Modern Workplace und DSGVO: Wie Sie Office 365 datenschutzkonform einsetzen

Modern Workplace und DSGVO: Wie Sie Office 365 datenschutzkonform einsetzen

Microsoft Office 365 hält derzeit Einzug in immer mehr Unternehmen. Was ist bei der Einführung des Cloud-basierten Angebots aus Datenschutzsicht zu beachten? Wir geben Ihnen in diesem Beitrag einen kompakten Überblick darüber, wie Sie bei der Nutzung von Office 365 die Vorgaben der Datenschutzgrundverordnung (DSGVO) einhalten. 

Microsoft verarbeitet bei der Bereitstellung von Office 365 eine Vielzahl von Daten. Diese Funktions- und Diagnosedaten helfen bei der Optimierung der Services und sind teilweise notwendig, um die einzelnen Anwendungen überhaupt nutzen zu können. Häufig lassen sich die Daten allerdings eindeutig einer bestimmten Person zuordnen. Damit unterliegen sie wie andere personenbezogene Daten den Bestimmungen der DSGVO. 

Unternehmen, die über einen Wechsel zu Office 365 nachdenken, sollten daher nicht nur technische Aspekte betrachten, sondern sich von Anfang auch mit den datenschutzrechtlichen Implikationen auseinandersetzen. Dabei ist es wichtig, alle Verantwortlichen frühzeitig an einen Tisch zu bringen. Geschäftsführung, Datenschutzbeauftragte, IT- und Prozessverantwortliche sowie Vertreter des Betriebsrats sollten gemeinsam ein Konzept zur Nutzung von Office 365 entwickeln, bevor Anwendern die ersten Dienste zur Verfügung gestellt werden.  

Ein stufenweiser Rollout ist dabei unbedingt zu empfehlen. Unternehmen sollten zunächst nur die Dienste einsetzen, die sie für ihre Geschäftsprozesse wirklich benötigen. Dadurch behalten sie leichter den Überblick über mögliche Datenschutzrisiken und öffnen nicht gleich am Anfang Türen, die sich später nicht mehr schließen lassen. 

Nutzungskonzept entwickeln und dokumentieren 

Der konkrete Planungsprozess beginnt mit der Dokumentation der Infrastruktur und der genutzten Dienste – inklusive der jeweiligen Konfigurationen. So müssen Unternehmen bereits bei der Einrichtung ihres Office 365-Tenants entscheiden, in welcher geografischen Cloud-Region ihre Daten gespeichert werden sollen. Diese Entscheidung kann zu einem späteren Zeitpunkt nur mit erheblichem Aufwand wieder geändert werden. Gerade mit Blick auf die DSGVO liegt es nahe, einen Cloud-Standort innerhalb Europas auszuwählen. Compliance-Anforderungen können sogar eine Speicherung in einem deutschen Rechenzentrum vorschreiben. Wenn bestimmte Daten außerhalb Europas gespeichert werden sollen  etwa um den Datenzugriff für internationale Standorte zu beschleunigen  ist in jedem Fall eine gesonderte datenschutzrechtliche Prüfung durchzuführen und zu dokumentieren. 

Für einen datenschutzkonformen Einsatz von Office 365 müssen zudem einige weitere Aspekte im Vorfeld geklärt werden. Dazu gehört unter anderem das Rollen- und Berechtigungskonzept. Dabei muss definiert werden, welche Personen welche Funktionen bei der Verwaltung der Office 365-Umgebung übernehmen. Bei Rollen, die direkten Zugang zu Mitarbeiterdaten haben, kann es erforderlich sein, den Betriebsrat und/oder Datenschutzbeauftragten als zusätzlichen Kontrollbenutzer einzurichten.     

Auch die Klassifizierung der verarbeiteten Daten sollte im Vorfeld festgelegt werden. Viele Unternehmen verfügen dazu bereits über ein Konzept, das sich auf die Office 365-Anwendungen übertragen lässt. Microsoft bietet etwa mit Azure Information Protection ein leistungsfähiges Tool, um Daten automatisch anhand ihres Vertraulichkeitsgrads zu klassifizieren. Wichtig ist, dass es einheitliche Regelungen für den Umgang mit schützenswerten Daten gibt – unabhängig davon, an welchem Ort und mit welchen Anwendungen diese verarbeitet werden.  

Jede Verarbeitungstätigkeit muss geprüft und geschützt werden 

Grundsätzlich müssen die vorgeschriebenen Datenschutzanforderungen der DSGVO für jede einzelne Verarbeitungstätigkeit in Office 365 umgesetzt und eingehalten werdenUnternehmen sind verpflichtet, die Rechtmäßigkeit der Verarbeitung zu prüfen ist und alle relevanten Angaben im Verzeichnis der Verarbeitungstätigkeiten festzuhalten. Dazu gehören unter anderem der Zweck der Datenverarbeitung, die betroffenen Personen, die Kategorien von personenbezogenen Daten und die Personen, die auf diese Daten Zugriff haben. 

Zudem müssen die technischen und organisatorischen Maßnahmen zum Schutz der Verarbeitungstätigkeit dokumentiert werden. Welche Verschlüsselungstechnologie kommt zum Einsatz? Wo werden Sicherungskopien der Office 365-Daten gespeichert – im eigenen Rechenzentrum oder bei einem anderen Cloud-Anbieter? Wie funktioniert die Wiederherstellung nach einer technischen Störung? Diese und weitere Fragen müssen beantwortet werden. 

Datenschutzfolgeabschätzung und Exit-Strategie 

Auch eine Datenschutzfolgeabschätzung und eine gesonderte Schulung der Mitarbeiter können notwendig sein. Das gilt insbesondere für alle Prozesse in Office 365, bei denen sehr sensible Daten verarbeitet werden – wie etwa Activity Reports von MitarbeiternUm den Beschäftigtendatenschutz und die Beteiligung des Betriebsrats von Anfang im Prozess zu verankern, empfehlen Experten, eine entsprechende Betriebsvereinbarung zu schließen.   

Nicht zuletzt sollten sich Unternehmen schon bei der Einführung von Office 365 Gedanken über eine mögliche Exit-Strategie machen. Wie schnell könnten die Daten aus der Microsoft-Cloud zu einem anderen Cloud-Anbieter oder zurück ins eigene Rechenzentrum migriert werden? Im kirchlichen Sektor wird dafür beispielsweise ein Zeitfenster von maximal 90 Tagen gefordert – ähnliche Vorgaben gibt es in anderen Branchen wie etwa der Automobilindustrie. 

Empfehlungen für den DSGVO-konformen Einsatz von Office 365 

In den letzten Jahren haben Datenschutzexperten die Funktionen und Dienste von Office 365 sehr genau unter die Lupe genommenHervorzuheben ist hier vor allem die Arbeit des Niederländischen Ministeriums für Justiz und Sicherheit. Die Experten aus den Niederlanden kamen zunächst zum Ergebnis, dass Office 365 nicht konform mit dem geltenden Datenschutzrecht ist. Nach einigen Nachbesserungen durch Microsoft hat das Ministerium seine Einschätzung aktualisiert und stuft den Einsatz von Office 365 ProPlus ab Version 1904 als zulässig ein. Allerdings sind bei der Konfiguration und Implementierung einige Punkte zu beachten: 

  • Bei Einsatz eines Windows Betriebssystems ist die Enterprise Version als zwingend erforderlich zu sehen. Die Übermittlung von Telemetrie- und Diagnosedaten muss auf „sicher“ gestellt werden. Zudem dürfen Nutzerdaten nicht mit der Zeitachsenfunktion von Windows 10 synchronisiert werden. (Siehe auch Windows 10-Prüfschema der DSK vom November 2019.) 
  • Das „Programm zur Verbesserung der Benutzerfreundlichkeit“ von Office 365 Anwendungen muss deaktiviert werden. 
  • Um Diagnosedaten maximal zu beschränken, sind diese auf „keine“ zu setzen. 
  • Ebenfalls deaktiviert werden müssen die ConnectedExperiences“ (u.a. 3D-Maps, Insert online 3D Models, Map Chart …) sowie die Funktion „Customer Experience“. 
  • Die Integration mit LinkedIn ist nicht datenschutzkonform, da Adressen des Benutzers wie bei WhatsApp automatisch synchronisiert werden. 
  • Eher kritisch beurteilt werden auch die Nutzerstatistiken in Office 365. Workplace Analytics ist nicht mit der DSGVO vereinbarActivity Reports müssen über ein rollenbasiertes Konzept im Admin-Center geregelt werdenDelve muss zentral deaktiviert werden, wenn die Zugriffsrechte nicht konsequent geregelt sind. 
  • Die Online-Anwendungen von Office 365 und die mobilen Office-Apps sind zurzeit nicht datenschutzkonform nutzbar. 
  • Bei der Bearbeitung sehr sensibler Daten sollten Unternehmen über den Einsatz der Customer Lockbox nachdenken. Microsoft stellt damit einen geschützten Bereich mit kundenseitiger Verschlüsselung zur Verfügung. 

Die Entwicklungen der letzten Jahre zeigen, dass Microsoft das Thema Datenschutz sehr ernst nimmt. Erst im Januar wurden neue Microsoft Online Services Terms (OST) für Office 365 veröffentlicht, die mehr Datenschutztransparenz für kommerzielle Cloud-Kunden versprechen. Mit jedem neuen Release und jeder neuen Funktion müssen aber auch die datenschutzrechtlichen Aspekte neu bewertet werden. Unternehmen sollten daher bei der Implementierung von Office 365 unbedingt mit Partnern zusammenarbeiten, die neben Kompetenz im Microsoft-Umfeld auch ein ganzheitliches Verständnis für Datenschutz und Informationssicherheit mitbringen. 

Benötigen sie weitere Informationen zum Thema Datenschutz und DSGVO in Verbindung mit Office 365? Kontaktieren Sie uns gerne!

Ihr Ansprechpartner bei VINTIN

Patric Rudtke

Manager Team Datenschutz

+49 (0)9721 675 94 10

kontakt@vintin.de

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.