Datenschutz bei Office 365 (Teil 2): Der Datenschutz und die DSGVO bei Microsoft Office 365



Wie steht es um den Datenschutz und die DSGVO-Konformität bei Microsofts Cloud-Dienst Office 365? In Teil 1 dieses zweiteiligen Beitrags haben wir Ihnen bereits die Grundlagen zum Datenschutzrecht und der seit Mai 2018 geltende EU-weite Datenschutz-Grundverordnung (DSGVO) erklärt. Der zweite Teil geht nun der Frage nach, wie Microsoft den Datenschutz bei Office 365 gewährleistet und die DSGVO umsetzt – oder eben nicht.

Was ist das Problem?

Microsoft ist ein US-Unternehmen mit Sitz in Redmond, Kalifornien. Nach US-Recht dürfen personenbezogene Daten, bis auf Finanzdaten und Gesundheitsdaten, wahllos gesammelt werden. Das wird auch vielfach genutzt, um z. B. Anwendungen zu verbessern oder über Nutzerdaten individualisierte Angebote und Lösungen zu erstellen. Die europäische Datenschutz-Grundverordnung vom 25.05.2018 fasst den Schutz personenbezogener Daten jedoch deutlich enger als die USA. Das Problem ist nun, dass eine Datenschutz-Folgenabschätzung (DSFA) der niederländischen Regierung im November 2018 festgestellt hat, dass Microsofts Office 2016 und Office 365 unerlaubt personenbezogene Daten nach Hause funkt.

So funktioniert es:

Microsoft in der Datenschutz-Zwickmühle zwischen EU-DSGVO und dem US-Cloud-Act (beide 2018)

Der Handelsstreit zwischen der Europäischen Union und den USA beschränkt sich nicht nur auf den Export von Stahl und Autos. Zwei Monate bevor die langjährig verhandelte europäische Datenschutz-Grundverordnung DSGVO im Mai 2018 in Kraft getreten ist, wurde am 23.03.2018 das neue US-Gesetz „CLOUD Act“ unterzeichnet. Dieses verpflichtet Internetunternehmen und IT-Dienstleister aus den USA (darunter auch Microsoft), den US-Behörden auch dann Zugriff auf von ihnen gespeicherte Daten zu gewähren, selbst wenn deren Speicherung außerhalb der USA erfolgt. Und auch dann, wenn die Gesetzeslage am Speicherort eine Herausgabe der Daten verbietet. Die DSGVO sieht eine Datenübermittlung an ein EU-Ausland jedoch nur im Falle eines Rechtshilfeabkommens im Zuge juristischer Ermittlungen vor. Der Widerspruch ist bis dato ungelöst.

  • Der große Abhörskandal, den der US-Whistleblower Edward Snowden 2013 ins Rollen brachte, zeigte jedoch, dass die Sicherheitsbehörden aus den USA und Großbritannien das Internet auch zuvor schon seit Jahren global und verdachtsunabhängig überwachen – auch ganz ohne Cloud Act. Dabei wurde und wird auch Wirtschaftsspionage betrieben, unter anderem in Deutschland. Das zeigt nicht nur, wie wichtig ein sicherer Schutz sensibler Daten heutzutage ist – sondern auch, welche technischen Grenzen einem 100%igen Datenschutz gesetzt sind.
  • Wie flächendeckend und tief verwurzelt das Problem ist, zeigt beispielsweise auch der Umstand, dass die Mitarbeiter einiger großer Beratungs- und Wirtschaftsprüfungsgesellschaften in Deutschland nur dann im Home-Office arbeiten dürfen, wenn dort weder Alexa noch ein sprachgesteuerter Smart-TV vorhanden sind.
  • Tipp: Wie die Datensicherheit für Behörden und Unternehmen zu bewerkstelligen ist, hat jüngst ein europäischer Forschungsverbund namenhafter IT-Sicherheitsexperten in dem Projekt „secUnity“ erarbeitet. Eine entsprechende IT-Sicherheits-Roadmap mit Empfehlungen, wie den digitalen Bedrohungen durch Cyber-Attacken auf EU-Ebene besser begegnet werden kann, wurde der Europäische Agentur für Netzwerk und Informationssicherheit ENISA am 05.02.2019 übergeben.

Verstößt Microsoft aktuell gegen die europäische Datenschutz-Grundverordnung DSGVO?

Von der Datensicherheit zurück zum Thema „Datenschutz vs. Sammelwut bei „personenbezogenen Daten“. Microsoft Office ist die Standardsoftware für die Büroarbeit und wird weltweit vielfach auch in Behörden und Verwaltungen eingesetzt. So nutzen beispielsweise rund 300.000 Arbeitsplätze in der niederländischen Verwaltung Office 2016 oder Office 365. Im November 2018 hat nun eine Datenschutz-Folgenabschätzung (DSFA) im Auftrag der niederländischen Regierung ergeben, dass Microsoft-Anwendungen in Office 2016 und Office 365 technische Telemetrie-Daten, darunter auch personenbezogene Daten, automatisch und verschlüsselt an eine Datenbank für Microsoft-Entwicklerteams nach Hause sendet.

  • Nach Aussage von Microsoft werden 23.000 bis 25.000 verschiedene Ereignisarten automatisiert an mehrere Entwicklerteams gesendet, wo die Daten analysiert, protokolliert und ausgewertet werden. Beispielsweise um die Stabilität und Funktionalität der Programme zu verbessern. Dieser Prozess lässt sich von den Nutzern (bislang) nicht blockieren.
  • Zu den von der niederländischen DSFA identifizierten größten Datenschutzrisiken zählen die Nachschlagefunktion in der Rechtschreibprüfung sowie die Übersetzungsfunktion. Zudem wird aber auch das individuelle Nutzerverhalten in Word, Excel, PowerPoint und Outlook gesammelt, darunter auch sensible personenbezogene Daten (besonders betroffen sind davon die Web-Anwendungen der Programme).
  • Da die Daten verschlüsselt übermittelt werden, konnten die niederländischen DSFA-Ermittler allerdings keine Aussage bezüglich der Art und der Kritikalität der Daten treffen – und Microsoft schweigt sich zu den Details bislang aus, welche Daten es alles sammelt.

Die Microsoft Cloud Deutschland: Microsofts Antwort auf den Datenschutz und die DSGVO?

So schien es, im Jahr 2015, als die Microsoft Cloud Deutschland mit dem Datentreuhänder Telekom in Betrieb ging. Das Prinzip ist einfach. Alle Daten liegen in zwei redundanten Rechenzentren in Deutschland und die Telekom ist als neutraler und unabhängiger Datentreuhänder bestellt. Microsoft selbst erhält keinen physischen Zugriff auf die Daten. Der Cloud-Service wurde speziell für deutsche Unternehmen in sensiblen Branchen sowie mit strengen Compliance- und Datenschutz-Richtlinien entwickelt.

  • Drei Jahre später, im März 2018, teilte Microsoft jedoch mit, keine Neukunden für seine Deutschland-Cloud mehr anzunehmen. Stattdessen werden zwei neue Cloud-Rechenzentrumsregionen in Deutschland bereitgestellt, die für Microsoft Azure allerdings erst im vierten Quartal 2019, für Office 365 im ersten Quartal 2020 und für Dynamics 365 im Laufe des Jahres 2020 verfügbar sein werden.
  • Microsoft begründet den Strategiewechsel mit geänderten Kundenwünschen und Kundenanforderungen und verspricht dabei gleichzeitig auch die Einhaltung der neuen europäischen Datenschutz-Grundverordnung (DSGVO).
  • Bestandskunden können die Microsoft Cloud Deutschland weiter nutzen, die mit den erforderlichen Sicherheitsupdates weiterhin gepflegt wird. Neukunden müssen aber auf die neue Datenschutzlösung von Microsoft für Deutschland warten und solange die bisher schon verfügbaren Cloud-Regionen in Europa nutzen.
  • Ob die Office-Anwendungen in der isolierten Microsoft Deutschland Cloud (spezielles Geschäftsmodell für hohe Sicherheitsanforderungen) ebenfalls nach Hause funken, so wie es die niederländische DSFA für deren europäische Rechenzentrumsregion ergeben hat, ist bislang allerdings noch ungeklärt.

Darauf kommt es an: Microsoft bringt 04/2019 eine DSGVO-konforme Office 365 Version heraus

Microsoft hat in einer Stellungnahme zum DSFA-Prüfbericht entsprechende Maßnahmen versichert, damit europäische Kunden ihre Daten im Sinne der DSGVO selbst kontrollieren können. Gegenüber dem niederländischen Justizministeriums hat sich Microsoft verpflichtet, die Anpassungen bis April 2019 vorzunehmen und im Laufe des Aprils eine DSGVO-konforme Version von Office 365 herauszugeben. Die Nutzer sollen dann die Möglichkeit haben, die Diagnosedaten sowohl einzusehen als auch die Datenübermittlung deaktivieren beziehungsweise blockieren zu können.

Wenn Microsoft im April 2019 seine DSGVO-konforme Office-Version veröffentlicht, sollten Sie diese in Ihrem Unternehmen implementieren. Dann sollten Einstellmöglichkeiten eingebaut sein, die eine Übermittlung von personenbezogenen Diagnosedaten blockieren.

Bis dahin gibt es trotz aller Kontroversen rund um den Datenschutz bei Microsoft, Google, Facebook, Amazon und Co dennoch keinen Grund zur Panik. Denn nicht jeder Mitarbeiter arbeitet andauernd und ausschließlich an revolutionären Entwicklungen oder an Top-Secret-Hochsicherheitsthemen. Außerdem sind die europäischen Aufsichtsbehörden an dem Thema dran. Wichtig ist vor allem, die Risiken zu kennen, um sich und die Mitarbeiter entsprechend auf die Datenschutzanforderungen und Datenschutzprobleme sensibilisieren und vorbereiten zu können. Sie sollten zudem ein wachsames Auge auf die technischen Neuerungen haben, um keine Verbesserungen – oder Sicherheitslücken – zu verpassen. Die Büroexperten von Büro-Kaizen helfen Ihnen dabei! Hier finden Sie beispielsweise weitere Infos rund um die Desktop-Anwendungen von Microsoft sowie die Datensicherheit bei Outlook.

Büro-Kaizen digital: Video-Tutorial

So geht Büro heute!

Dieses Buch bringt Ihnen die geballte Praxis über die Digitalisierung im Büro!

Dauer 02:46 Minuten

 



2 Kommentare

Hinterlassen Sie einen Kommentar

Ihre E-Mail Adresse wird nicht öffentlich angezeigt.




Schlagwörter: