Der Einsatz von Office 365 und Office 2016 ist nicht ganzheitlich mit dem Datenschutz vereinbar. Welche Risiken gibt es und wie kann man diese vermeiden?
Office ist von modernen Arbeitsplätzen nicht wegzudenken. Jedoch ist der Einsatz von Office 365 und Office 2016 nicht notwendigerweise mit effektivem Datenschutz vereinbar. Eine negative Datenschutz-Folgenabschätzung im Auftrag der niederländischen Regierung sowie das vorläufige Verbot zum Einsatz von Office 365 in Schulen durch den hessischen Datenschutzbeauftragten haben viele Anwender und Entscheider verunsichert. In diesem Artikel zeigen wir auf, welche Risiken beim Einsatz solcher Produkte lauern. Darüber hinaus geben wir einen Einblick darin, welche dieser Risiken Sie vermeiden können.
Welche Probleme gibt es beim Office-Einsatz mit dem Datenschutz?
Problematisch ist in erster Linie, dass Microsoft nicht transparent arbeitet bzw. dies in der Vergangenheit nicht immer getan hat. Das gilt zum Beispiel für die sogenannte Telemetrie. Diese wird verwendet, um Diagnose- und Metadaten über die Nutzung und Leistung von Anwendungen und Anwendungskomponenten zu sammeln. In der Regel geschieht das, um die Software sicherer zu machen oder Fehler zu finden und zu beseitigen.
Bis vor kurzem bot Microsoft keine umfassende Dokumentation, Einstellungen oder ein Datenanzeigetool für einen genauen Überblick über die mittels Telemetrie gesammelten Daten. Das hat sich durch die Implementierung des sogenannten „Microsoft Diagnostic Data Viewers“ geändert. In diesem Tool können die Office Nutzer nachvollziehen, welche Daten bei der Office Nutzung aufgrund welcher Datenschutzeinstellungen erfasst werden. Über die Erfassung und Verarbeitung von Diagnosedaten bei der Verwendung der Office mobile Apps haben die Anwender jedoch immer noch keine Kontrolle.
Viele dieser Telemetrie- und Diagnosedaten sind personenbezogen im Sinne des Art. 4 Nr. 1 DSGVO. Ihre Verarbeitung bedarf daher einer Rechtsgrundlage. In Frage könnte hier das nach Art. 6 Abs.1 f. DSGVO berechtigte Interesse von Unternehmen an der Nutzung von geräteunabhängigen Office-Dokumenten für die reibungslose Zusammenarbeit innerhalb der eigenen Teams.
Microsoft sieht bisher seine Rolle im Verhältnis zum Lizenznehmer von Office 365 primär als die eines Auftragsverarbeiters an. Ob ein Unternehmen nach Art. 28 DSGVO als Auftragsverarbeiter tätig ist, hängt neben anderen Kriterien davon ab, ob es weisungsgebunden tätig wird, keine eigene Entscheidungskompetenz über die Verarbeitung der Daten hat und ob ihm die Zwecke und Mittel der Verarbeitung vorgegeben werden. Jedoch deuten die von Microsoft angegebenen Zwecke für die Verarbeitung von Diagnosedaten wie zum Beispiel der Einsatz für Produktentwicklung und die Unterstützung von maschinellem Lernen nicht auf eine weisungsgebundene Verarbeitung hin. Weil für diese Verarbeitungen keine Vorgaben in den Online Service Terms (Vertragsbedingungen für die Nutzung von Office 365) gemacht werden, ist eher von einer Datenverarbeitung in gemeinsamer Verantwortung nach Art. 26 DSGVO auszugehen. Damit diese rechtmäßig ist, muss jedoch zumindest vereinbart werden, welcher Partner Pflichten nach der DSGVO, wie zum Beispiel die Wahrung von Betroffenenrechten und die Einhaltung von Informationspflichten, übernimmt. Solch eine Regelung ist dem Vertragswerk zur Nutzung von Office 365 bisher nicht zu entnehmen.
Die Office Telemetriedaten und systemgenerierten Ereignisprotokolle werden für mindestens 30 Tage und langfristig für 18 Monate durch Microsoft in den USA gespeichert. Die Daten können länger gespeichert werden, wenn ein einzelnes Microsoft-Team eine eigene Teilmenge von Daten exportiert hat. Mittlerweile ist es allerdings für die Administratoren auf Nutzerseite jederzeit möglich, die bei Microsoft hinterlegten Telemetriedaten zu löschen. Insofern hat Microsoft hier also nachgebessert.
Daraus ergeben sich folgende Datenschutzrisiken:
- Es ist für Unternehmen aufgrund mangelnder Transparenz nicht immer möglich, einen Überblick über die spezifischen Risiken für mit Office 365 verarbeitete Daten zu gewinnen (dies gilt aktuell vor allem für die browserbasierten Versionen und Apps).
- Die diskussionswürdige Qualifikation von Microsoft als Datenverarbeiter anstelle einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DSGVO.
- Die fehlende Zweckbindung sowohl für die Verarbeitung historisch gesammelter Diagnosedaten als auch die Möglichkeit, neue Ereignisse dynamisch hinzuzufügen. Das widerspricht Art. 5 Abs. 1 b DSGVO nach dem die Zwecke der Datenverarbeitung bereits zum Zeitpunkt der Erhebung der Daten feststehen müssen.
- Die Übermittlung von Diagnosedaten außerhalb des EWR. Das ist insbesondere im Kontext der noch ausstehenden Entscheidung des Europäischen Gerichtshofs in der Rechtssache „Schrems II“ kritisch. In diesem Verfahren prüft der EuGH, ob die Übertragung von Daten aus Europa in die USA auf Grundlage einer Zertifizierung nach dem EU-US Privacy Shield oder dem Abschluss von Standvertragsklausen (SCC) überhaupt mit den einschlägigen Art. 44 ff. DSGVO vereinbar sind.
- Darüber hinaus ist noch nicht geklärt, wie der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) sich auf die Herausgabepraxis von bei Microsoft gespeicherten Daten gegenüber amerikanischen Behörden auswirken wird.
- Die unbestimmte Aufbewahrungsdauer von Diagnosedaten à Eine unbestimmte Aufbewahrung verstößt in vielen Fällen gegen die Pflicht aus Art. 17 Abs. 1 DSGVO, personenbezogene Daten zu löschen.
Folgen für die Praxis
Die umfassende und teilweise nebulöse Verarbeitung von Telemetriedaten durch Office 365 bringt datenschutzrechtliche Herausforderungen mit sich.
Mittlerweile ist es für Administratoren möglich, diese stark einzuschränken oder komplett zu unterbinden. Vorläufig sollten Administratoren das Senden von Telemetriedaten für Office 365 komplett unterbinden und Programme aus dem Office Paket, für die das noch nicht möglich ist, nicht für die Nutzung freigeben.
Weiterhin kritisch ist auch die Nutzung von Controller Connected Experiences wie z.B. Übersetzungsdiensten. Bei diesen sammelt Microsoft Nutzungsdaten in einem nicht bekannten Umfang. So lange Microsoft dort nicht für Klarheit sorgt, sollten diese Dienste deaktiviert werden. Wenn Microsoft dem einzelnen Anwender in verständlicher Sprache und hinreichend deutlich darlegen kann, welche Daten bei der Nutzung dieser Dienste verarbeitet werden, ist ein rechtmäßiger Einsatz vorstellbar.
Weiterhin sollte der Ausgang des EuGH Verfahrens in der Sache Schrems II genau beobachtet werden. Zwar ist es momentan auf Grund der (Selbst-)zertifizierung nach dem EU-US Privacy Shield für Microsoft zulässig, Daten in die USA zu übertragen, genau das kann sich jedoch durch ein Urteil in diesem Verfahren ändern. Problematisch ist auch, dass US Strafverfolgungsbehörden durch den Cloud Act die Möglichkeit erhalten auf alle bei US Unternehmen gespeicherten Daten unabhängig vom Speicherort zugreifen können. Nach amerikanischer Rechtsauffassung ist das entgegen der bisherigen Rechtspraxis auch ohne eine Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich. Microsoft hat versichert, Auskunftsersuchen von Behörden nur stattzugeben, wenn zunächst eine Kontakt zwischen amerikanischer Behörde und europäischem Betroffenen hergestellt wurde. Ob Microsoft dieses Versprechen halten kann, wird sich zeigen.
Um der unbegrenzten Speicherung der bereits erhobenen Telemetriedaten zu entgehen, sollten Administratoren die mittlerweile von Microsoft bereit gestellten Löschtools nutzen. Die Erfassung von Telemetriedaten kann und sollte auf Anwenderseite auf die niedrigste Stufe „Sicherheit“ eingestellt werden. Darüber hinaus sollten Unternehmen Microsoft darauf drängen, Verträge für die Datenverarbeitung in gemeinsamer Verantwortung nach Art. 26 DSGVO abzuschließen. Je nachdem welche Dienste aus dem Office 365 Paket genutzt werden, sollte auch eine Datenschutz-Folgenabschätzung durchgeführt werden.
Mit den hier genannten Maßnahmen und dank der von Microsoft vorgenommenen Verbesserungen kann Office 365 aus unserer Sicht bis auf Weiteres datenschutzkonform genutzt werden. Auf Grund der hier aufgezeigten Risiken gibt es jedoch keine dauerhafte Garantie dafür, dass Office 365 eingesetzt werden kann. Gerade diese Risiken führen dazu, dass Unternehmen, die diese Software bereits einsetzen oder planen, dies zu tun, eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen und sich mit datenschutzfreundlichen Einstellungen beschäftigen sollten.