Microsoft Office 365: Datenschutz & DSGVO


Wie steht es um den Datenschutz bei Microsofts Cloud-gestütztem Bürosoftwaredienst Office 365 und sind die einzelnen Businesstools wie Outlook, Teams, OneDrive und OneNote DSGVO-konform? Um diese Frage beantworten zu können, erklärt dieser Büro-Kaizen Beitrag zunächst einige Grundlage zum Stand des Datenschutzes und der seit Mai 2018 geltenden europäischen Datenschutz-Grundverordnung (DSGVO). Im Anschluss wird dann die Frage geklärt, ob und wie der Datenschutz bei Microsoft Office 365 gehandhabt wird und ob ein DSGVO-konformer Einsatz möglich ist.

Inhaltsverzeichnis
1. Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
2. Was ist die Datenschutz-Grundverordnung (DSGVO)?
3. Warum ist der Schutz personenbezogener Daten für Unternehmen so wichtig?
4. Erlaubnistatbestand und sechs DSGVO-Grundregeln für die Datenverarbeitung
5. Datenschutz bei Office 365: Wo werden die Daten z. B. von Exchange, OneDrive oder Teams gespeichert?
6. Für Nutzer: Wo kann man Datenschutzeinstellungen in Microsoft Office 365 ändern?
7. Für Administratoren: Empfehlungen für den DSGVO-konformen Betrieb von Office 365
8. Aktueller Stand: Verstößt Microsoft Office 365 aktuell gegen die europäische Datenschutz-Grundverordnung DSGVO?

1. Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Die Bedeutung der beiden Begriffe Datenschutz und Datensicherheit ist bis dato etwas missverständlich.

  • Datensicherheit: Zu Beginn des IT-Zeitalters war mit Datenschutz ursprünglich noch die Sicherheit (also der Schutz) der Daten vor Verlust, Manipulation oder Diebstahl gemeint. Dies erfordert viele technische Maßnahmen und fällt heutzutage unter den Zuständigkeitsbereich der „Datensicherheit“ sowie der „IT-Sicherheit“.
  • Datenschutz: Erst seit Mitte der 1970er wird unter Datenschutz der Schutz personenbezogener Daten vor missbräuchlicher Datenverarbeitung verstanden. Es werden also nicht die Daten geschützt, sondern die Menschen hinter diesen Daten vor einer nichtlegitimen Erhebung, Verarbeitung und Speicherung ihrer Daten.

Der rechtliche Rahmen des Datenschutzes:

Der Datenschutz regelt die automatische Verarbeitung personenbezogener Daten. Automatisch bedeutet dabei mittels Computer statt mit (veralteten) Karteikarten-Systemen. Dabei kollidieren zwei fundamentale Rechte miteinander. Das Recht auf Informationsfreiheit und damit einem freien Datenverkehr versus den Persönlichkeitsrechten auf Privatsphäre und informelle Selbstbestimmung. Die Lösung des Zwiespalts liegt in klaren Regeln für die Datenverarbeitung. In Deutschland regelt dies seit dem 27.01.1977 das Bundesdatenschutzgesetz BDSG. Neu hinzugekommen ist am 25.05.2018 die europäische Datenschutz-Grundverordnung (DSGVO), mit einigen Präzisierungen, Neuerungen und Änderungen.

Was bedeutet eigentlich „personenbezogene“ Daten?

Der Begriff „personenbezogene Daten“ wird in Artikel 4 der europäischen Datenschutz-Grundverordnung (DSGVO) definiert: Demnach sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; […].“

2. Was ist die Datenschutz-Grundverordnung (DSGVO)?

Seit dem 25.05.2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten (und damit auch für die hierzulande verwendeten Office 365 Produkte wie Teams, OneDrive und OneNote). Die DSGVO ersetzt dabei die bis dahin geltende EU-Richtlinie 95/46/EG von 1995, um die Datenschutzregeln im europäischen Binnenmarkt zu vereinheitlichen. Das Ziel ist eine austarierte Balance aus Datenschutz und freiem Datenverkehr innerhalb des Binnenmarktes. Für Deutschland bedeutete die DSGVO, dass einige Regelungen des Bundesdatenschutzgesetzes angepasst und teilweise auch neue Datenschutzregeln eingeführt wurden.

