Ob Microsoft 365 rechtsicher eingesetzt werden kann, ist nach wie vor unklar.
Nach einem Bericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) aus November 2022 kann Microsoft aktuell keinen Nachweis dafür erbringen, dass Microsoft 365 datenschutzrechtskonform betrieben wird. Die Festlegung verweist auf den 58-seitigen Abschlussbericht der AG DSK „Microsoft-Onlinedienste“ vom 2. November 2022.
Keine rechtlich bindende Aussage der DSK
Die Botschaft, Microsoft 365 sei nicht datenschutzkonform, hat medial große „Wellen“ geschlagen, da der Bericht der DSK den Anschein einer behördlichen Entscheidung vermittelt. Dies trifft allerdings nicht zu, da es für ein rechtlich bindendes Tätigwerden der DSK keine gesetzliche Grundlage gibt. Die DSK ist vielmehr ein reines Arbeitsgremium zum Austausch von Positionen. Der Bericht ist also eine abgestimmte Rechtsauffassung der Datenschutz-Aufsichtsbehörden.
Microsoft hat auf die Veröffentlichung des Berichts geantwortet und wehrt sich gegen die Kritik der DSK.
Konsequenzen für die Unternehmen
Was sind nun die Konsequenzen für die Unternehmen? Wie sollte man sich verhalten? Fakt ist, dass die DSK den Einsatz von MS 365 nicht verbietet. Unternehmen müssen also für sich abwägen, ob ein (weiterer) Einsatz von MS 365 vertretbar ist.
Im Rahmen dieser Risikoabwägung müssen die Unternehmen insbesondere berücksichtigen, ob es geeignete Alternativen zum Microsoft Betriebssystem gibt, welche vergleichbare Standards im Bereich der IT-Sicherheit bieten. Denn die Bedrohungen durch Cyberangriffe wachsen stetig. Lokal administrierten Systeme werden immer unsicherer.
Entscheidet sich ein Unternehmen für den Einsatz von MS 365, so sollte es in jedem Fall gewisse Maßnahmen ergreifen, um das datenschutzrechtliche Risiko zu minimieren.
Dazu zählen sowohl rechtlich Maßnahmen als auch technische Maßnahmen, dazu zählen insbesondere:
1. Rechtliche Maßnahmen
- Unternehmen müssen das aktuelle Data Processing Addendum (Stand Januar 2023) abschließen. Sollte dieses nicht automatisch gelten, so ist das bereits abgeschlossene frühere DPA zu aktualisieren.
- Vor dem Einsatz von MS 365 sollte eine Datenschutz- und Transferfolgenabschätzung durchgeführt werden. Hilfreiche Vorlagen stellt Microsoft sowie die niederländische Regierung
2. Technische Maßnahmen
In Microsoft 365 sind eine Vielzahl an datenschutzfreundlichen Einstellungen vorzunehmen. Das Ziel ist, nicht notwendige Datenverarbeitungsvorgänge zu unterbinden. Dazu zählen insbesondere:
- Unterbindung der Übermittlung von Diagnosedaten
- Einschränkung der „Connected Experiences“
- Deaktivierung der „Viva Insights“
- Unterbindung der Microsoft Search in Bing
- Deaktivierung der Organisationsdatenerfassung durch Bing
- Pseudonymisierung von Berichten
- Unterbindung des Zugriffs durch Cortana
- Deaktivierung des externen Teilens im Share Point
- Deaktivierung der LinkedIn Integration
- Wahl des Datenspeicherorts Deutschland
- Deaktivierung des „Customer Experience Improvement Programs“ / CEIP
- Deaktivierung von Dynamics 365
Wir haben für Sie ein Whitepaper erstellt, welche alle wesentlichen technischen Maßnahmen beschreibt. Bitte füllen Sie das Formular aus, um das Whitepaper zu erhalten.
Wenn Sie unser Whitepaper anfordern, kann es sein, dass wir Sie später per E-Mail kontaktieren, um Sie über unsere Dienstleistungen und Produkte zu informieren und weiterhin mit Ihnen in Kontakt zu bleiben. In diesem Rahmen verarbeiten wir Ihre personenbezogenen Daten. Weitere Informationen können Sie der Datenschutzerklärung entnehmen