Dürfen Firmen Office 365 nutzen?

Die Ansprüche der DSGVO werden von Microsoft nicht erfüllt. Dies wurde am 22. September in der Datenschutzkonferenz mit knapper Mehrheit beschlossen. Firmen, die weiterhin Microsoft Office 365 nutzen wollen, bewegen sich auf dünnem Eis. Über ein halbes Jahr lang wurde geprüft, inwieweit das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar ist. Das Ergebnis steht nun fest: Wer Programme wie Word, Excel, PowerPoint, Teams und OneDrive nutzt, handelt demnach nicht rechtskonform. Was das konkret für Dein Unternehmen bedeutet und welche Optionen Dir offenstehen wollen wir kurz evaluieren.

Zwei Lösungen, um Microsoft 365 DSGVO-konform zu nutzen (Verschlüsselung/datensparsame Konfiguration)

Nach dem jahrelangen Streit um den Datenschutz und eine DSGVO-konforme Nutzung von Microsofts Cloud-gestützten Bürosoftwarediensten Microsoft 365 und Office 365 zeichnen sich nun zwei gangbare Lösungen ab. Vorausgesetzt, Sie sind keine Schule und keine Behörde, denn da legen die Datenschützer noch deutlich strengere Messlatten an als bei Unternehmen. Microsoft hat zwar in den letzten Jahren stark nachgebessert, um die strengen Datenschutzanforderungen seiner europäischen Kunden zu erfüllen, aber das reichte der deutschen Datenschutzkonferenz im November 2022 immer noch nicht aus. Als ultimative Lösung empfiehlt sich daher, einfach ein zusätzliches Verschlüsselungs-Gateway zwischen Ihrem Client und der Microsoft-Cloud zu installieren. Dann funktioniert alles DSGVO-konform und wie gewohnt, aber niemand kann Ihre Daten einsehen, weder Microsoft noch die US-Behörden. Alternativ können Sie Microsoft 365 auch datensparsamer und damit deutlich risikoärmer konfigurieren.

• Um zu erklären, warum der Streit so lange andauert und die Lösung nicht selbstverständlich ist, muss im Folgenden leider zum Teil etwas weiter ausgeholt werden. Doch nur so lässt sich das jahrelange Gerangel nachvollziehen.
• Interessierte können sich die dabei jeweils angeführten Hintergrundinformationen per Mausklick aufklappen. Schnellleser können hingegen gleich zu den vorgeschlagenen Lösungen springen – dem sicheren Verschlüsselungs-Gateway einerseits, oder unserer Anleitung für eine datensparsame und dadurch deutlich DSGVO-konformere Konfiguration von Microsoft 365.

Lösungen für einen DSGVO-konformen Einsatz von Microsoft 365: Verschlüsselung oder datensparsame Konfiguration

Die europäischen und deutschen Datenschutz-Aufsichtsbehörden haben bislang weder ein konkretes, einheitliches Verbot von Microsoft Office 365 ausgesprochen, noch konkrete Empfehlung für einen datenschutzkonformen Einsatz vorgelegt. Die DSK hat zudem ihr abschlägiges Urteil speziell für den Einsatz im öffentlichen Raum (Schulen und Behörden) ausgesprochen und dabei weder die neue EU-Datengrenze (EU Data Boundary) noch zusätzliche Schutzmaßnahmen berücksichtigt. Das Urteil der DSK wurde zudem mit nur einer Stimme Mehrheit getroffen. Dementsprechend groß ist nicht nur die Kritik von außenstehenden Experten, sondern auch aus den eigenen Reihen. Denn zur Lösung des Problems existieren bereits ergänzende Schutzmaßnahmen.

• Auch der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber ist der Meinung, dass zusätzliche Schutzvorkehrungen wie eine Mikrovirtualisierung oder zwischengeschaltete Filter-Proxies eine DSGVO-konforme Nutzung ermöglichen können.
• Dabei wird die Datenübertragung (Nachrichten, Daten, Dokumente) zwischen Client und Microsoft 365-Cloud durch ein Verschlüsselungs-Gateway auch für Microsoft selbst (und die US-Behörden) unlesbar verschlüsselt. Alle wichtigen Cloud-gestützten Microsoft 365-Funktionalitäten können dann aber dennoch innerhalb der Cloud DSGVO-konform genutzt werden.
• Die andere Lösung folgt dem Prinzip der Datensparsamkeit zur Risikominimierung. Dabei werden die Einstellungen von Microsoft 365 (welche Services was dürfen) so konfiguriert, dass die problematischsten Microsoft-Dienste technisch eingeschränkt werden und zum Beispiel keine Nutzerdaten mehr in die USA versenden. Dies hat dann jedoch einige Einschränkungen bei manchen Cloud-gestützten Anwendungen und Diensten zur Folge. Welche Einstellungen Sie hierfür konkret vornehmen müssen, zeigt Ihnen die folgende Anleitung. Gerne helfen wir bei der Einrichtung.
• Hinweis: Philipp Nägele Geschäftsführer von DIP-Datenschutz meint, dass Microsoft 365 bei richtiger Nutzung DSGVO-konform genutzt werden kann. Microsofts EU Data Boundary und technische Sicherheitsmaßnahmen sowie das neue Data Privacy Framework schaffen eine starke Grundlage für die rechtskonforme Nutzung von Microsoft 365

