Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Office365 – Unter Datenschutzgesichtspunkten noch zu empfehlen?

16. Dezember 2018

In der Vergangenheit ist Microsoft bereits häufiger wegen unzureichender Lösungen hinsichtlich rechtskonformer Umsetzungen der Vorgaben des Datenschutzes ins Visier der Aufsichtsbehörden geraten. Nun wurde im Auftrag der niederländischen Regierung Office ProPlus genauer durchleuchtet. Microsoft wird von rund 300.000 Arbeitsplätzen in der niederländischen Verwaltung verwendet. Hierzu zählen Ministerien, Justiz- und Polizeibehörden sowie Finanzämter, welche hauptsächlich die Versionen von Office 2016 und Office 365 verwenden.

Die Untersuchung fand in Form einer Datenschutz-Folgenabschätzung (DSFA) durch ein Beratungsunternehmen statt.

Eine DFSA?

Eine DSFA muss gemäß der der Datenschutz-Grundverordnung (DS-GVO) durch alle Unternehmen durchgeführt werden, sofern Datenverarbeitungen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Weitere Informationen zum Thema DSFA finden Sie hier.

Welche Risiken offenbaren die Ergebnisse der durchgeführten DSFA?

Die Ergebnisse der DSFA sind durchaus erschreckend, wodurch Microsoft in Sachen Datenschutz wieder stärker in den Fokus rückt. Hier finden Sie den gesamten veröffentlichen Text der DSFA in englischer Sprache.

Die DSFA identifiziert acht hohe Datenschutzrisiken identifiziert, welche dort im Detail erläutert werden. Hier eine kurze Zusammenfassung:

Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Nutzer in großem Umfang. Das Sammeln findet über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook statt. Der Nutzer bekommt hiervon nichts mit, da das Sammeln im Hintergrund stattfindet. Genauso „heimlich“ werden die Daten dann in einem automatisierten Prozess an einen Server in den USA versendet. Es werden hier nicht nur simple Informationen, wie beispielsweise Softwareabstürze versendet, welche für den Betrieb relevant sind, sondern gegebenenfalls auch sensible personenbezogene Daten.

Darüber hinaus werden auch beim Nachschlagen eines Worts mit Hilfe der Rechtschreibprüfung oder mit Hilfe eines Übersetzungsdienstes von Microsoft Office Daten gesammelt. Microsoft Office sammelt und übermittelt bei dieser Aktivität neben dem einzelnen recherchierten Wort auch den Satz vor und nach diesem. Dies führt dazu, dass eine große Datenmenge ohne Wissen des Nutzers automatisiert übermittelt wird.

Wie groß die Datenmenge tatsächlich ist, hat Microsoft bereits (zumindest grob) mitgeteilt. Nach Aussage werden 23.000 bis 25.000 Arten von Ereignissen an mehrere Entwicklerteams versendet, die die jeweiligen Daten auswerten und analysieren. Zu der Frage, was genau von den Entwicklerteams analysiert und protokolliert wird, gibt es bisher keine konkreten Antworten. Im Rahmen der DSFA konnten hierzu keine Dokumentationen gesichtet werden. Auch verschriftlichte Richtlinien zu den Vorgängen lagen nicht vor.

Das bedeutet, dass es weder die Möglichkeit gibt, Informationen über Art und Umfang der gesammelten Daten zu erhalten, noch dieser Prozess deaktiviert werden kann. Es kann auch noch keine Aussage hinsichtlich der Kritikalität der abfließenden Daten getroffen werden, da diese verschlüsselt und somit für Dritte unlesbar sind. Die Prüfer hatten somit bisher keinen Einblick in die Inhalte. Es bleibt zu hoffen ist, dass Microsoft nun preisgibt, welche Informationen genau gesammelt und versendet werden.

Sicher kann es sinnvoll sein, technische Daten zu übermitteln und auszuwerten, um damit die Stabilität und Funktionalität der Software verbessern zu können. Es muss aber transparent sein, was genau übermittelt und wie lange die Daten gegebenenfalls gespeichert werden. Auch muss es eine Möglichkeit für den Nutzer geben, der Übermittlung zumindest aller personenbezogenen Daten zu widersprechen.

Und was nun?

Nach Veröffentlichung des Prüfberichts hat Microsoft bereits Stellung genommen und zugesichert, dass es in ihrem Interesse liege, dass Kunden ihre Daten selbst verwalten und kontrollieren können. Es sollen entsprechende Maßnahmen ergriffen werden, um den Anforderungen der DS-GVO und anderer Gesetze gerecht zu werden.

Eine generelle Empfehlung zum Einsatz von Office365 können wir an dieser Stelle leider nicht geben. Unbekannt ist uns zum Beispiel, ob auch die in der Cloud der Deutschen Telekom betriebene Variante von Office365 „nach Hause funkt“. Darüber hinaus wird es für die meisten Unternehmen auch gar nicht möglich sein, sich kurzfristig von Office365 zu trennen. Unsere Empfehlung lautet daher: Abwarten, sich des Risikos bewusst sein und hoffen, dass die Aufsichtsbehörden mit Augenmaß und Pragmatismus agieren werden. Darüber hinaus empfehlen wir aber auch, anstehende Migrationen zu oder Neueinführungen von Office365 vorerst zu stoppen und abzuwarten, ob Microsoft das gegebene Versprechen einhält. Nach diesen Informationen noch zu Office365 zu migrieren könnte unseres Erachtens durchaus als vorsätzlicher Verstoß gegen die DS-GVO gewertet werden.

Benötigen auch Sie eine Datenschutz-Folgenabschätzung (DSFA) zu den bei Ihnen durchgeführten Verarbeitungen? Melden Sie sich bei uns, wir unterstützen Sie gerne!