Stellungnahme Einsatz Microsoft 365
Anna Maria Rabenbauer
Der Einsatz von MS 365 ist weiterhin sehr umstritten. Im Herbst letzten Jahres hat sich die DSK (Datenschutzkonferenz) dazu entschieden, den Einsatz von MS 365 als nicht datenschutzkonform einzustufen. Diese Entscheidung fiel jedoch sehr knapp mit neun zu acht Stimmen aus. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus. Diese Behörden veröffentlichten zudem eine eigene Pressemitteilung am 2. Oktober 2020. In dieser stimmt man zwar damit überein, dass man bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehe. Allerdings wäre die Gesamtbewertung der DSK zu undifferenziert, weswegen man diese nicht teilen könne. Zudem wurden alte Vertragsdokumente als Grundlage der Prüfung herangezogen, die in der Zwischenzeit bereits verbessert wurden. Man kritisiert ebenfalls, dass Microsoft nicht angehört wurde, was sich in einem rechtsstaatlichen Verfahren jedoch gehöre.
In der Zwischenzeit hat Microsoft auch zusätzliche Maßnahmen im Sinne der Entscheidung des Europäischen Gerichtshofes (Privacy Shield) umgesetzt. Die Vertragsklauseln wurden daher angepasst und enthalten nun Regelungen über
- den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
- die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
Wir sehen zwar den Einsatz von MS 365 auch nach den angepassten Vertragsklauseln derzeit als nicht vollständig datenschutzkonform an, kommen aber auch bei unserer Risikobewertung zu dem Entschluss, dass ein Einsatz in vielen Bereichen möglich sein kann. Diese Risikobewertung sollte auch zwingend von den Unternehmen durchgeführt werden, die den Einsatz von MS 365 planen (anhand einer Datenschutzfolgenabschätzung). Des Weiteren empfehlen wir nachfolgende Einstellungen/Handlungen zu tätigen:
Generell:
Programme zur Verbesserung der Benutzerfreundlichkeit, Connected Experiences sollten deaktiviert werden, die Einstellungen u. a. bei der Beschränkung der Diagnosedaten sollten auf die geringste Stufe gesetzt werden und Maßnahmen wie der Abschluss eines Auftragsverarbeitungsvertrages, Abschluss von Standardvertragsklauseln und die Durchführung einer eigenen Datenschutzfolgeabschätzung sollte vorgenommen werden. Im Detail:
Programm zur Verbesserung der Benutzerfreundlichkeit
Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.
Beschränkung der Diagnosedaten
Die Übermittlung der Diagnosedaten muss auf die geringste Stufe -> „Keine“, eingestellt werden.
Connected Experiences
Folgende Connected Experiences sind zu deaktivieren:
- 3D Maps
- Insert Online 3D Models
- Map Chart
- Office Store
- Insert Online Video
- Researcher
- Smart Lookup
- Insert Online Pictures
- LinkedIn Resume Assistant
- Weather Bar in Outlook
- PowerPoint QuickStarter
- Giving Feedback to Microsoft
- Suggest a Feature
Abschluss eines Auftragsverarbeitungsvertrags
Der entsprechende Vertrag ist in den OST (Online Service Terms) enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.
EU-Standardvertragsklauseln
Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden. Dieser Schritt ist seit dem EuGH Urteil vom 17.07.2020 (Privacy Shield) unumgänglich.
Linked-In-Integration
Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.
Workplace Analytics, Activity Reports, Delve
Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall geprüft werden, da es sich um die Auswertung von Leistungsdaten handelt (ggf. Einbezug Betriebsrat!)
Office Online und Office Mobile
Die Verwendung der Office-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.
Verschlüsselung
Es sollte auch in Erwägung gezogen werden, Verschlüsselungssysteme einzuführen, um das „nach Hause/USA-Funken“ zu unterbinden. Eine mögliche Lösung könnte das eperi Gateway sein. Dies muss aber unternehmensspezifisch diskutiert/geprüft werden.
Durchführung einer Datenschutz-Folgenabschätzung
Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.