  • Das Marktortprinzip der DSGVO stellt dabei sicher, dass das EU-Datenschutzrecht auch für außereuropäische Unternehmen gilt, wenn diese ihre Waren oder Dienstleistungen im EU-Binnenmarkt anbieten. Das gilt auch dann, wenn die Datenverarbeitung außerhalb Europas stattfindet, sich das Angebot aber an Personen in der EU richtet (wie z. B. bei den Cloud-gestützten Microsoft Office 365 Diensten OneDrive, Teams & Co).
  • Für global agierende IT-Unternehmen außerhalb Europas erfordert dies ein Umdenken. In den USA ist z. B. das Erfassen, Zusammenführen und unbegrenzte Aufbewahren sämtlicher Daten erlaubt, lediglich Finanzdaten und Gesundheitsdaten sind aus Antidiskriminierungsgründen davon ausgenommen.
  • Dementsprechend kritisierten die US-Branchenriesen bei der Entstehung der europäischen DSGVO vor allem auch zwei Kernelemente: Das Recht auf Löschung sämtlicher Daten sowie die Pflicht zum Einholen einer Einverständniserklärung vor und für das Datensammeln.

3. Warum ist der Schutz personenbezogener Daten für Unternehmen überhaupt so wichtig?

Das Bundesdatenschutzgesetz und die 2018 hinzugekommene DSGVO verpflichten Unternehmen zu einem ordnungsgemäßen Umgang bei der Erhebung, Verarbeitung und Speicherung aller personenbezogener Daten. Bei Verstößen drohen empfindliche Strafen, die sich durch die DSGVO noch einmal deutlich erhöht haben.

  • Mit der DSGVO sind nicht nur einige Neuregelungen hinzugekommen, auch die Bußgelder sind deutlich teurer geworden. Sah das Bundesdatenschutzgesetz bislang „lediglich“ maximale Strafen von 300.000 Euro vor, so können die Bußgelder seit der DSGVO nun bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen.
  • Dabei muss jedes Unternehmen ab zehn Personen, die ständigen Zugriff auf die Personendaten (z. B. Kundendaten oder Arbeitnehmerdaten) haben, einen eigenen Datenschutzbeauftragten bestellen. Das verdeutlicht den Stellenwert (und auch den Aufwand), den das Thema in der Politik und bei Unternehmen hat.

4. Was schreibt die DSGVO vor? Technische Maßnahmen, Erlaubnistatbestand und die sechs Grundregeln für die Datenverarbeitung

Die DSGVO schreibt für die Gewährleistung des Datenschutzes bei der Verarbeitung personenbezogener Daten grundsätzlich „geeignete technische und organisatorische Maßnahmen“ vor (Art. 25 Absatz 1). Das betrifft einerseits „privacy by design“, um mit geeigneter Hardware, Software und Funktionstrennung den Datenschutz physisch zu gewährleisten. Sowie andererseits „privacy by default“, um durch datenschutzfreundliche Voreinstellungen Benutzerfehler bei der Anwendung und Verarbeitung zu vermeiden (z. B. aus einfacher Unkenntnis der jeweiligen Mitarbeiter). Jenseits dieser technischen und organisatorischen Maßnahmen werden zudem auch explizit einer von sechs „Erlaubnistatbeständen“ (z. B. eine Einwilligung) sowie die Einhaltung von sechs Grundregeln bei der Datenverarbeitung gefordert.

4.1. Die sechs möglichen Erlaubnistatbestände für das DSGVO-konforme Datensammeln und Verarbeiten:

Die europäische Datenschutz-Grundverordnung (DSGVO) regelt für den EU-Binnenmarkt, dass die Verarbeitung personenbezogener Daten ausdrücklich nur mittels eines sogenannten „Erlaubnistatbestands“ zulässig ist (Art. 6). Demnach muss konkret eine der folgenden sechs Möglichkeiten vorliegen:

1. Einwilligung durch die Person: Die betroffene Person hat eine persönliche Einwilligung gegeben.

2. Vertraglich erforderlich: Die Datenverarbeitung ist im Rahmen der Erfüllung eines Vertrags erforderlich.

3. Rechtlich erforderlich: Die Datenverarbeitung wird für die Erfüllung gesetzlicher bzw. rechtlicher Verpflichtungen benötigt.

4. Schutz des Lebens: Der Schutz lebenswichtiger Interessen macht die Datenverarbeitung erforderlich (z. B. im medizinischen Umfeld).

5. Öffentliches Interesse: Die Datenverarbeitung erfolgt im Rahmen einer Aufgabe, die im öffentlichen Interesse liegt.