Anleitung: Die Datenschutzeinstellungen in Microsoft 365 DSGVO-konform(er) konfigurieren

Die neu eingeführten Datenschutzkontrollen und -einstellungen bei Microsoft 365 und Office 365 lassen sich nun wie folgt ändern, um eine (möglichst) DSGVO-konforme Konfiguration zu erreichen. Ob dies allein ohne zusätzliche Verschlüsselung ausreicht, wurde von den zuständigen Behörden allerdings noch nicht abschließend geklärt und sollte daher im Rahmen einer Datenschutz-Folgeabschätzung geklärt werden. Sie erreichen damit jedoch auf jeden Fall zumindest eine erhebliche und vermutlich auch ausreichende Risikominimierung.

• Öffnen Sie eine Microsoft 365 Anwendung, zum Beispiel Outlook, Teams, OneDrive, Word, Excel, PowerPoint oder OneNote. Klicken Sie dann beispielsweise in Outlook auf die Registerkarte → Datei und dann im Menü links auf → Office-Konto. Klicken Sie dann auf der rechten Bildschirmhälfte unterhalb von „Kontodatenschutz“ auf → Einstellungen verwalten. In dem anschließenden Dialogfenster „Datenschutzeinstellungen“ können Sie nun folgende Bereiche einstellen und deaktivieren.
• Die erforderlichen Diagnosedaten in Microsoft Office 365: Dies sind die Mindestdaten, die erforderlich sind, damit Microsoft sicher und auf dem neuesten Stand bleibt und erwartungsgemäß funktioniert. Das sind zum Beispiel Informationen zur installierten Programmversion für die laufenden Updates oder Details zu Programmabstürzen oder anderen Problemen. Hier ist keine Anpassung möglich und erforderlich.
• Die optionalen Diagnosedaten in Microsoft Office 365: Die optionalen Diagnosedaten helfen Microsoft bei der Verbesserung der Produkte, Funktionen und Angebote. Diese werden in vier verschiedenen Kategorien erfasst: Softwaresetup & Bestand, Produkt- & Dienstnutzung, Produkt- & Dienstleistung sowie Gerätekonnektivität & -konfiguration. Deaktivieren Sie hier das Häkchen in dem Kontrollkästchen bei → Zusätzliche Diagnose- und Verwendungsdaten an Microsoft senden.
• Die verbundenen Erfahrungen in Microsoft Office 365: Die neuen Datenschutzkontrolleinstellungen in Office 365 umfassen neben den Diagnosedaten auch eine weitere Kategorie, die sogenannten „verbundenen Dienste“ oder auch „verbundenen Erfahrungen“ genannt. Diese nutzen cloudbasierte Funktionen, um den Benutzern erweiterte und auch personalisierte Features zur Verfügung zu stellen. Dabei gibt es verbundene Erfahrungen, die Ihre Inhalte analysieren, sowie verbundene Dienste, die Onlineinhalte herunterladen. Der Anwendungsbereich hierfür reicht von der Zusammenarbeit an einem gemeinsamen OneDrive-Dokument bis zu Designempfehlungen in PowerPoint, Excel und Word oder das Herunterladen von Onlineinhalten wie Vorlagen, 3D-Modellen oder Referenzmaterialien. All diese verbundenen Dienste können nun je nach Wunsch einzeln oder alle zusammen aktiviert oder deaktiviert werden. Deaktivieren Sie → alle verbundenen Erfahrungen. Dadurch sind diese Dienste dann allerdings auch nicht mehr verfügbar (z.B. die integrierte Übersetzungsfunktion).
• Personalisierte Angebote: Hierfür nutzt Microsoft lediglich die Daten, wie oft Sie welche Office-Programme nutzen. Der Inhalt der Dateien wird dabei nicht erfasst. Für eine weitere Risikominimierung können Sie aber auch das Übersenden dieser Daten deaktivieren und damit blockieren.

Für Administratoren: Empfehlungen für den DSGVO-konformen Betrieb von Microsoft 365

Die DSGVO-konformen Richtlinien- und Datenschutzkontrolleinstellungen hat Microsoft zuerst nur in der Office 365 ProPlus ab der Version 1904 eingeführt und dann sukzessive auf weitere Clients ausgedehnt, wie zum Beispiel Word, Outlook, Teams, Office für Mac etc. Auch die mobilen Apps sollen „zügig“ folgen.

• Wenn Sie in Ihrem Unternehmen jedoch Microsoft 365 mit Geschäftskonten für die einzelnen Mitarbeiter nutzen (das gilt auch für Schul- und Unikonten), können die einzelnen Benutzer die Telemetrie- und Diagnosedatenebene für ihre Geräte nicht selbstständig ändern.
• Diese Einstellungen muss dann der zuständige Administrator zentral im Trust-Center vornehmen
• MS 365 Feature „Customer Key“: Hierbei geht es um die Verschlüsselung der Daten mit eigenem Key/Schlüssel. Das war bei der Implementierung vor 2,5 Jahren nicht so strait forward. Bei der Umsetzung gabs da einige Stolpersteine. Ich hatte die Hoffnung, dass ein DSGVO konformer Einsatz mit Customer Key möglich wäre. Bei der Verschlüsselung geht es um Data At Rest, nicht Data In transit.

Datenschutzempfehlungen für den DSGVO-konformen Einsatz von Microsoft 365

• Update auf aktuelle Programmversionen, die jünger sind als Office 365 ProPlus Version 1904 (also keine veralteten Softwareversionen verwenden).
• Übermittlung der Telemetriedaten und der Diagnosedaten deaktivieren (auf → sicher und → keine/weder noch); das gilt auch für Windows 10 Enterprise (auf → sicher stellen).
• Deaktivieren Sie die verbundenen Dienste bzw. Erfahrungen.
• Deaktivieren Sie die Datenübermittlung der „Programme zur Verbesserung der Kundenerfahrung“ in Microsoft 365 (Customer Experience Improvement Program; CEIP).
• Die LinkedIn-Integration muss deaktiviert werden (Verbinden der Mitarbeiter-Accounts).
• Die Aktivitäten der einzelnen Benutzer dürfen nicht mit der Zeitachse in Windows 10 oder Win11 synchronisiert werden.
• Verschlüsselung der Dateien, am besten mit einem unabhängigen Verschlüsselungs-Gateway, mindestens jedoch mit einer Kunden-Lockbox von Microsoft oder der Option „Premium-SKU“ und einem Hardware Security Module (HSM).
• Die Web-Versionen und mobilen Apps von Microsoft 365 sollten für die Bearbeitung personenbezogener Daten vermieden und stattdessen die Desktop-Programmversionen genutzt werden (zum Beispiel von Outlook, Word, Excel, Teams etc.), da die DSGVO-konformen Datenschutzverbesserungen in den Web- und mobilen Apps erst noch nachgezogen werden müssen.
• Office-365-Anwendungen, die Leistungsdaten auswerten (z. B. Delve, Activity Reports und Workplace Analytics), sollten nicht verwendet oder zumindest von einem Datenschutzbeauftragten geprüft sowie vom Betriebsrat genehmigt werden. Bei den Activity Reports, welche Mitarbeiter welche Dienste wie häufig nutzen, sollten die Benutzerdetails ausgeblendet werden.
• Deaktivieren der Funktionen → Senden von persönlichen Informationen an Microsoft, um Office zu verbessern sowie → Office die Verbindung mit Microsoft-Onlinediensten erlauben, um für Ihren Standort und Ihre Voreinstellungen relevante Funktionen bereitzustellen.
• Die Funktion zum → Teilen von Links gegenüber jeden deaktivieren und stattdessen → Neue und vorhandene Gäste auswählen.
• Aktivierung der Ende-zu-Ende-Verschlüsselung bei 1:1-VoIP-Anrufen in der Teams-App.
• Nutzung der Option „EU Data Boundary for the Microsoft Cloud“ und manuelle Auswahl der genutzten Rechenzentren auf Standorte in der EU.
• Abschluss der in den Online Service Terms (OST) enthaltenen EU-Standardvertragsklauseln und des in den OST ebenfalls enthaltenen Auftragsverarbeitungsvertrags.
• Eine abschließende eigenständige Datenschutz-Folgenabschätzung stellt dann den DSGVO-konformen Einsatz von Microsoft 365 oder Office 365 in Ihrem Unternehmen sicher

Am besten Sie verfassen ein Dokument mit Ihrem Anwendungsfall und lassen es von den Landesdatenschutzbeauftragten deines Bundeslandes abnicken. Gerne unterstützen wir Sie dabei.

Ihr Kirchner Datentechnik Team

– Mit Sicherheit IT, die zu Ihnen passt –

[Bild: gct.de/microsoft.com]