Microsoft 365 - Prüfungsschritte vor dem Einsatz
Bei der Verwendung von Microsoft 365 erhebt die Microsoft Cloud-Plattform ebenfalls mittels der einzelnen Anwendungen diagnostische Telemetriedaten sowie Daten aus den "Connected Services" (Rechtschreibprüfung, Übersetzungsmodul, etc.) die an Microsoft übertragen werden. Diese werden durch Microsoft selbst und durch Dritte weiterverarbeitet.
Die Datenschutzkonferenz (DSK) hat in einer Stellungnahme aus dem November 2022 zur Verwendung von Microsoft 365 festgestellt, dass Microsoft 365 derzeit nicht den Anforderungen der DSGVO gerecht werde. Insbesondere bemängelte sie erneut die fehlende Transparenz der einzelnen Datenverarbeitungen und die potenziellen Zugriffsrechte bei behördlichen Anforderungen aus den USA.
Microsoft hatte im Anschluss an Gespräch mit der DSK bereits einige Anpassungen an den Datenverarbeitungen bei Microsoft 365 vorgenommen. So hat das Unternehmen zum Beispiel die Verarbeitung zu eigenen Zwecken dahin konkretisiert, dass sie nur zu ausgewählten Geschäftstätigkeiten erfolge. Auch hatte Microsoft weitere Sicherheitsvorkehrungen getroffen, damit ein behördlicher Zugriff aus den USA auf durch Microsoft verarbeitete personenbezogene Daten in der EU nur unter erschwersten Voraussetzungen möglich ist.
Nicht zuletzt mit Blick auf die vorgenannte Stellungnahme sind bei der Verwendung von Microsoft 365 einige wichtige Punkte zu beachten, um weitestgehend datenschutzkonform zu handeln. Die nachfolgende Checkliste lässt sich grundsätzlich auch auf die Verwendung von anderen umfangreicheren Software-Anwendungen übertragen, da sich die Problematiken häufig ähneln. Einige Maßnahmen überschneiden sich dabei mit den Vorgaben der Aufsichtsbehörden, werden jedoch um praxisnahe Bezüge ergänzt:
1. Datenschutzfolgenabschätzung: Im Rahmen einer Datenschutzfolgenabschätzung sollten bestehende oder mögliche Risiken, die sich für das Unternehmen aus der Nutzung von Microsoft-Anwendungen ergeben können, identifiziert und dokumentiert werden.
2. Besonderheiten bei technischer Ausgestaltung: An den Microsoft-Produkten müssen organisatorische und technische Anpassungen vorgenommen und in der Datenschutzfolgenabschätzung dokumentiert werden. Dazu zählen unter anderem Updates auf aktuellere Versionen mit datenschutzkonformen Einstellungsmöglichkeiten oder die Einführung zusätzlicher Verschlüsselung. Auch die Entscheidung gegen die Durchführung einer Datenschutzfolgenabschätzung oder einzelner Maßnahmen muss begründet und dokumentiert werden.
3. Vertragsgestaltung: Verträge mit Microsoft müssen überprüft und gegebenenfalls neu verhandelt werden. Denn die Modifikationen seitens Microsoft sind schließlich auch das Resultat der Verhandlungen zwischen der DSK und Microsoft. Die Erfolgsaussichten hierfür sind naturgemäß auch abhängig von der Größe des jeweiligen Unternehmens. Insbesondere die kritische Haltung der Aufsichtsbehörden liefert aber gewichtige Argumente für eine etwaige Nachverhandlung.
4. Änderungen bei Datenschutzverträgen: Die Verantwortlichkeiten in Bezug auf den Datenschutz müssen geprüft und gegebenenfalls festgelegt werden. Microsoft hatte zunächst den Standpunkt vertreten, grundsätzlich lediglich als Auftragsverarbeiter tätig zu werden. In dem damaligen Statement vom 18. November 2019 erklärte das Unternehmen, zumindest für einen Teil der Verarbeitungstätigkeiten unmittelbarer datenschutzrechtlicher Verantwortlicher zu sein.
In der aktuellen Datenschutzvereinbarung von Microsoft im Januar 2023 finden sich nun Ausführungen zur eigenen Verantwortlichkeit von Microsoft. Das Unternehmen benennt dabei den Begriff der (zugegeben etwas unscharfen) erforderlichen Geschäftstätigkeiten auf konkrete Zwecke. Für diejenigen Tätigkeiten, die als Auftragsverarbeitung durchgeführt werden, ist in jedem Fall der Abschluss eines entsprechenden Vertrages erforderlich.
Lesetipp: Ab 1. Januar 2023 - Microsoft zieht virtuelle EU-Datengrenze
5. Drittstaatentransfer: Die Übermittlung von Daten in Drittländer außerhalb der EU (insbesondere die USA) muss datenschutzrechtlichen Anforderungen genügen. Microsoft bietet zwar den Abschluss der EU-Standard-Vertragsklauseln an, die eine zulässige Übermittlung gewährleisten würden.
Allerdings besteht hier seit Aufhebung des Privacy Shield Unsicherheit über das angemessene Datenschutzniveau in den USA, sodass grundsätzlich zusätzliche Garantien erforderlich sind. Dies gilt zumindest bis die neue Vereinbarung zwischen der EU und den USA betreffend den Drittlandtransfer von Daten in die USA ( das so genannte Trans-Atlantic Data Privacy Framework) in Kraft tritt.
Lesetipp: Rückschlag für Datenabkommen - Ausschuss empfiehlt Ablehnung des Data Privacy Framwork
6. Betrieblicher Datenschutz: Mitarbeiter müssen in den Datenschutzhinweisen auf die Auswirkungen der Nutzung von Microsoft-Produkten hingewiesen werden. Interne Datenschutzrichtlinien müssen angepasst, Mitarbeiter gegebenenfalls entsprechend geschult werden.
7. Betriebsvereinbarungen: Sofern ein Betriebsrat vorhanden ist, muss der Einsatz von Microsoft-Produkten mit diesem abgestimmt und eine entsprechende Betriebsvereinbarung abgeschlossen werden. Kann die Datenübertragung durch bestimmte Dienste nicht deaktiviert werden, müssen entsprechende Dienstanweisungen erlassen werden, die deren Nutzung verbieten.
8. Schutz von Geschäftsgeheimnissen: Unternehmen sollten sich ferner beim "Upgrade" auf Microsoft 365 auch mit dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) befassen. Microsoft bietet Unternehmen diverse Funktionen, die im Rahmen eines Schutzkonzeptes für Geschäftsgeheimnisse hilfreich sein können. So lässt sich insbesondere die Kategorisierung nach der jeweiligen Vertraulichkeit über einzelne Dienste ermöglichen.
Ausblick zum Datenschutz in Microsoft 365
Unternehmen sollten nun tätig werden, um einen weitestgehend datenschutzkonformen Einsatz von Softwareanwendungen zu gewährleisten. Nur so kann den Aufsichtsbehörden gegenüber nachgewiesen werden, dass eine ausreichende Auseinandersetzung mit dem Thema stattfand und man entsprechende Lösungen gesucht und umgesetzt hat. (bw)