Hallo,
M365 Datenschutz
Festzuhalten ist das eine Datenschutz-Folgenabschätzung (DSFA) beim Einsatz von Microsoft 365 durchgeführt werden muss.
Es wird empfohlen Anbieter außerhalb des Europäischen Wirtschaftsraums (EWR) und dem US-CLOUD-Act unterliegende Anbieter zu meiden, da sonst erhebliche Einschränkungen durch unvermeidbare Drittlandsübermittlungen personenbezogener Daten zu erwarten sind. Eine Datenschutzaufsichtsbehörde kann in letzter Konsequenz den Einsatz von Microsoft 365 untersagen, falls datenschutzrechtliche Bestimmungen verletzt werden.
Hinweis, wenn Sie M365 einsetzen ist eine Datenschutz-Folgeabschätzung zu den Risiken zwingend vorzunehmen.
Weitere Qiellen und Informationen zum Thema
Office 365: DSGVO-konformer Einsatz im Unternehmen | Wiki (robin-data.io)
Hintergrundfinformationen
Zitat: Robin Data
Das Problem dieser Übertragung liegt im Kern darin, dass die USA aus Sicht der EU ein sogenanntes Drittland ohne angemessene Datenschutzgarantien darstellt. Dieses Problem wurde dadurch verschärft, dass das bisher geltende Abkommen zwischen den USA und der EU, das sogenannte Privacy-Shield, im Jahr 2020 durch das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofes für ungültig erklärt wurde.
Zitat Robin Data
Das EuGH Urteil vom 16. Juli 2020, auch als „Schrems II“ bezeichnet, untersagt die Datenübermittlung die USA ebenfalls zu großen Teilen. Da Microsoft 365 ebenfalls personenbezogenen Daten in die USA übermittelt, ist Microsoft von diesem Urteil direkt betroffen. Zum aktuellen Stand hat sich bislang allerdings ausschließlich die Datenschutz-Aufsichtsbehörde in Berlin mit einem konkreten Verbot zur Datenübermittlung positioniert.
Bis zu diesem Zeitpunkt war das Privacy-Shield die gültige Rechtsgrundlage, um personenbezogene Daten zwischen den USA und der EU zu übertragen. Dieses Rechtsgrundlage ist nun erloschen und der Transfer – rein rechtlich gesehen – erstmal verboten bzw. nur unter bestimmten Bedingungen erlaubt.
Bedingungen:
- Die Nutzung von sogenannten EU-Standardverträgen
EU Standardvertragsklauseln (Version ab 07.06.2021)
Änderungen und Vorteile im Überblick:
Denn die Aktualisierung betrifft alle Unternehmen, die mit Dienstleistern außerhalb des Europäischen Wirtschaftsraums, wie bspw. Microsoft, Apple, Google oder Facebook arbeiten. Die neuen Version ist inhaltlich an die DSGVO angepasst, enthält wesentliche Änderungen in Bezug auf Auftragsverhältnisse und Auftragsverarbeitungsverträge, bezieht das EuGH-Urteil „Schrems II“ ein und ist modular aufgebaut. Die EU-Standardvertragsklauseln gelten seit dem 07. Juni 2021, dies bedeutet dass bereits abgeschlossenen Standardvertragsklauseln, mit einer Übergangsfrist von 18 Monaten aktualisiert werden müssen.
Im folgenden Beitrag erfahren Sie, was Unternehmen jetzt beachten und erledigen müssen. Außerdem erhalten Sie Antworten auf die häufigsten Fragen zu den neuen EU-Standardvertragsklauseln.
Wichtigste Informationen über die EU Standardvertragsklauseln
- am 07.06.2021 Veröffentlichung der neuen Version der EU Standardvertragsklauseln von der Europäischen Kommission
- Die Standardvertragsklauseln heißen im Englischen Standard Contractual Clauses und werden mit „SCC“ abgekürzt
- Der wesentliche Grund für die Aktualisierung der Standardvertragsklauseln ist die inhaltliche Anpassung an die DSGVO die 2018 in Kraft getreten ist
- Die Standardvertragsklauseln sind in der neuen Version modular aufgebaut und bilden mehr Szenarien für den Datentransfer zwischen Verantwortlichen, Auftragsverarbeitern und Unterauftragsverarbeitern ab
- Die EU Standardvertragsklauseln seit 07.06.2021 gültig, Vertragsklauseln die nach diesem Datum geschlossen wurden, müssen bereits die neuen Anforderungen enthalten, für alte Verträge gibt es eine Übergangsfrist von 18 Monaten
Weiterhin ist es möglich Folgende Arbeitsschritte durchzuführen:
- Der Aufbau von internen Unternehmensrichtlinien zur Nutzung von Office 365 innerhalb eines Unternehmens
- Die Einwilligung der Betroffenen als Zustimmung zum transatlantischen Datentransfer
Mit dem Einsatz von Microsoft Exchange Online fallen diese Optionen aber im Grunde schon weg, da sich die Unternehmen in Deutschland sich proaktiv Bestandteil des Lizenzvertrags zwischen dem Endkunden und Microsoft. Einige Aufsichtsbehörden im Datenschutz sind mit diesem Vorgehen aber nicht einverstanden.
Die DSGVO bietet immer auch die Möglichkeit, Verarbeitungen auf Basis einer Risikoabwägung durch eine Datenschutz-Folgeabschätzung zu begründen und entsprechende Maßnahmen umzusetzen, um das Datenschutzniveau anforderungsgemäß zu erhöhen.
Die Bewertung des Einsatzes von Office 365 im Rahmen einer DSFA ist immer ein Einzelfall und abhängig von Faktoren wie: Anzahl Mitarbeiter, Nutzung von Softwareprodukten oder den Verarbeitungszwecken.
Geben Sie an welche Daten in Office 365 verarbeitet werden? Welche Bestandteile werden eingesetzt. Welche Personen haben Zugriff auf welche Anwendungen, Erfassen sie die Arten von Daten die verarbeitet werden (Kunden-, Funktions-, Telemtrie, Diagnose oder Metadaten, usw.). Zu welchen Zweck werden die Daten bearbeitet. Zu welchen Zweck werden die Daten verarbeitet. Beschriebene sie in der Risikonalyse auch die Abhilfemaßnahmen (Datenschutzfolgeabschätzung erläutert von Robin Data)
Die rechtlichen Vorgaben zur DSFA sind im Artikel 35 DSGVO beschrieben. Die Durchführung der Datenschutzfolgeabschätzung (DSFA) sowie der implementierten Maßnahmen zur Reduzierung identifizierter Risiken sind Teil der Dokumentations- und Rechenschaftspflicht gemäß Artikel 5 Absatz 2 DSGVO.
Tipps zur Umsetzung der Datenschutzfolgeabschätzung
Quelle: In nur 6 Schritten zur Datenschutz-Folgenabschätzung | Wiki (robin-data.io)
Zur besseren Einordung:
Datenverarbeitung bei der Nutzung von Office 365 & M 365
Funktionsdaten
Bei der Nutzung von Office 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten. Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Service Office 365 sind. Microsoft wird hierbei gemäß den Online Service Terms (im Folgenden „OST“) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.
Inhaltsdaten
Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Office 365 erstellen. Diese Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Office 365. Eine Verwendung zu anderen Zwecken ist in den OTS unter „Verarbeitung von Kundendaten“ ausgeschlossen.
Diagnosedaten
Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Office 365 jedoch eine Vielzahl sog. Diagnosedaten. Diese enthalten eine von Office 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können.
Dabei werden unter anderem folgende Datenarten übermittelt. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung zu finden:
- Client-ID
- User-ID
- Dauer der Nutzung eines Office-Diensts
- Größe der bearbeiteten Datei
- Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments)
- Programmsprache
Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA nicht auszuschließen. Microsoft hat angegeben diese Informationen für folgende Zwecke zu verwenden:
- Bereitstellen und Verbessern des Dienstes,
- Aktualisierung des Dienstes
- und dessen Sicherheit.
Weiterhin bestätigte Microsoft die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung. Seit der Office ProPlus Version 1904 gibt es die Möglichkeit die Übermittlung von Diagnosedaten auf folgende Stufen einzustellen: (1) Optimal, (2) Erforderlich, (3) Keine.
Dabei werden jedoch auch bei der Einstellung „(3) Keine“ Diagnosedaten für essentielle Dienste übermittelt, wie etwa die Authentifizierung oder Lizenzprüfungen. Außerdem werden die notwendigen Daten für die Nutzung der Connected Experiences übermittelt.
Connected Experiences
Bei den „Connected Experiences“ handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder der Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei 14 Connected Experiences auch als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke nicht mehr greift. Die Verwendungszwecke von Microsoft als eigener Verantwortlicher umfassen bspw. die Nutzung zur Personalisierung, Werbung oder Produktentwicklung.
Office 365 bietet mittlerweile jedoch die Option die Connected Experiences, für die Microsoft eigener Verantwortlicher ist, zu deaktivieren. Die zu deaktivierenden Connected Experiences sind folgende:
- 3D Maps
- Insert online 3D Models
- Map Chart
- Office Store
- Insert Online Video
- Research
- Researcher
- Smart Lookup
- Insert Online Pictures
- LinkedIn Resume Assistant
- Weather Bar in Outlook
- PowerPoint QuickStarter
- Giving Feedback to Microsoft
- Suggest a Feature
—
Quelle: Datenschutz & Office 365: DSGVO-konformer Einsatz möglich? (dr-datenschutz.de)
Empfehlungen für den DSGVO-konformen Betrieb von Office 365
Abschließend sollen die notwendigen Maßnahmen und Einstellungen für einen datenschutzkonformen Betrieb von Office 365 zusammengefasst werden.
- Windows Einstellung:
Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren. - Programm zur Verbesserung der Benutzerfreundlichkeit:
Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden. - Office ProPlus Version:
Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden. - Beschränkung der Diagnosedaten:
Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden. - Connected Experiences:
Die unter Punkt 3.4 aufgelisteten Connected Experiences sind zu deaktivieren. - Abschluss eines Auftragsverarbeitungsvertrags:
Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden. - EU-Standardvertragsklauseln:
Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden. - Linked-In-Integration:
Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden. - Workplace Analytics, Activity Reports, Delve:
Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall von dem Datenschutzbeauftragten geprüft werden. Da es sich um die Auswertung von Leistungsdaten handelt, ist auch der Betriebsrat einzubeziehen. - Kunden-Lockbox:
Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher. - Office-Online und Office-Mobile:
Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt. - Durchführung einer Datenschutz-Folgenabschätzung:
Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Kontaktieren Sie dazu im besten Falle Ihren Datenschutzbeauftragten.
—
Microsoft Tipps und Quellen zum Thema DSGVO, Compliance und M365
Anzeigen der Datenschutzoptionen ind Microsoft Office: Anzeigen der Datenschutzoptionen in Microsoft Office – Microsoft-Support
Weitere Tipps und Tricks: DSGVO vereinfacht – Eine Anleitung für Ihr kleines Unternehmen – Microsoft 365 admin | Microsoft Learn
Speichern Sie personenbezogener Daten nur so lange wie nötig
Speichern Sie Mitarbeiterdaten so lange, wie das Arbeitsverhältnis besteht und für damit verbundene gesetzliche Verpflichtungen. Speichern Sie Kundendaten so lange, wie die Kundenbeziehung besteht und für damit verbundene gesetzliche Verpflichtungen (z. B. Steuerzwecke). Löschen Sie die Daten, wenn sie für die Zwecke, für die sie gesammelt wurden, nicht mehr benötigt werden.
Schützen Sie die personenbezogenen Daten, die Sie verarbeiten
Wenn Sie personenbezogene Daten in einem IT-System speichern, beschränken Sie den Zugriff auf die Dateien, die die Daten enthalten, z. B. durch ein sicheres Kennwort. Aktualisieren Sie regelmäßig die Sicherheitseinstellungen Ihres Systems.
Hinweis
Die DSGVO schreibt nicht die Verwendung eines bestimmten IT-Systems vor, aber sie verlangt, dass das System über das angemessene Maß an Sicherheit verfügt. Weitere Informationen finden Sie in DSGVO Artikel 32: Sicherheit der Verarbeitung.
Wenn Sie physische Dokumente mit personenbezogenen Daten speichern, stellen Sie sicher, dass nicht autorisierte Personen nicht darauf zugreifen können.
Wenn Sie sich dafür entscheiden, personenbezogene Daten in der Cloud zu speichern, z. B. mit Microsoft 365, stehen Ihnen Sicherheitsfeatures wie das Verwalten von Berechtigungen für Dateien und Ordner, zentralisierte sichere Speicherorte zum Speichern Ihrer Dateien (OneDrive- oder SharePoint-Dokumentbibliotheken) und die Datenverschlüsselung beim Senden oder Abrufen Ihrer Dateien zu Verfügung.
Hilfreiche Microsoft 365 Features
Sie können Compliancefeatures einrichten, um die vertraulichen Informationen Ihres Unternehmens zu schützen. Compliance-Manager kann Ihnen gleich bei den ersten Schritten helfen. Beispielsweise können Sie Richtlinien zur Verhinderung von Datenverlust erstellen und bereitstellen , die die DSGVO-Vorlage verwenden.
Dokumentieren Sie Ihre Datenverarbeitungsaktivitäten
Bereiten Sie ein kurzes Dokument vor, in dem Sie erläutern, welche personenbezogenen Daten Sie aufbewahren und aus welchen Gründen. Möglicherweise müssen Sie diese Dokumentation bei Bedarf der entsprechenden Aufsichtsbehörde zur Verfügung stellen.
Solche Dokumente sollten die folgenden Informationen enthalten.
Informationen | Beispiele |
---|---|
Zweck der Datenverarbeitung | Kund/innen über Sonderangebote wie Lieferung frei Haus benachrichtigen; Lieferant/innen bezahlen; Gehalt und Sozialversicherungsabdeckung für Mitarbeiter/innen |
Arten der personenbezogenen Daten | Kontaktdetails von Kund/innen; Kontaktdetails von Lieferant/innen; Mitarbeiterdaten |
Kategorien der betroffenen Personen | Mitarbeiter/innen; Kund/innen; Lieferant/innen |
Kategorien der Empfänger | Arbeitsbehörden; Steuerbehörden |
Speicherzeiträume | Personenbezogene Daten der Mitarbeiter/innen bis zum Ende des Arbeitsvertrags (und damit verbundene gesetzliche Verpflichtungen); personenbezogene Daten von Kund/innen bis zum Ende der Kunden-/Vertragsbeziehung |
Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten | IT-Systemlösungen werden regelmäßig aktualisiert; geschützter Speicherort; Zugriffssteuerung; Datenverschlüsselung; Datensicherung |
Ob personenbezogene Daten an Empfänger außerhalb der EU übermittelt werden | Verwendung eines Prozessors außerhalb der EU (z. B. Speicher in der Cloud); Datenspeicherort des Prozessors; vertragliche Verpflichtungen |
Die vertraglichen Verpflichtungen von Microsoft im Hinblick auf die DSGVO finden Sie im Microsoft-Online Services – Nachtrag zum Datenschutz, der die Datenschutz- und Sicherheitsverpflichtungen von Microsoft, die Datenverarbeitungsbedingungen und die DSGVO-Bestimmungen für von Microsoft gehostete Dienste, die Kund/innen im Rahmen eines Volumenlizenzvertrags abonnieren, enthält.
Sicherstellen, dass Ihre Subunternehmer die Regeln einhalten
Wenn Sie ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragen, engagieren Sie nur einen Dienstanbieter, der die Verarbeitung gemäß den Anforderungen der DSGVO garantiert (z. B. durch Sicherheitsmaßnahmen).
Beauftragen Sie eine Person mit der Überwachung des Schutzes personenbezogener Daten
Um personenbezogene Daten besser zu schützen, müssen Organisationen möglicherweise eine/n Datenschutzbeauftragte/nbenennen. Möglicherweise müssen Sie keine/n Datenschutzbeauftragte/n benennen, wenn die Verarbeitung personenbezogener Daten nicht zu den Kernaufgaben Ihres Unternehmens gehört oder wenn Sie ein kleines Unternehmen sind. Wenn Ihr Unternehmen beispielsweise nur Kundendaten für die Lieferung frei Haus sammelt, sollten Sie keine/n Datenschutzbeauftragte/n benötigen. Selbst wenn Sie eine/n Datenschutzbeauftragte/n einsetzen müssen, können diese Aufgaben eventuell einer Person Ihres Unternehmens zusätzlich zu ihren/seinen anderen Aufgaben zuweisen. Oder Sie könnten bei Bedarf externe Berater für diese Aufgabe einstellen.
Normalerweise müssen Sie keine Bewertung der Auswirkungen auf den Datenschutz durchführen. Dies müssen nur Unternehmen, die ein größeres Risiko für personenbezogene Daten darstellen (z. B. wenn sie eine umfangreiche Überwachung eines öffentlich zugänglichen Bereichs durchführen, wie Videoüberwachung).
Wenn Sie ein kleines Unternehmen sind, das Gehälter von Mitarbeiter/innen und eine Liste von Kund/innen verwaltet, müssen Sie in der Regel keine „Bewertung der Auswirkungen auf den Datenschutz“ durchführen.
Microsoft Trust Center: Überblick über die DSGVO
Prüflisten zu den Verantwortlichkeiten für die DSGVO – Microsoft GDPR | Microsoft Learn
Informationen der Telekom Deutschland GmbH zum Thema Datenschutz in Verbidnung von Microsoft365 und Office 365
Quelle: Datenspeicherung Microsoft 365 | Telekom Geschäftskunden
Comments are closed