Datenschutzregeln im europäischen Binnenmarkt zu vereinheitlichen, an das digitale Zeitalter anzupassen und zugleich auch zu stärken. Dabei sollte eine austarierte Balance zwischen den beiden Polen „Datenschutz“ und „freier Datenverkehr“ erreicht werden.

  • Wichtig: Das „Marktortprinzip“ der DSGVO stellt sicher, dass das EU-Datenschutzrecht für alle in der EU tätigen Organisationen gilt – auch für alle außereuropäischen Unternehmen, wenn diese ihre Waren oder Dienstleistungen im EU-Binnenmarkt anbieten.
  • Die DSGVO gilt auch dann, wenn die Datenverarbeitung außerhalb Europas stattfindet, sich das Angebot aber an Personen in der EU richtet. Wie zum Beispiel konkret bei den Cloud-gestützten Microsoft/Office 365 Diensten, die Teile der Datenverarbeitung in US-amerikanische Rechenzentren auslager(te)n.
  • Für global agierende IT-Unternehmen außerhalb Europas erforderte die DSGVO zum Teil ein massives Umdenken. In den USA gibt es nämlich so gut wie keinen Datenschutz, aber dafür einen ultrafreien Datenverkehr. Das heißt, dass im Unterschied zur Europäischen Union, das Erfassen, Zusammenführen und unbegrenzte Aufbewahren sämtlicher personenbezogener Daten grundsätzlich erlaubt ist. Lediglich Finanzdaten und Gesundheitsdaten sind aus Antidiskriminierungsgründen davon ausgenommen. Von einem Datenschutz wie in der DSGVO also kaum eine Spur.
  • Dementsprechend kritisierten auch die US-Branchenriesen bei der Entstehung der europäischen DSGVO zahlreiche ihrer Meinung nach zu weit gehende Datenschutzbestimmungen. Namentlich vor allem zwei zentrale Kernelemente: (1.) Die Speicherbegrenzung und das Recht einer Person auf Löschung sämtlicher ihrer personenbezogenen Daten (das „Recht auf Vergessen“) sowie (2.) die Pflicht zum Einholen einer Einverständniserklärung von jedem einzelnen Nutzenden vor und für das Sammeln personenbezogener Daten.
  • Gegen das neue EU-Datenschutzgesetz hatten die US-Regierung und US-Konzerne jahrelang erfolglos lobbyiert – und dadurch zunächst eine rechtzeitige Umstellung und Anpassung ihrer Services in Europa ausgesetzt (verweigert).
  • Die Folge war, dass sich die Microsoft 365-Softwaresuite in den ersten Monaten nach Inkrafttreten der DSGVO nicht DSGVO-konform nutzen ließ. Nach mehrmaligem Nachbessern seitens Microsoft ist ein DSGVO-konformer Einsatz nun aber offenbar möglich. Allerdings nur mit zusätzlichen Schutzmaßnahmen und noch nicht in der Standardkonfiguration. Hier muss Microsoft immer noch nachbessern.
Eine DSGVO-Konforme Nutzung von Microsoft 365 ist grundsätzlich möglich.
Eine DSGVO-Konforme Nutzung von Microsoft 365 ist grundsätzlich möglich.
2. Ursache: Wieso hat Microsoft 365 Probleme mit der DSGVO?

2. Wieso hat Microsoft Office 365 überhaupt Probleme mit der DSGVO-Konformität?

Der Grund ist, dass Microsoft & Co in einen „Kampf der Kulturen“ geraten sind. Oder genauer formuliert: Sie sind in die für sie zunächst unlösbare Datenschutz-Zwickmühle zwischen europäischer DSGVO und dem US-Cloud-Act geraten.

  • Denn nur zwei Monate bevor die europäische DSGVO in Kraft trat, hatten die USA im März 2018 das neue „CLOUD Act“ Gesetz unterzeichnet.
  • Dieses ergänzt im Grunde den seit den Anschlägen 2001 geltenden Patriot Act und verpflichtet IT- und Internetunternehmen aus den USA (darunter Microsoft), den US-Behörden auch dann Zugriff auf die von ihnen gespeicherte Daten zu gewähren, selbst wenn deren Speicherung außerhalb der USA erfolgt – und auch dann, wenn die Gesetzeslage am Speicherort eine Herausgabe der Daten eigentlich verbietet. Also auch auf Server und Rechenzentren in Deutschland.
  • Die DSGVO lässt das jedoch so pauschal nicht zu und sieht eine Datenübermittlung an ein EU-Ausland nur im Falle eines Rechtshilfeabkommens im Zuge juristischer Ermittlungen vor.
  • Dieser Widerspruch ist zwar nach wie vor ungelöst, lässt sich jedoch mittlerweile von Europa aus DSGVO-konform lösen – entweder durch Datensparsamkeit (zulasten einiger spezifischer Funktionalitäten der Software-Suite) oder mittels eines zusätzlichen Verschlüsselungs-Gateways, so dass selbst Microsoft und die US-Behörden die abgegriffenen Daten nicht mehr lesen können.
Begriffsdefinitionen zum Aufklappen

Was bedeutet überhaupt „Datenschutz“, „Datensicherheit“ und „personenbezogene Daten“?

