Microsoft 365

Nutzen Sie Microsoft 365 datenschutzkonform?

28.03.2023
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Microsoft 365 hat in den vergangenen Jahren die lokale Verwendung von Microsoft-Diensten abgelöst. Die Nutzung bringt jedoch datenschutzrechtliche Fallstricke mit sich. Wir klären Sie auf.

Zahlreiche Unternehmen nutzen täglich Produkte von Microsoft. Dabei greifen in den vergangenen Jahren die Firmen verstärkt auf das Cloud- und Web-basierte Produkt Microsoft 365 zurück. Das birgt jedoch einige (datenschutz-)rechtliche Probleme, die es zu beachten gilt.

Microsoft 365 ist eine von Microsoft erstellte Office-Suite.
Microsoft 365 ist eine von Microsoft erstellte Office-Suite.
Foto: IB Photography - shutterstock.com

Bei Microsoft 366 handelt es sich nicht mehr um eine einzelne Software, die der Nutzer lokal auf einem Rechner installiert. Microsoft 365 ist ein Toolset, das je nach Art der erworbenen Lizenz (etwa E1-,E3- und die E5-Lizen) einen unterschiedlichen Umfang hat. Es sich um den Überbegriff für eine Produktfamilie von Microsoft. Bei der "Standardinstallation" werden dem Nutzer neben dem Betriebssystemkern - aktuell in Gestalt von Windows 10 und Windows 11 - zusätzliche Treiber sowie verschiedene Anwendungen und Dienste zur Verfügung gestellt. Dabei geht Microsoft 365 über bisherige Windows-Betriebssysteme hinaus, da es über zusätzliche Funktionen, Dienste und Anwendungen wie beispielsweise Microsoft Teams verfügt.

Lesetipp: Microsoft Teams - Deep-Dive-Einblick

Mit Microsoft 365 speichert Microsoft in erheblichem Maße auch technische Parameter, Logfiles sowie personenbezogene Daten und wertet diese unter anderem auch für eigene Zwecke aus (insbesondere sogenannte Telemetriedaten). Diese Datenverarbeitung lässt sich jedoch nur teilweise einschränken oder vollständig unterbinden. Mit Blick auf die Datenschutzgrundverordnung (DSGVO) ist dies nicht unproblematisch, da Microsoft oft nicht transparent genug erläutert, welche Daten zu welchem Zeitpunkt und zu welchem Zweck übermittelt werden.

Das DSK-Prüfschema für Windows

Aus diesen Gründen hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im November 2019 ein Schema zur Prüfung des Einsatzes von Windows 10 beschlossen. Dadurch sollen die Anwender in die Lage versetzt werden, eigenständig die Einhaltung von rechtlichen - vor allem datenschutzrechtlichen - Vorgaben zu prüfen und zu dokumentieren.

Vor dem Hintergrund der hohen Bußgelder, die die Datenschutzgrundverordnung bei Verstößen vorsieht, erlangt die genaue Prüfung von Softwareanwendungen auf ihre Datenschutzkonformität immer größere Bedeutung. Spätestens seit der Veröffentlichung des neuen Bußgeldberechnungsmodells der DSK müssen Unternehmen damit rechnen, dass die Aufsichtsbehörden hinsichtlich der Höhe der Bußgelder weniger Zurückhaltung zeigen als bislang. Insofern dürfte das Bußgeld gegen die Deutsche Wohnen in Höhe von 14,5 Millionen Euro kein Einzelfall bleiben. Gerade der Einsatz von Anwendungen aus dem Hause Microsoft dürfte aufgrund deren Verbreitung und der diversen Stellungnahmen der Aufsichtsbehörden zunehmend kritischer überprüft werden.

Windows - Prüfungsschritte vor dem Einsatz

Bei näherer Betrachtung zeigt jedoch auch das Schema der DSK, dass aufgrund der Komplexität und Vielfalt der Windows-Produkte und -Funktionalitäten keine generellen Aussagen zu einem datenschutzkonformen Einsatz getroffen werden können. Vielmehr hängt die Rechtmäßigkeit immer vom konkreten Fall ab. Entsprechend abstrakt hat die DSK auch ihre Aussagen formuliert, um möglichst viele Einzelfälle abzudecken.

Dennoch kann das DSK-Prüfschema für Windows 10 als Leitfaden dienen, um datenschutzrelevante Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten. Darüber hinaus lässt sich das Prüfschema unterstützend für eine regelmäßig zwingend durchzuführende Datenschutzfolgenabschätzung nutzen. Denn theoretisch müssten bei jedem Update die veränderten Funktionen erfasst und bewertet werden.

1. Konkrete Beschreibung der Verarbeitungstätigkeit: Zunächst müssen Art, Umfang und Umstände der konkreten Verarbeitungstätigkeiten bestimmt werden, die von der Produktvariante abhängig sind. Daher müssen zunächst Informationen über die Produktfamilie (etwa Windows 10 oder Windows 11), die Edition (zum Beispiel Enterprise), die Architektur (zum Beispiel 64-Bit), die Version (zum Beispiel 1803) und gegebenenfalls weitere Merkmale (Sprache, Multimediapaket) festgestellt werden. Erst nach Angabe dieser Informationen kann die Bestimmung über die konkreten Datenübermittlungen sowie diese Zwecke erfolgen, die auch von den eingesetzten Funktionen abhängen. Darüber hinaus muss geprüft werden, ob eine Datenübertragung in Drittländer stattfindet.

2. Prüfung der Rechtmäßigkeit der Datenübermittlungen: Wurden die konkreten Verarbeitungsvorgänge bestimmt, muss geprüft werden, ob eine ausreichende Rechtsgrundlage im Sinne der DSGVO für die Datenverarbeitung eingreift. Liegt keine Rechtsgrundlage vor, ist die Übermittlung rechtswidrig. Wenn nicht klar ist, welche Daten übermittelt werden, kann die Rechtmäßigkeit nicht festgestellt werden und sollte unterbleiben.

3. Auswahl angemessener Maßnahmen (TOM's): Der Verantwortliche muss zusätzlich technische und organisatorische Maßnahmen (TOMs) treffen, um die unrechtmäßige Offenlegung von Daten zu verhindern. Das kann zum Beispiel eine datenschutzfreundliche Konfiguration von Windows sein. Aber auch andere Maßnahmen kommen hier - abhängig vom Stand der Technik - in Betracht. Das kann etwa der Einsatz von Drittanbieter-Software zur Unterbindung von Datenübermittlungen an Microsoft sein. Auch die fortlaufende Überprüfung, beispielsweise bei Updates, muss technisch-organisatorisch sichergestellt werden.

4. Restrisikobewertung: Im nächsten Schritt ist eine Restrisikobewertung vorzunehmen. Dabei muss der Anwender die Wahrscheinlichkeit und die Schwere einer unrechtmäßigen Offenlegung unter Berücksichtigung der getroffenen Maßnahmen beurteilen. An dieser Stelle empfiehlt die DSK die Durchführung einer Datenschutzfolgenabschätzung. Ergibt die Prüfung, dass ein hohes Restrisiko verbleibt, sollte die Nutzung von Windows unterbleiben und die zuständige Aufsichtsbehörde konsultiert werden.

5. Implementierung der Maßnahmen und stetige Überprüfung: Ist das Restrisiko eher gering und vertretbar, müssen die erarbeiteten Maßnahmen implementiert und regelmäßig auf ihre tatsächliche Wirksamkeit überprüft werden.

6. Updates beurteilen: Windows wird zudem ständig weiterentwickelt. Aufgrund der teilweise erheblichen Änderungen durch Updates müssen diese regelmäßig überprüft und nach den oben genannten Schritten bewertet werden.