6. Wahrung berechtigter Interessen: Die Verarbeitung der personenbezogenen Daten dient der Wahrung berechtigter Interessen, entweder des Verantwortlichen oder einer dritten Person – dann ist jedoch eine Interessensabwägung erforderlich.

4.2. Die sechs Datenschutz-Grundregeln für die Verarbeitung personenbezogener Daten in der DSGVO:

1. Rechtmäßigkeit und Transparenz: Die Verarbeitung muss rechtmäßig sein (ein Erlaubnistatbestand vorliegen) sowie transparent und Schritt für Schritt nachvollziehbar sein. Das Transparenzgebot betrifft den Grund der Datenverarbeitung, das Ziel, den Zeitpunkt etc.

2. Zweckbindung: Die Verarbeitung darf nur für „festgelegte, eindeutige und legitime Zwecke“ erfolgen. Das heißt, der Zweck muss also bereits vor der Erhebung feststehen und darf nicht nachträglich geändert oder erweitert werden. Allgemeine Angaben reichen ebenfalls nicht aus. Dadurch soll ein wahlloses Datensammeln verhindert werden.

3. Datenminimierung: Die Erhebung, Verarbeitung und Speicherung personenbezogener Daten muss dem Zweck angemessen bleiben und muss auf das „notwendige Maß beschränkt“ werden (nach dem bisherigen Grundsatz der Datensparsamkeit).

4. Richtigkeit und Korrektur: Es müssen angemessene Maßnahmen getroffen werden, damit unrichtige personenbezogene Daten umgehend gelöscht beziehungsweise korrigiert werden können.

5. Speicherbegrenzung und Recht auf Vergessen: Die personenbezogenen Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“. Dies bedingt auch das „Recht auf Vergessenwerden“ (Art. 17), also das Löschen der Daten auf Anforderung, sowie auch, wenn diese nicht mehr benötigt werden.

6. Integrität und Vertraulichkeit: Der Datensammler muss eine angemessene Sicherheit der relevanten Daten sicherstellen, Das umfasst die Datensicherheit vor Verlust, Zerstörung oder Beschädigung sowie vor unbefugter beziehungsweise unrechtmäßiger Verarbeitung.

5. Wo werden die Daten von Microsoft Office 365 gespeichert z. B. von Exchange, OneDrive oder Teams?

Microsoft speichert die Kundendaten der Office 365 Services in seiner weltweiten Microsoft Cloud. Dafür verfügt der Redmonder IT-Konzern über zahlreiche Rechenzentren rund um den Globus, um die Daten in der jeweiligen geografischen Region abspeichern und damit die Anforderungen an Data Residency, Resilienz und auch Datenschutz erfüllen zu können. Die Daten der europäischen Kunden werden in Microsofts Rechenzentren in Österreich, Finnland, Irland und den Niederlanden gespeichert. Den genauen Speicherort können Nutzer mit Administratorenrechten im Office 365 Admin Center unter → Einstellungen → Organisationsprofil → Datenspeicherort einsehen.

office-365-dsgvo-datenschutz-speicherort
Wo werden die Daten von Microsoft Office 365 gespeichert? Sehen Sie bei Ihren Einstellungen nach. Bild: Microsoft, Büro-Kaizen.

Wo werden die Daten von Exchange, OneDrive Teams & Co konkret gespeichert?

  • Exchange Online: Österreich, Finnland, Irland, Niederlande
  • Microsoft Planner: Irland, Niederlande
  • Microsoft Teams: Irland, Niederlande
  • Office Online und Office Mobile: Österreich, Finnland, Irland, Niederlande
  • OneDrive for Business: Irland, Niederlande
  • OneNote Services: Irland, Niederlande
  • SharePoint Online: Irland, Niederlande

Hintergrund: Die Microsoft Cloud Deutschland gibt es leider nicht mehr

Im Jahr 2015 ging die Microsoft Cloud Deutschland mit der Telekom als Datentreuhänder in Betrieb. Dies war ein spezielles Geschäftsmodell für sehr hohe Sicherheitsanforderungen seitens der Kunden. Alle Daten lagen in zwei redundanten Rechenzentren in Deutschland und die Telekom wurde als neutraler und unabhängiger Datentreuhänder bestellt. Microsoft selbst erhielt keinen physischen Zugriff auf die Daten. Der Cloud-Service war speziell für deutsche Unternehmen in sensiblen Branchen sowie mit strengen Compliance- und Datenschutz-Richtlinien entwickelt worden.