Die Begriffe „Datenschutz“ und „Datensicherheit“ werden häufig verwechselt. Hier der Unterschied.
  • Datensicherheit: Zu Beginn des IT-Zeitalters wurde die Sicherheit der Daten vor Verlust, Manipulation oder Diebstahl (also deren physischer Schutz) noch als „Datenschutz“ bezeichnet. Das wird vor allem mit technischen Maßnahmen erreicht und fällt heute unter den Zuständigkeitsbereich der „Datensicherheit“ und allgemein der „IT-Sicherheit“.
  • Datenschutz: Erst seit Mitte der 1970er wird unter „Datenschutz“ der Schutz personenbezogener Daten vor missbräuchlicher Datenverarbeitung verstanden. Hierbei werden also nicht mehr die Daten physisch geschützt, sondern die Menschen hinter diesen personenbezogenen Daten vor einer nichtlegitimen Erhebung, Verarbeitung und Speicherung ihrer Daten. Dies erfordert naturgemäß andere Maßnahmen und Prozesse als bei der reinen Datensicherheit – auch wenn die Sicherheit der Daten für einen ausreichenden Datenschutz ebenfalls erforderlich ist.
  • Datenschutzgesetz: Das Datenschutzgesetz schreibt die Mindestanforderungen für eine automatische Verarbeitung personenbezogener Daten vor („automatisch“ bedeutet hier mittels Computer statt mit den veralteten Karteikarten-Systemen). Dabei kollidieren zwei fundamentale Rechte miteinander. Das Recht auf Informationsfreiheit und freien Datenverkehr (wie besonders in den USA) versus den Persönlichkeitsrechten auf Privatsphäre und die informelle Selbstbestimmung. Die EU hat eine Lösung dieses Zwiespalts versucht und dafür mit der seit 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) klare Regeln für die Datenverarbeitung personenbezogener Daten erlassen.
  • Was bedeutet eigentlich „personenbezogene Daten“? Der Begriff „personenbezogene Daten“ wird in Artikel 4 der europäischen DSGVO definiert: Demnach sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; […].“ Dazu zählen auch Kontaktdaten (E-Mail, Telefon, Adresse), Bank- und Zahlungsdaten, Geburtsdatum, Personalausweisnummer etc.
Beim Schutz personenbezogener Daten muss man zwischen Datensicherheit und Datenschutz unterscheiden.
Beim DSGVO-konformen Schutz der personenbezogenen Daten ist der Datenschutz genauso wichtig wie die Datensicherheit. Bild: Büro-Kaizen.
3. Details: Das fordert die DSGVO konkret

3. Die DSGVO-Vorschriften im Überblick: Technische Maßnahmen, Erlaubnistatbestände und Grundregeln für die Datenverarbeitung

Eine zentrale Forderung der DSGVO für die Gewährleistung des Datenschutzes bei der Verarbeitung personenbezogener Daten lautet, dass der Datenverarbeiter „geeignete technische und organisatorische Maßnahmen“ dafür ergreifen muss (Art. 25 Absatz 1). Das bedeutet konkret:

  • Ein „privacy by design“, um mit geeigneter Hardware, Software und Funktionstrennung den Datenschutz physisch gewährleisten zu können.
  • Sowie andererseits „privacy by default“, um durch datenschutzfreundliche Voreinstellungen typische Benutzerfehler bei der Anwendung und Verarbeitung zu vermeiden (zum Beispiel aus einfacher Unkenntnis der jeweiligen Mitarbeiter).
  • Jenseits dieser technischen und organisatorischen Maßnahmen werden zudem auch explizit einer von sechs „Erlaubnistatbeständen“ (z. B. eine Einwilligung) sowie die Einhaltung folgender sechs Grundregeln bei der Datenverarbeitung gefordert.

3.1. Die sechs Erlaubnistatbestände für ein DSGVO-konformes Datensammeln

Die Datenschutz-Grundverordnung der EU bestimmt, dass die Verarbeitung personenbezogener Daten ausdrücklich nur mittels eines sogenannten „Erlaubnistatbestands“ zulässig ist und erfolgen darf (Art. 6). Demnach muss konkret eine der sechs folgenden Erlaubnistatbestände erfüllt werden:

  1. Einwilligung durch die Person: Die betroffene Person hat ihre persönliche Einwilligung dafür gegeben (Zustimmung).
  2. Vertraglich erforderlich: Die Datenverarbeitung ist im Rahmen der Erfüllung eines Vertrags erforderlich.
  3. Rechtlich erforderlich: Die Datenverarbeitung wird für die Erfüllung gesetzlicher bzw. rechtlicher Verpflichtungen benötigt.
  4. Schutz des Lebens: Der Schutz lebenswichtiger Interessen macht die Datenverarbeitung erforderlich (zum Beispiel im medizinischen Umfeld).
  5. Öffentliches Interesse: Die Datenverarbeitung erfolgt im Rahmen einer Aufgabe, die im öffentlichen Interesse liegt.
  6. Wahrung berechtigter Interessen: Die Verarbeitung der personenbezogenen Daten dient der Wahrung berechtigter Interessen, entweder des Verantwortlichen oder einer dritten Person – dann ist jedoch eine Interessensabwägung erforderlich.

3.2. Die sechs Datenschutz-Grundregeln der DSGVO für die Datenverarbeitung

  1. Rechtmäßigkeit und Transparenz: Die Verarbeitung muss rechtmäßig sein (also ein Erlaubnistatbestand vorliegen) sowie transparent und Schritt für Schritt nachvollziehbar sein. Das Transparenzgebot betrifft den Grund der Datenverarbeitung, das beabsichtigte Ziel, den Zeitpunkt etc.
  2. Zweckbindung: Die Verarbeitung darf nur für „festgelegte, eindeutige und legitime Zwecke“ erfolgen. Das heißt, der Zweck muss also bereits vor der Erhebung feststehen und darf nicht nachträglich noch geändert oder willkürlich erweitert werden. Allgemeine Angaben reichen ebenfalls nicht aus. Dadurch soll ein wahlloses Datensammeln verhindert werden.
  3. Datenminimierung: Die Erhebung, Verarbeitung und Speicherung personenbezogener Daten muss dem Zweck angemessen bleiben und muss auf das „notwendige Maß beschränkt“ werden (nach dem bisherigen Grundsatz der Datensparsamkeit).
  4. Richtigkeit und Korrektur: Es müssen angemessene Maßnahmen getroffen werden, damit unrichtige personenbezogene Daten umgehend gelöscht beziehungsweise korrigiert werden können.
  5. Speicherbegrenzung und Recht auf Vergessen: Die personenbezogenen Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“. Dies bedingt auch das „Recht auf Vergessenwerden“ (Art. 17), also das Löschen der Daten auf Anforderung, sowie automatisch auch dann, wenn diese Daten für den ursprünglichen Zweck nicht mehr benötigt werden.
  6. Integrität und Vertraulichkeit: Der oder die Datensammelnde muss eine angemessene Sicherheit der relevanten Daten sicherstellen. Dies umfasst die Datensicherheit vor Verlust, Zerstörung oder Beschädigung sowie vor unbefugter beziehungsweise unrechtmäßiger Verarbeitung.

3.3. Warum ist der Schutz personenbezogener Daten für Unternehmen überhaupt so wichtig?

Bei Verstößen gegen den Datenschutz (Verstöße bei der Erhebung, Verarbeitung oder Speicherung personenbezogener Daten) drohen empfindliche Strafen, die durch die DSGVO noch einmal deutlich erhöht wurden. Sah das Bundesdatenschutzgesetz zuvor „lediglich“ maximale Strafen von 300.000 Euro vor, so können die Bußgelder seit der DSGVO nun 4 % des weltweiten Jahresumsatzes und bis zu 20 Millionen Euro betragen.

4. Speicherort: Wo speichert Microsoft 365 die Daten?

4. Wo werden die Daten von Microsoft 365 und Office 365 eigentlich gespeichert?

Microsoft speichert die Kundendaten seiner Microsoft/Office 365 Services in seinen rund um den Globus verteilten Rechenzentren, der nach Amazon (AWS) zweitgrößten Cloud-Infrastruktur der Welt. Dabei werden die Daten, laut Microsoft, möglichst in der jeweiligen geografischen Region der Nutzer abgespeichert, um damit die Anforderungen an Data Residency, Resilienz und den Datenschutz erfüllen zu können.

  • Im August 2019 hat Microsoft zwei neue Cloud-Rechenzentren in Deutschland sowie auch in der Schweiz eröffnet (zusätzlich zu denen in Österreich, Finnland, Irland, den Niederlanden und den damals schon bestehenden zwei in Deutschland). Somit stehen in Deutschland nun vier Rechenzentren zur Verfügung, zwei in Frankfurt und jeweils eins in Magdeburg und Berlin.
  • Seitdem können die personenbezogenen Kundendaten deutscher Microsoft-365-Nutzer an für sich wieder DSGVO-konform und redundant in Deutschland gespeichert und dennoch zugleich die Cloud-Dienste von Microsoft genutzt werden.
  • Hintergrund: Die DSGVO-konforme Lösung „Microsoft Cloud Deutschland“ mit der Telekom als zwischengeschalteten neutralen und unabhängigen Datentreuhänder, der die Daten auch für Microsoft selbst unlesbar verschlüsselt hat, war nur zwischen 2015 und 2018 buchbar. Seit März 2018 hat die Telekom keine Neukunden mehr angenommen, sondern nur noch die Bestandskunden weiter betreut.
  • Microsoft hat im Zuge der Inbetriebnahme seiner neuen Rechenzentren zugesichert, dass sobald ein Kunde Microsoft 365 mit einer deutschen Rechnungsadresse abonniert, dass dessen Daten automatisch redundant in Deutschland gespeichert und gehostet werden (ohne Zusatzkosten und mit dem gleichen Servicelevel). Tipp: Den genauen Speicherort für Ihre bestehenden Microsoft-365-Dienste können Nutzer mit Administratorenrechten im → Microsoft 365 Admin Center unter → EinstellungenOrganisationsprofilDatenspeicherort einsehen.
  • Die beiden „Haupt-Gretchenfragen“ bleiben jedoch trotz deutscher Rechenzentren: Ob nur die Kundendaten oder alle Daten von Microsoft 365 in deutschen Rechenzentren verarbeitet und gespeichert werden. Denn bei den „Kundendaten“ handelt es sich laut der Definition von Microsoft nur um alle Daten (Text-, Ton-, Video- und Bilddateien sowie Software), die während der Nutzung vom oder im Namen des Kunden bereitgestellt werden. Die problematischen Telemetrie- und Diagnosedaten sind von dieser Definition bislang jedoch noch ausgenommen, so dass hier weiterhin eine Speicherung in den USA erfolgen kann. Auch die zweite Kernfrage bleibt noch ungelöst, inwiefern Microsoft den US-Behörden wegen des Cloud-Acts Zugang gewähren muss. Und genau hier setzt die zusätzliche Schutzmaßnahme mittels eines Verschlüsselungs-Gateways an.
5. Chronologie: Wie sich Microsoft 365 der DSGVO annähert

5. Chronologie der Ereignisse: Wie 2018 der Streit um ein DSGVO-konformes Microsoft 365 eskalierte …und seit 2019 schrittweise gelöst wird

Microsoft Office 365 ist die weltweit meistgenutzte Standardsoftware für die Büroarbeit. Sie wird nicht nur in Unternehmen jeglicher Größe, sondern auch vielfach in staatlichen Behörden, Verwaltungen und Regierungsorganisationen eingesetzt. So nutzen beispielsweise allein in der niederländischen Verwaltung rund 300.000 Arbeitsplätze Microsoft Office 365. Im November 2018 hatte dann auch eine Datenschutz-Folgenabschätzung (DSFA) im Auftrag der niederländischen Regierung den Stein ins Rollen gebracht. Diese DSFA hat ergeben, dass Microsoft-Anwendungen in Office 2016 und Microsoft 365 technische Telemetrie- und Diagnosedaten, darunter auch personenbezogene Daten, automatisch an eine Datenbank für Microsoft-Entwicklerteams senden, unter anderem an Rechenzentren in den USA.

  • Microsoft hat daraufhin bestätigt, dass Office 365 zwischen 23.000 bis 25.000 verschiedene Ereignisarten automatisiert an mehrere Entwicklerteams sendet, wo die Daten analysiert, protokolliert und ausgewertet werden.
  • Diese Daten dienen unter anderem dazu, technische Probleme zu identifizieren und zu beheben (z. B. Programmabstürze) sowie die Stabilität und Funktionalität der Programme zu verbessern – aber vor allem auch, jedem Nutzer individuelle, Cloud-gestützte und personalisierte Funktionen bereitstellen zu können (abhängig von dessen aufgezeichnetem Nutzerverhalten), zum Beispiel mittels der sogenannten „verbundenen Dienste“.
  • Der niederländischen DSFA zufolge bereiteten dabei besonders die Nachschlagefunktion in der Rechtschreibprüfung, die Übersetzungsfunktion sowie das Sammeln des individuellen Nutzerverhalten in Word, Excel, PowerPoint und Outlook die größten Probleme. Denn dabei handelt es sich nicht nur um pseudonymisierte Diagnosedaten, sondern auch um personenbezogene Daten. Da dieses automatische Übermitteln anfangs noch nicht optional blockiert werden konnte, verstieß Microsoft Office 365 dieser DSFA zufolge also somit zunächst gegen die geltende DSGVO.

Per Schnellschuss zur DSGVO-Konformität: Microsoft 365 mit funktionalen Einschränkungen

Microsoft hat daraufhin zunächst in einem ersten Schritt im Laufe des Jahres 2019 die Datenschutzeinstellungen in Office 365 so geändert, dass europäische Kunden ihre Daten DSGVO-konform selbst kontrollieren können. Das galt jedoch anfangs nur für die Lizenz „Office 365 ProPlus“ ab der Versionsnummer 1905. Zudem führt das einfache Deaktivieren aller relevanten Datenübermittlungen zu einem Verlust bestimmter Funktionalitäten in den Microsoft 365-Anwendungen (wie zum Beispiel die integrierte Übersetzung oder die Vorschläge der „verbundenen Dienste“). Eine erneute Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung bestätigte jedoch, dass diese aktualisierte Office-365-Version nun DSGVO-konform nutzbar ist (allerdings nur auf dem Desktop und noch nicht in „Office für das Web“ und auch noch nicht in den mobilen Apps, die beide große Teile der Rechenlast nicht auf dem Endgerät ausführen, sondern in ein Rechenzentrum auslagern).

  • Mittlerweile haben alle Nutzer der lokal installierbaren Microsoft-365-Desktop-Dienste die Möglichkeit, die Telemetrie- und Diagnosedaten einzusehen und diese Datenübermittlung selektiv zu deaktivieren und damit zu blockieren. Eine wichtige Änderung, um die Desktop-Apps von Teams, Word, Excel, Outlook, PowerPoint & Co DSGVO-konform nutzen zu können (siehe unsere Anleitung unten).
  • Microsoft hat zudem auch peu à peu DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit der Daten, dem Recht auf Korrektur und Löschen der Daten sowie der notwendigen Einverständniserklärung der Nutzer vorgenommen.
  • Zum Jahreswechsel 2019/2020 hat Microsoft dann auch seine weltweit geltenden Online Service Terms („Cloud-Verträge“) für alle öffentlichen und Firmenkunden entsprechend geändert und sich dabei auch offiziell zur Rolle des Datenverantwortlichen bekannt.
  • Im September 2020 hat die deutsche Datenschutzkonferenz (DSK) dann allerdings erneut ein negatives Urteil ausgesprochen, dass „derzeit kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“. Kern des Anstoßes waren vor allem Microsofts Online Service Terms (OST) und welche Daten Microsoft mit welcher Rechtsgrundlage zu welchen eigenen Zwecken verarbeitet (verarbeiten darf) – die Datenschutzbeauftragten aus Bayern, Baden-Württemberg, Hessen und dem Saarland haben diese negative Beurteilung jedoch explizit nicht geteilt.
  • Microsofts Salamitaktik des scheibchenweisen Annäherns an die DSGVO hat sich dann auch 2021 und 2022 fortgesetzt, wie zum Beispiel im Juli 2021 die überfällige Anpassung an die Standardvertragsklauseln der EU-Kommission.

Datenschutzkonferenz Ende 2022: „Microsoft 365 ohne zusätzliche Schutzmaßnahmen weiterhin nicht DSGVO-konform nutzbar“

  • Urteil: Die „Arbeitsgruppe Microsoft-Onlinedienste“ der deutschen Datenschutzkonferenz (DSK) hat dann im November 2022 mit knapper Mehrheit entschieden, dass die aktuelle Version von Microsoft 365 immer noch nicht den strengen Vorschriften der DSGVO erfülle.
  • Begründung: Konkret ging es darum, welche personenbezogenen Daten Microsoft überhaupt alles mit welcher Berechtigung für seine eigenen Zwecke verwenden und verarbeiten darf. Dazu gesellten sich vier weitere Hauptprobleme: (1.) Die weiterhin bestehenden Zugriffsrechte der US-Behörden auf Daten europäischer Kunden, die in die USA übertragen wurden, sowie auch auf deutsche Server; (2.) wann Microsoft die Rolle eines Auftragsverarbeiters und wann eines Verantwortlichen einnimmt; (3.) was Microsoft genau unter „legitime Geschäftszwecke“ als Erlaubnistatbestand versteht und (4.) die Hintergrundübermittlung der Telemetrie-, Diagnose- und Meta-Daten in die USA.
  • Zielgruppe: Im Fokus der DSK stand dabei explizit der Einsatz von Microsoft 365 im öffentlichen Bereich (besonders an Schulen und Behörden), da diese nicht auf die Erlaubnisnorm der DSGVO (Art. 6 Abs. 1) zurückgreifen können, die eine Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter auch zugunsten eines überwiegenden berechtigten Interesses zulässt. Die DSK hat daher explizit nur das derzeitige Angebot von Microsoft für deutsche Schulen und Behörden analysiert – und nicht die Business-Pläne für Unternehmen. Der Landesdatenschutzbeauftragte Thüringens, Lutz Hasse, hat dies bestätigt und angekündigt, nun mit Unternehmerverbänden sowie der Industrie- und Handelskammer über den Sachverhalt zu diskutieren.
  • Stellungnahme: Microsoft hat dieser Einschätzung der DSK kurz darauf als „grundlegend falsch“ widersprochen. Die von dem Unternehmen in den letzten Jahren getroffenen Maßnahmen würden die europäischen Datenschutzgesetze nicht nur erfüllen, sondern sie sogar übertreffen. Zugleich hat Microsoft seine schon 2021 angekündigte „EU Data Boundary“ forciert. Am 1. Januar 2023 hat Microsoft dann eine entsprechend überarbeitete Version seines Auftragsverarbeitungsvertrages veröffentlicht. Der Passus „Microsoft Products and Services Data Protection Addendum“ (DPA) setzt die neue „EU-Datengrenze“ offiziell in Kraft. Diese ergänzt die bestehenden lokalen Speicher- und Verarbeitungsverpflichtungen, so dass der Datenfluss aus der EU in andere Länder weiter deutlich reduziert wird. Europäische Unternehmen könnten dadurch künftig, so Microsoft, alle Kundendaten in der Region verarbeiten und speichern.
  • Ausblick: Die DSK hat daraufhin am 31. Januar 2023 beschlossen, sich für eine weitere Behandlung der Fragestellung des exterritorialen Zugriffs im Europäischen Datenschutzausschuss einzusetzen – eine Bewertung der neuen EU Data Boundary steht ebenfalls noch aus.
  • Lösung: Das Thema bleibt also auch noch 2023 spannend. Wenn man jedoch eine der beiden folgenden Schutzmaßnahmen vornimmt, ist ein DSGVO-konformer Einsatz von Microsoft 365 auch jetzt schon möglich. Es empfiehlt sich jedoch, die individuellen Details in einer für Unternehmen obligatorischen Datenschutz-Folgeabschätzung klären zu lassen.

6. Lösungen für einen DSGVO-konformen Einsatz von Microsoft 365: Verschlüsselung oder datensparsame Konfiguration

Die europäischen und deutschen Datenschutz-Aufsichtsbehörden haben bislang weder ein konkretes, einheitliches Verbot von Microsoft Office 365 ausgesprochen, noch konkrete Empfehlung für einen datenschutzkonformen Einsatz vorgelegt. Die DSK hat zudem ihr abschlägiges Urteil speziell für den Einsatz im öffentlichen Raum (Schulen und Behörden) ausgesprochen und dabei weder die neue EU-Datengrenze (EU Data Boundary) noch zusätzliche Schutzmaßnahmen berücksichtigt. Das Urteil der DSK wurde zudem mit nur einer Stimme Mehrheit getroffen. Dementsprechend groß ist nicht nur die Kritik von außenstehenden Experten, sondern auch aus den eigenen Reihen. Denn zur Lösung des Problems existieren bereits ergänzende Schutzmaßnahmen.

  • Auch der Bundesdatenschutzbeauftragte Ulrich Kelber ist der Meinung, dass zusätzliche Schutzvorkehrungen wie eine Mikrovirtualisierung oder zwischengeschaltete Filter-Proxies eine DSGVO-konforme Nutzung ermöglichen können.
  • Dabei wird die Datenübertragung (Nachrichten, Daten, Dokumente) zwischen Client und Microsoft 365-Cloud durch ein Verschlüsselungs-Gateway auch für Microsoft selbst (und die US-Behörden) unlesbar verschlüsselt. Alle wichtigen Cloud-gestützten Microsoft 365-Funktionalitäten können dann aber dennoch innerhalb der Cloud DSGVO-konform genutzt werden. Eine führende Lösung in diesem Bereich ist → eperi Gateway, das auch die Basis für den Managed Service „Cloud Privacy & Compliance“ von T-Systems ist.
  • Die andere Lösung folgt dem Prinzip der Datensparsamkeit zur Risikominimierung. Dabei werden die Einstellungen von Microsoft 365 (welche Services was dürfen) so konfiguriert, dass die problematischsten Microsoft-Dienste technisch eingeschränkt werden und zum Beispiel keine Nutzerdaten mehr in die USA versenden. Dies hat dann jedoch einige Einschränkungen bei manchen Cloud-gestützten Anwendungen und Diensten zur Folge. Welche Einstellungen Sie hierfür konkret vornehmen müssen, zeigt Ihnen die folgende Anleitung.

7. Anleitung: Die Datenschutzeinstellungen in Microsoft 365 DSGVO-konform(er) konfigurieren

Die neu eingeführten Datenschutzkontrollen und -einstellungen bei Microsoft 365 und Office 365 lassen sich nun wie folgt ändern, um eine (möglichst) DSGVO-konforme Konfiguration zu erreichen. Ob dies allein ohne zusätzliche Verschlüsselung ausreicht, wurde von den zuständigen Behörden allerdings noch nicht abschließend geklärt und sollte daher im Rahmen einer Datenschutz-Folgeabschätzung geklärt werden. Sie erreichen damit jedoch auf jeden Fall zumindest eine erhebliche und vermutlich auch ausreichende Risikominimierung.

  • Öffnen Sie eine Microsoft 365 Anwendung, zum Beispiel Outlook, Teams, OneDrive, Word, Excel, PowerPoint oder OneNote. Klicken Sie dann beispielsweise in Outlook auf die Registerkarte → Datei und dann im Menü links auf → Office-Konto. Klicken Sie dann auf der rechten Bildschirmhälfte unterhalb von „Kontodatenschutz“ auf → Einstellungen verwalten. In dem anschließenden Dialogfenster „Datenschutzeinstellungen“ können Sie nun folgende Bereiche einstellen und deaktivieren.
  • Die erforderlichen Diagnosedaten in Microsoft Office 365: Dies sind die Mindestdaten, die erforderlich sind, damit Microsoft sicher und auf dem neuesten Stand bleibt und erwartungsgemäß funktioniert. Das sind zum Beispiel Informationen zur installierten Programmversion für die laufenden Updates oder Details zu Programmabstürzen oder anderen Problemen. Hier ist keine Anpassung möglich und erforderlich.
  • Die optionalen Diagnosedaten in Microsoft Office 365: Die optionalen Diagnosedaten helfen Microsoft bei der Verbesserung der Produkte, Funktionen und Angebote. Diese werden in vier verschiedenen Kategorien erfasst: Softwaresetup & Bestand, Produkt- & Dienstnutzung, Produkt- & Dienstleistung sowie Gerätekonnektivität & -konfiguration. Deaktivieren Sie hier das Häkchen in dem Kontrollkästchen bei → Zusätzliche Diagnose- und Verwendungsdaten an Microsoft senden.
  • Die verbundenen Erfahrungen in Microsoft Office 365: Die neuen Datenschutzkontrolleinstellungen in Office 365 umfassen neben den Diagnosedaten auch eine weitere Kategorie, die sogenannten „verbundenen Dienste“ oder auch „verbundenen Erfahrungen“ genannt. Diese nutzen cloudbasierte Funktionen, um den Benutzern erweiterte und auch personalisierte Features zur Verfügung zu stellen. Dabei gibt es verbundene Erfahrungen, die Ihre Inhalte analysieren, sowie verbundene Dienste, die Onlineinhalte herunterladen. Der Anwendungsbereich hierfür reicht von der Zusammenarbeit an einem gemeinsamen OneDrive-Dokument bis zu Designempfehlungen in PowerPoint, Excel und Word oder das Herunterladen von Onlineinhalten wie Vorlagen, 3D-Modellen oder Referenzmaterialien. All diese verbundenen Dienste können nun je nach Wunsch einzeln oder alle zusammen aktiviert oder deaktiviert werden. Deaktivieren Sie → alle verbundenen Erfahrungen. Dadurch sind diese Dienste dann allerdings auch nicht mehr verfügbar (z.B. die integrierte Übersetzungsfunktion).
  • Personalisierte Angebote: Hierfür nutzt Microsoft lediglich die Daten, wie oft Sie welche Office-Programme nutzen. Der Inhalt der Dateien wird dabei nicht erfasst. Für eine weitere Risikominimierung können Sie aber auch das Übersenden dieser Daten deaktivieren und damit blockieren.
Im Bereich Kontodatenschutz finden Sie die neuen, DSGVO-konformen Einstellungsmöglichkeiten in Microsoft 365.
Im Bereich Kontodatenschutz Ihres Office-Kontos finden Sie die neuen Einstellungsmöglichkeiten für ein DSGVO-konformes Microsoft 365. Bild: Büro-Kaizen.

Für Administratoren: Empfehlungen für den DSGVO-konformen Betrieb von Microsoft 365

Die DSGVO-konformen Richtlinien- und Datenschutzkontrolleinstellungen hat Microsoft zuerst nur in der Office 365 ProPlus ab der Version 1904 eingeführt und dann sukzessive auf weitere Clients ausgedehnt, wie zum Beispiel Word, Outlook, Teams, Office für Mac etc. Auch die mobilen Apps sollen „zügig“ folgen.

  • Wenn Sie in Ihrem Unternehmen jedoch Microsoft 365 mit Geschäftskonten für die einzelnen Mitarbeiter nutzen (das gilt auch für Schul- und Unikonten), können die einzelnen Benutzer die Telemetrie- und Diagnosedatenebene für ihre Geräte nicht selbstständig ändern.
  • Diese Einstellungen muss dann der zuständige Administrator zentral im Trust-Center vornehmen (vergleiche hierzu z.B. www.srd-rechtsanwaelte.de).

Datenschutzempfehlungen für den DSGVO-konformen Einsatz von Microsoft 365

  • Update auf aktuelle Programmversionen, die jünger sind als Office 365 ProPlus Version 1904 (also keine veralteten Softwareversionen verwenden).
  • Übermittlung der Telemetriedaten und der Diagnosedaten deaktivieren (auf → sicher und → keine/weder noch); das gilt auch für Windows 10 Enterprise (auf → sicher stellen).
  • Deaktivieren Sie die verbundenen Dienste bzw. Erfahrungen.
  • Deaktivieren Sie die Datenübermittlung der „Programme zur Verbesserung der Kundenerfahrung“ in Microsoft 365 (Customer Experience Improvement Program; CEIP).
  • Die LinkedIn-Integration muss deaktiviert werden (Verbinden der Mitarbeiter-Accounts).
  • Die Aktivitäten der einzelnen Benutzer dürfen nicht mit der Zeitachse in Windows 10 oder Win11 synchronisiert werden.
  • Verschlüsselung der Dateien, am besten mit einem unabhängigen Verschlüsselungs-Gateway, mindestens jedoch mit einer Kunden-Lockbox von Microsoft oder der Option „Premium-SKU“ und einem Hardware Security Module (HSM).
  • Die Web-Versionen und mobilen Apps von Microsoft 365 sollten für die Bearbeitung personenbezogener Daten vermieden und stattdessen die Desktop-Programmversionen genutzt werden (zum Beispiel von Outlook, Word, Excel, Teams etc.), da die DSGVO-konformen Datenschutzverbesserungen in den Web- und mobilen Apps erst noch nachgezogen werden müssen.
  • Office-365-Anwendungen, die Leistungsdaten auswerten (z. B. Delve, Activity Reports und Workplace Analytics), sollten nicht verwendet oder zumindest von einem Datenschutzbeauftragten geprüft sowie vom Betriebsrat genehmigt werden. Bei den Activity Reports, welche Mitarbeiter welche Dienste wie häufig nutzen, sollten die Benutzerdetails ausgeblendet werden.
  • Deaktivieren der Funktionen → Senden von persönlichen Informationen an Microsoft, um Office zu verbessern sowieOffice die Verbindung mit Microsoft-Onlinediensten erlauben, um für Ihren Standort und Ihre Voreinstellungen relevante Funktionen bereitzustellen.
  • Die Funktion zum → Teilen von Links gegenüber jeden deaktivieren und stattdessen → Neue und vorhandene Gäste auswählen.
  • Aktivierung der Ende-zu-Ende-Verschlüsselung bei 1:1-VoIP-Anrufen in der Teams-App.
  • Nutzung der Option „EU Data Boundary for the Microsoft Cloud“ und manuelle Auswahl der genutzten Rechenzentren auf Standorte in der EU.
  • Abschluss der in den Online Service Terms (OST) enthaltenen EU-Standardvertragsklauseln und des in den OST ebenfalls enthaltenen Auftragsverarbeitungsvertrags.
  • Eine abschließende eigenständige Datenschutz-Folgenabschätzung stellt dann den DSGVO-konformen Einsatz von Microsoft 365 oder Office 365 in Ihrem Unternehmen sicher. Hier finden Sie das kostenlose → Whitepaper zur Umsetzung einer solchen DSFA vom Fraunhofer-Institut für System- und Innovationsforschung.

8. Weitere Tipps rund um eine effiziente Nutzung von Microsoft 365 und den Office-Apps!

Die Microsoft 365-Suite besteht mittlerweile aus über 30 verschiedenen Anwendungen. Das reicht von den bekannten Evergreens wie Word, Excel, Outlook und PowerPoint über SharePoint und Exchange bis zu den neueren Apps wie Teams, Planner, Yammer, Forms, Sway und Whiteboard. Eine gute Übersicht über die Suite mit Anleitungen für die wichtigsten Programme und Funktionen haben wir Ihnen in folgenden Links zusammengestellt.

Büro-Kaizen Video: Alle Microsoft 365-Apps in unter 10 Minuten erklärt! (2023)

(Dauer 08:36 Minuten)

Inhalt dieser Video-Übersicht zu den Microsoft 365-Tools:

  1. Einleitung 00:00
  2. Überblick 00:21
  3. Apps für persönliche Produktivität 00:42
  4. Dateimanagement in Microsoft 365 02:46
  5. Programme für Kommunikation & Teamarbeit 03:32
  6. Sonstige Apps 05:23
  7. Verwaltung mit Admin-Apps 07:24


Schlagwörter: