Datenschutzfreundliche Einstellungen in Microsoft 365
02.05.2024 | Modern Work
Microsoft 365 gehört in vielen Unternehmen zum Tagesgeschäft. E-Mails werden mit Outlook versendet. Texte und geschäftliche Korrespondenz findet in Word statt. Und das Synonym für professionelle Präsentationen ist "PowerPoint". Doch wussten Sie, dass bei der Nutzung dieser Anwendungen eine große Menge Daten verarbeitet werden?
Die Rede ist hier nicht von Dokumenten, die auf Ihrer Festplatte landen. Vielmehr geht es um die Daten, die Microsoft selbst verarbeitet. Denn durch seinen Charakter als Cloud-Dienst gibt Microsoft 365 Anlass zu einer genaueren datenschutzrechtlichen Betrachtung.
Datenschutz in Deutschland
Die Meinung vieler Datenschützer in Deutschland steht fest: Microsoft 365 ist nicht datenschutzkonform einsetzbar.
Insbesondere die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ist dieser Ansicht. Einer der Gründe ist die fehlende Transparenz, welche Daten in Redmond verarbeitet werden. Auf der anderen Seite verarbeitet Microsoft Kundendaten zu eigenen Zwecken ohne vertragliche Grundlage.
Ein generelles Verbot, den Cloud-Dienst einzusetzen, sprach bislang noch keine Aufsichtsbehörde aus. Verantwortliche Unternehmen sind jedoch weiterhin angehalten, risikominimierende Maßnahmen sowie datenschutzfreundliche Voreinstellungen vorzunehmen, wenn sie Microsoft 365 einsetzen möchten.
Welche Daten fallen bei der Nutzung von Microsoft 365 an?
Durch die vielseitigen Nutzungsmöglichkeiten von Microsoft 365 fallen unterschiedliche Daten im Unternehmen an: Abrechnungen, Finanzreportings, Provisionszahlungen an Mitarbeiter oder gar Informationen über Sicherheitsmaßnahmen.
Um herauszufinden, wie riskant eine Verarbeitung durch und mit Microsoft ist, bestimmen Sie zunächst, welche Datenarten verarbeitet werden. Je nach Risikoklasse müssen Sie gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung anfertigen.
Betrachten Sie hierzu folgende Punkte:
- Welche Softwaremodule von Office 365 sind im Einsatz?
- Erfassen Sie die Datenarten: handelt es sich um Kunden-, Telemetrie , Diagnose-, Meta- oder Funktionsdaten?
- Untersuchen Sie, welche Personen Zugriff auf die Daten haben.
- Beschreiben Sie den Zweck der Verarbeitung der jeweiligen Datenart.
- Führen Sie eine Risikoanalyse durch und legen Sie Abhilfemaßnahmen (z. B. datenschutzfreundliche Voreinstellungen) fest.
- Legen Sie eine Dokumentation der Datenschutz-Folgenabschätzung an.
Microsoft 365 datenschutzfreundlich einrichten
Nachfolgend geben wir Ihnen 10 Beispiele für datenschutzfreundliche Einstellungsmöglichkeiten von Microsoft 365.
Damit schützen Sie Ihre Mitarbeitenden bestmöglich und sind im Falle einer offiziellen Prüfung auskunftsfähig.
Die empfohlenen Konfigurationen setzen ein Update von älteren Office Versionen auf die Version 1905 oder höher voraus. Erst diese Version ermöglicht die entsprechenden Einstellungen in Microsoft 365.
Mit jeder neuen Version seiner Produkte verschiebt Microsoft Konfigurationsmöglichkeiten oder benennt diese um. Die korrekte Konfiguration wird darum oft zur Herausforderung.
-
Customer Experiences/ Services:
Microsoft stuft sich bei der Bereitstellung dieser Services als Verantwortlicher ein. Das erweitert den Verwendungszweck der erhobenen Daten. Korrekt wäre eine Einstufung als Auftragsverarbeiter.
Die gesammelten Daten können zur Personalisierung oder Werbung genutzt werden. Die Verwendung von Connected Experiences ist nicht DSGVO-konform. Deaktivieren Sie diese. -
Diagnosedaten:
Sie sollten ebenfalls die optionalen Diagnosedaten deaktivieren. Auch hier geht die Rolle von Microsoft über die des Auftragsverarbeiters hinaus. -
Telemetrie-Niveau und Windows-Einstellungen:
Windows-Betriebssysteme senden von Hause aus bestimmte Daten an Microsoft. Art und Umfang dieser Daten sind einstellbar. Es gilt jedoch zu beachten, dass dies nur bestimmte Varianten von Microsoft Windows zulassen. So sind unter Windows 10 Enterprise alle ausgehenden Daten deaktivierbar.
Microsoft 365 sendet ebenfalls Diagnosedaten. Auch wenn Sie hier das strikteste Level wählen, fließen dennoch weiterhin bestimmte Daten. Hier hilft ein Eingriff in die Registry, das Festlegen einer Gruppenrichtlinie oder das Blockieren der Daten an der Firewall. -
Customer Lockbox:
Falls Sie besonders vertrauliche personenbezogene Daten in Microsoft Office 365 verarbeiten, sollten Sie diese mit Hilfe einer Customer Lockbox verschlüsseln. Diese Kunden-Lockbox stellt sicher, dass Microsoft nicht ohne Ihre eindeutige Zustimmung auf Daten zugreifen kann. -
LinkedIn-Integration:
Microsoft ermöglicht es, die LinkedIn-Accounts von Mitarbeitenden zu verbinden. Diese Funktion ist in Deutschland per Default aktiviert. Sie sollten dies in den Einstellungen für Ihr Unternehmen prüfen und manuell deaktivieren. -
Viva Insights:
Durch diese Reports werden Leistungsdaten ausgewertet. Aus diesem Grund müssen sie prinzipiell deaktiviert oder durch Betriebsvereinbarungen geregelt werden. Gleiches gilt für das Plugin „Insights“. -
Customer Experience Improvement Program (CEIP):
Das CEIP ist eine Anwendung zur Verbesserung der Nutzerfreundlichkeit. Zu diesem Zweck sendet die Anwendung automatisch Informationen über die Nutzung der Software und über die verwendeten Geräte. Dazu gehören zum Beispiel Art und Anzahl auftretender Fehler oder die Geschwindigkeit der Microsoft-Dienste.
Laut Microsoft handelt es sich hierbei nur um anonyme Daten, dennoch kann und sollte die Übermittlung deaktiviert werden. Das Customer Experience Improvement Program, kurz CEIP, lässt sich per Gruppenrichtlinie über den Domaincontroller deaktivieren. Eine Regelung in Betriebsvereinbarungen ist ratsam. -
Activity reports:
Diese Funktion zeichnet auf, welcher Mitarbeiter welche Dienste wie häufig nutzt. Da hierdurch Verhaltensanalysen möglich werden, ist diese Funktion in jedem Fall zu deaktivieren. -
Sharepoint:
Standardmäßig können Inhalte für jeden - auch ohne Anmeldung - vom Benutzer freigegeben werden. Die Möglichkeiten reichen vom Teilen mit jedem bis hin zum Teilen der Inhalte nur innerhalb der Organisation. Die Einstellung „Nur Personen in Ihrer Organisation“ ist aus Datenschutz- und IT-Security Gründen empfohlen. -
Microsoft Teams:
Die Anwendung ist in vielen Unternehmen erste Wahl für die Kommunikation. Teams bietet die Möglichkeit, in Online-Meetings gesprochene Sprache live als Untertitel oder sogar durch eine KI übersetzen zu lassen. Diese Funktion ist lizenzabhängig. In Verbindung mit der Tatsache, dass eine Analyse des gesprochenen Wortes durch Microsoft erfolgt, ist eine Deaktivierung zu prüfen.
Zusammenfassend lässt sich festhalten:
Microsoft 365 bietet eine Vielzahl von Anwendungen und Diensten. Die Einhaltung des Datenschutzes ist jedoch nicht pauschal möglich. Jedes Unternehmen besitzt eigene Anwendungen und Prozesse, die sorgfältig zu analysieren sind. Die Umsetzung der aufgeführten Beispiele kann den Weg zu einem datenschutzkonformen Einsatz von Microsoft 365 ebnen. Die endgültige Rechtssicherheit erlangen Sie jedoch nur durch einen fachkundigen Datenschutzbeauftragten.
Weitere Informationen:
Sie möchten mehr zur Datenverarbeitung bei der Nutzung von Microsoft 365 erfahren?
Melden Sie sich zum kostenlosen Webinar von expertplace in Kooperation mit @-yet an: Microsoft 365 & Datenschutz-Webinar - expertplace
Wir danken Lucia Straßer (Managerin für Datenschutz und Prokuristin bei unserem Kooperationspartner @-yet) für diesen Blogbeitrag.
In unserem Blogartikel liegt uns die Gleichberechtigung aller Geschlechter am Herzen. Daher formulieren wir unsere Blogs stets genderneutral, um alle LeserInnen gleichermaßen anzusprechen und zu inkludieren.