  • Im März 2018 teilte Microsoft jedoch mit, keine Neukunden für seine Deutschland-Cloud mehr anzunehmen. Stattdessen sollten innerhalb von rund zwei Jahren zwei neue Cloud-Rechenzentrumsregionen in Deutschland bereitgestellt werden (für Microsoft Azure ab dem vierten Quartal 2019, für Office 365 im ersten Quartal 2020 und für Dynamics 365 im Laufe des Jahres 2020 verfügbar).
  • Microsoft begründet den Strategiewechsel mit geänderten Kundenwünschen und Kundenanforderungen und verspricht dabei zugleich auch die konforme Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) in den neuen Rechenzentren.
  • Bestandskunden können die Microsoft Cloud Deutschland jedoch weiter nutzen, die mit den erforderlichen Sicherheitsupdates auch weiterhin gepflegt wird. Neukunden müssen allerdings auf die neue Datenschutzlösung von Microsoft für Deutschland warten und solange die bisher schon verfügbaren Cloud-Regionen für Office 365 in Europa nutzen.

6. Für Nutzer: Wo kann man welche Datenschutzeinstellungen in Microsoft Office 365 DSGVO-konform ändern?

Die seit April 2019 möglichen neuen Datenschutzkontrollen und -einstellungen bei Office 365 lassen sich auf zweierlei Weise ändern:

1. Microsoft informiert Sie: Microsoft macht seine Office-365-Nutzer automatisch mit Dialogfenstern auf die geänderten Datenschutzkontrollmöglichkeiten aufmerksam (siehe Abb. 1). In diesem Fall gelangen Sie direkt in das Datenschutzmenü und können dort die Einstellungen kontrollieren und gegebenenfalls ändern.

office-365-dsgvo-datenschutz-datenschutzkontrolleinstellungen
Abbildung I: Mit diesem Dialogfenster macht Microsoft seine Office 365-Nutzer auf die neuen Datenschutzkontrolleinstellungen aufmerksam. Bild: Microsoft, Büro-Kaizen.

2. In Ihrem Microsoft-Konto: Öffnen Sie eine Office-365-Anwendung, z. B. Outlook (oder Teams, OneDrive, OneNote etc.). In Outlook klicken Sie beispielsweise auf die Registerkarte → Datei und dann im Menü links auf → Office-Konto. Klicken Sie dann auf der rechten Bildschirmhälfte unterhalb von „Kontodatenschutz“ auf → Einstellungen verwalten (siehe Abb. 2).

office-365-dsgvo-datenschutz-kontodatenschutz
Abbildung II: Im Bereich Kontodatenschutz finden Sie die neuen, DSGVO-konformen Einstellungsmöglichkeiten in Office 365. Bild: Microsoft, Büro-Kaizen.

Welche Datenschutzkontrolleinstellungen können in Office 365 DSGVO-konform geändert werden?

1. Die erforderlichen Diagnosedaten in Microsoft Office 365: Dies sind die Mindestdaten, die erforderlich sind, damit Office sicher und auf dem neuesten Stand bleibt und erwartungsgemäß funktioniert. Das sind z. B. Informationen zur installierten Programmversion für die laufenden Updates oder Details zu Programmabstürzen oder anderen Problemen.

2. Die optionalen Diagnosedaten in Microsoft Office 365: Die optionalen Diagnosedaten helfen Microsoft bei der Verbesserung der Produkte, Funktionen und Angebote. Diese werden in vier verschiedenen Kategorien erfasst: Softwaresetup & Bestand, Produkt- & Dienstnutzung, Produkt- & Dienstleistung sowie Gerätekonnektivität & -konfiguration.

Hinweis: Die Diagnosedaten werden von Microsoft pseudonymisiert. Microsoft pseudonymisiert die Diagnosedaten, so dass weder Namen, E-Mail-Adressen oder Datei-Inhalte der Nutzer enthalten sind. Mit den Diagnosedaten des Benutzers wird lediglich eine eindeutige ID verknüpft. So lässt sich beispielsweise feststellen, ob bei 100 Programmabstürzen jedes Mal derselbe Nutzer oder ob unterschiedliche Nutzer davon betroffen sind. Den Transparenz-Anforderungen der DSGVO konform hat Microsoft auch einen Diagnosedaten-Viewer für Office 365 entwickelt, der kostenlos aus dem Microsoft Store heruntergeladen werden kann, um die an Microsoft gesendeten Diagnosedaten einsehen zu können (z. B. der einzelnen Anwendungen wie Teams, OneDrive und OneNote).

3. Die verbundenen Dienste in Microsoft Office 365: Die neuen Datenschutzkontrolleinstellungen in Office 365 umfassen neben den Diagnosedaten auch eine weitere Kategorie, die sogenannten „verbundenen Dienste“, manchmal auch „verbundenen Erfahrungen“ genannt. Diese nutzen cloudbasierte Funktionen, um den Benutzern erweiterte und auch personalisierte Office-Features zur Verfügung zu stellen. Dabei gibt es verbundene Dienste, die Ihre Inhalte analysieren, sowie verbundene Dienste, die Onlineinhalte herunterladen. Der Anwendungsbereich reicht von der Zusammenarbeit an einem gemeinsamen OneDrive-Dokument bis zu Designempfehlungen in PowerPoint, Excel und Word oder das Herunterladen von Onlineinhalten wie Office-Vorlagen, 3D-Modelle oder Referenzmaterialien. All diese verbundenen Dienste können nun je nach Wunsch einzeln oder zusammen aktiviert oder deaktiviert werden.

7. Für Administratoren: Empfehlungen für den DSGVO-konformen Betrieb von Office 365

Seit Ende April 2019 hat Microsoft als Reaktion auf die Intervention der niederländischen Regierung (siehe Punkt 8) neue Datenschutzkontrolleinstellungen in Office 365 implementiert. Dadurch können das Versenden von Diagnosedaten sowie die verbundenen Dienste/Erfahrungen individuell eingestellt oder gänzlich blockiert werden. Im Rahmen dieser Änderungen wurden auch die Benutzeroberflächenelemente und Richtlinieneinstellungen aktualisiert (ab Office 365 ProPlus Version 1904 verfügbar). Die DSGVO-konformen Datenschutzkontrollen will Microsoft dann auch zügig auf weitere Office 365-Clients ausdehnen, wie zum Beispiel Teams, Office für Mac und die mobilen Apps.

  • Wenn Sie in Ihrem Unternehmen Office 365 mit Geschäftskonten für die einzelnen Mitarbeiter nutzen (das gilt auch für Schul- und Unikonten), können die einzelnen Benutzer die Telemetrie- und Diagnosedatenebene für ihre Geräte nicht ändern.
  • Diese Einstellungen muss der zuständige Administrator zentral im Trust-Center vornehmen (Richtlinieneinstellungen via Gruppenrichtlinie oder Office-Cloudrichtliniendienst).

Datenschutzempfehlungen für den DSGVO-konformen Einsatz von Office 365

  • Update auf eine Programmversion jünger als Office 365 ProPlus Version 1904.
  • Übermittlung der Telemetrie- und Diagnosedaten in Windows 10 Enterprise auf → sicher einstellen.
  • Die Aktivitäten der einzelnen Benutzer dürfen nicht mit der Zeitachse in Windows 10 synchronisiert werden.
  • Übermittlung der Diagnosedaten in Office 365 auf das Level → Keine einstellen.
  • Deaktivieren Sie die verbundenen Dienste/Erfahrungen.
  • Deaktivieren Sie die Datenübermittlungsfunktion zur Verbesserung der Benutzerfreundlichkeit in Office 365.
  • Sensible Dateien mit einer Kunden-Lockbox von Microsoft verschlüsseln.
  • Keine Integration der Linked-In Accounts der Nutzer.
  • Die Web-Versionen und mobilen Apps von Office 365 sollten vermieden und stattdessen die Desktop-Programmversionen genutzt werden (z. B. von Outlook, Word, Excel, Teams etc.), da die DSGVO-konformen Datenschutzverbesserungen in den Web- und mobilen Office-Apps noch nachgezogen werden müssen.
  • Office-Anwendungen, die Leistungsdaten auswerten (z. B. Delve, Activity Reports und Workplace Analytics), sollten von einem Datenschutzbeauftragten geprüft sowie vom Betriebsrat genehmigt werden.
  • Abschluss der in den Online Service Terms (OST) enthaltenen EU-Standardvertragsklauseln und des in den OST ebenfalls enthaltenen Auftragsverarbeitungsvertrags.
  • Eine eigenständige Datenschutz-Folgenabschätzung stellt den DSGVO-konformen Einsatz von Office 365 in Ihrem Unternehmen sicher.

8. Aktueller Stand: Verstößt Microsoft gegen die europäische Datenschutz-Grundverordnung, oder ist ein DSGVO-konformer Einsatz von Office 365 möglich?

Microsoft Office ist weltweit die Standardsoftware für die Büroarbeit und wird auch vielfach in Behörden und Verwaltungen eingesetzt. So nutzen beispielsweise rund 300.000 Arbeitsplätze in der niederländischen Verwaltung Office 2016 oder Office 365. Im November 2018 hatte nun eine Datenschutz-Folgenabschätzung (DSFA) im Auftrag der niederländischen Regierung ergeben, dass Microsoft-Anwendungen in Office 2016 und Office 365 technische Telemetrie- und Diagnosedaten, darunter auch personenbezogene Daten, automatisch und verschlüsselt an eine Datenbank für Microsoft-Entwicklerteams sendet, u.a. in die USA.

  • Nach Aussage von Microsoft werden 23.000 bis 25.000 verschiedene Ereignisarten automatisiert an mehrere Entwicklerteams gesendet, wo die Daten analysiert, protokolliert und ausgewertet werden. Diese Daten dienen unter anderem dazu, Probleme zu identifizieren und zu beheben (z. B. Programmabstürze), die Stabilität und Funktionalität der Programme zu verbessern sowie personalisierte Funktionen bereitzustellen.
  • Dieses automatische Übermitteln der Diagnosedaten, unter denen sich auch personenbezogene Daten befinden, konnte bislang aber nicht blockiert werden. Und genau das verstößt gegen die DSGVO.
  • Zu den von der niederländischen DSFA identifizierten größten Datenschutzrisiken zählen die Nachschlagefunktion in der Rechtschreibprüfung sowie die Übersetzungsfunktion. Zudem wird aber auch das individuelle Nutzerverhalten in Word, Excel, PowerPoint und Outlook gesammelt, darunter auch sensible personenbezogene Daten (besonders betroffen sind davon die Web-Anwendungen der Programme).

Seit April 2019 gibt es eine DSGVO-konforme Version von Microsoft Office 365

Microsoft hat in einer Stellungnahme zum DSFA-Prüfbericht entsprechende Maßnahmen versichert, damit europäische Kunden ihre Office-365-Daten DSGVO-konform selbst kontrollieren können. Gegenüber dem niederländischen Justizministeriums hat sich Microsoft verpflichtet, die entsprechenden Anpassungen bis April 2019 vorzunehmen – und hat Wort gehalten.

  • Ende April 2019 hat Microsoft wie angekündigt die Datenschutzeinstellungen in Office 365 so geändert, dass sie der neuen europäischen Datenschutz-Grundverordnung (DSGVO) entsprechen.
  • Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung deaktivieren und somit blockieren zu können. Darüber hinaus musste Microsoft auch DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, das Recht auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vornehmen.
  • Eine erneute Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung kam zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 nun mit der DSGVO konform ist. Dies konnte in einer gesonderten Folgenabschätzung für die mobilen und Web-Anwendungen von Office jedoch noch nicht bestätigt werden, hier muss Microsoft also noch nachbessern.
  • Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Hintergrund: Microsoft Office in der Datenschutz-Zwickmühle zwischen DSGVO und dem US-Cloud-Act

Zwei Monate bevor die langjährig verhandelte europäische Datenschutz-Grundverordnung DSGVO im Mai 2018 in Kraft trat, wurde im März 2018 das neue US-Gesetz „CLOUD Act“ unterzeichnet. Dieses verpflichtet Internetunternehmen und IT-Dienstleister aus den USA (darunter auch Microsoft), den US-Behörden auch dann Zugriff auf von ihnen gespeicherte Daten zu gewähren, selbst wenn deren Speicherung außerhalb der USA erfolgt – und auch dann, wenn die Gesetzeslage am Speicherort eine Herausgabe der Daten eigentlich verbietet. Die DSGVO sieht eine Datenübermittlung an ein EU-Ausland jedoch nur im Falle eines Rechtshilfeabkommens im Zuge juristischer Ermittlungen vor. Dieser Widerspruch ist bis dato ungelöst.



Abo-Team

Ihre Experten im Büro-Kaizen Blog (von links):

Patrick Kurz

Experte für modernes und agiles Arbeiten

Jürgen Kurz

Gründer und Erfinder von Büro-Kaizen

Marcel Miller

Experte für digitales Arbeiten mit Office 365

Auf der Suche nach mehr Tipps zum Thema Office 365? Auf dieser Übersichtsseite haben wir unsere wichtigsten Blogbeiträge zum Thema Office 365 für Sie zusammengestellt.

Das könnte Sie auch interessieren:

Hinterlassen Sie einen Kommentar

Ihre E-Mail Adresse wird nicht öffentlich angezeigt.


Schlagwörter: