Office 365 / Microsoft 365 datenschutzkonform konfigurieren und nutzen

Da die Offline-Produkte von Microsoft Office zunehmend vom Markt verschwinden, denken immer mehr Unternehmen über den Einsatz von Office 365 und dessen Online-Funktionen nach (seit April 2020 wird die Produktgruppe als Microsoft 365 geführt). Bei der Einrichtung von Microsoft 365 existieren jedoch einige datenschutzrechtliche Fallstricke, welche im schlimmsten Fall zu einem Bußgeldrisiko führen. Diese Risiken lassen sich durch die richtigen Einstellungen zum großen Teil umgehen.

Im Kern geht es darum, die Übermittlung von Daten an Microsoft weitestgehend zu unterbinden. Allerdings sind dann auch nicht alle Funktionen von Microsoft 365 nutzbar. Der folgende Überblick zeigt Ihnen die erforderlichen Datenschutzeinstellungen im Vergleich mit den jeweils auftretenden Einschränkungen für die Usability bzw. Einsatzgebiete im Unternehmen.

Notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365

Um den folgenden Empfehlungen nachkommen zu können, muss eine eventuell noch ältere Version von Office 365 zunächst auf Version 1905 oder höher aktualisiert werden. Erst mit dieser Version wurden die entsprechenden Einstellungsmöglichkeiten in Office 365 / Microsoft 365 implementiert (siehe die Infobox zum geschichtlichen Hintergrund).

Anschließend sollten folgende Maßnahmen ergriffen werden:

  1. Die Nutzung von Connected Experiences/Services in Office 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.
  2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.
  3. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden. In Windows 10 Home und Professional ist es hingegen nicht möglich, die Übermittlung von Messdaten vollständig abzuschalten. Daher kann momentan lediglich Windows 10 Enterprise bzw. die Education-Version datenschutzkonform eingesetzt werden (siehe unser Ratgeber zum Einsatz von Windows im Unternehmen).
  4. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.
  5. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.
  6. Je nach Sensitivität der Daten sollte die Customer Lockbox oder der Customer Key verwendet werden. Dies ist mit Zusatzkosten verbunden, da Microsoft für diese Services zusätzliche Gebühren erhebt. Die Alternative wäre, keine sensiblen Daten in Microsoft 365 zu verarbeiten.
  7. Sofern Workplace Analytics oder Activity Reports genutzt werden sollen, ist vor Aktivierung ggf. eine eigene Datenschutzfolgenabschätzung durchzuführen und der Betriebsrat in Kenntnis zu setzen. Das Plugin „Insights“ sollte dabei nicht installiert werden, da hierbei zusätzliche Informationen für die Analytics-Analyse gesammelt werden.
  8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte (siehe die Infobox). Das schränkt die Nutzung von Office 365 / Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones.

Da sich die konkreten Einstellungsmöglichkeiten nach Version und Betriebssystem unterscheiden können, ist es uns nicht möglich an dieser Stelle eine Schritt-für-Schritt Lösung anzubieten. Allerdings finden sich im Internet Anleitungen bzgl. aller Punkte, zum Teil sogar von Microsoft selbst. In der Regel sollte die IT-Abteilung weiterhelfen können.

Sofern all diese Anforderungen beachtet werden, lässt sich Office 365 für den Moment datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen.

Erforderlichkeit einer Datenschutzfolgenabschätzung

Da all diese Erkenntnisse primär auf einer in den Niederlanden durchgeführten Datenschutzfolgenabschätzung beruhen, stellt sich für vielen Unternehmen die Frage, ob eine solche für den eigenen Einsatz durchzuführen ist.

Die ist in der Regel nicht erforderlich, sofern die obigen Einstellungen in Microsoft 365 vorgenommen werden. Durch diese wird die Datenübermittlung an Microsoft bestmöglich eingeschränkt, so dass kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Die von der niederländischen Regierung vorgenommene Datenschutzfolgenabschätzung hatte den Hintergrund, dass damals noch keine Möglichkeit der Einschränkung bzgl. der Übermittlung an Microsoft gegeben war. Daher lag noch ein hohes Risiko vor, welches eine Datenschutzfolgenabschätzung durch den Anwender notwendig machte.

Einzig wenn Workplace Analytics oder Activity Reports genutzt werden sollen, ist ggf. eine Datenschutzfolgenabschätzung erforderlich.

Microsoft stand mit seinen Anwendungen Office ProPlus (Office 365, Office 2016 und Office 2019) seit längerem wegen übermäßiger Datennutzung in der Kritik. Die Einführung von Microsoft Office bei den öffentlichen Behörden in den Niederlanden nahm die dortige Aufsichtsbehörde zum Anlass, eine Datenschutz-Folgenabschätzung (DSFA) von Office ProPlus vorzunehmen.

Hintergrund der Datenschutzprüfung von MS Office

Hintergrund der Prüfung durch die Datenschutzaufsichtsbehörde waren Vertragsverhandlungen der niederländischen Regierung mit Microsoft. Zu dieser Zeit nutzten etwa 300.000 Arbeitsplätze bei den niederländischen Behörden Microsoft-Office-Anwendungen. Damals wurden in Office verarbeitete Daten noch lokal bei der jeweiligen Behörde auf deren Serversystemen gespeichert. Es war jedoch geplant, in Zukunft auch die Microsoft Cloud mit SharePoint und OneDrive zu nutzen. Daher umfasste die Prüfung sowohl die lokale als auch die Cloud-Speicherung. Getestet wurde zudem die Web-Version von Office 365.

Nicht erst seit Windows 10 war bekannt, dass Microsoft vermehrt Daten von Nutzern auch ohne deren Wissen oder Einwilligung sammelt. Aus diesem Grund entschied sich die niederländische Datenschutzbehörde eine Datenschutzfolgenabschätzung gemäß DSGVO vorzunehmen. Eine solche DSFA ist durchzuführen, wenn durch die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Vereinfacht gesagt, bewertet die Behörde dabei, ob die Verarbeitung noch den datenschutzrechtlichen Vorgaben entspricht. Da die Software in diversen Behörden genutzt werden sollte (genannt werden im Bericht u. a. Ministerien, Justiz, Polizei und Steuerbehörden), ging es hier nicht nur um die personenbezogenen Daten der Mitarbeiter selbst, sondern auch um die Informationen zu nahezu allen niederländischen Staatsbürgern.

Aufgrund des breiten Einsatzspektrums stellte der Bericht gleich eingangs klar, dass er keine abschließende Bewertung vornimmt. Dies ist dadurch bedingt, dass nicht in jedem Bereich gleich sensible Daten verarbeitet werden. Zudem war der Bericht nur eine Momentaufnahme, da Microsoft im Anschluss noch mehr Informationen zur Verfügung  stellte, so dass der Bericht aktualisiert und neue Versionen veröffentlicht wurden.

Um welche Daten geht es bei der Office-Nutzung?

Aktuell ist nicht bekannt, welche Daten konkret an Microsoft übertragen werden, da hierüber keine Informationen existieren und die Datenübertragung zu Microsoft verschlüsselt erfolgt. Fest steht nur, dass Daten an Microsoft in die Vereinigten Staaten übertragen werden. Aufgrund des Einsatzbereichs ging es in der DSFA nicht nur um die Informationen der Nutzer (Beamte/Mitarbeiter) selbst, sondern auch um die Inhalte der Dokumente.

Ein Problem besteht bereits in der Definition der übertragenen Daten. Orientiert man sich an der Logik der europäischen ePrivacy-Richtlinie, so wird zwischen drei Kategorien von Daten unterschieden:

  1. Der Inhalt der Kommunikation mit Microsoft, also die Dokumente und Daten selbst,
  2. Diagnosedaten, welche das Verhalten des individuellen Nutzers in Event Logs speichert und
  3. Funktionsdaten, welche notwendig sind, um die Verbindung zu Microsoft herzustellen.

Als Beispiel für Funktionsdaten wird etwa die Datenverarbeitung eines E-Mail-Servers genannt, der gewisse Daten benötigt, um einen Nutzer zu authentifizieren oder die Gültigkeit von dessen Lizenz zu überprüfen. Ebenso fällt hierunter der Übersetzungsservice, der nicht nur den zu übersetzenden Text überträgt, sondern ebenfalls den vorhergehenden und nachfolgenden Satz, um ein besseres Übersetzungsergebnis zu erlangen.

Der Unterschied zwischen Diagnose- und Funktionsdaten ist, dass letztere nur kurzzeitig verarbeitet und sofort gelöscht oder anonymisiert werden müssen. Solange Microsoft diese Daten also nicht längerfristig speichert oder ausreichend anonymisiert speichert, handelt es sich nicht um Diagnosedaten und die Verarbeitung ist datenschutzrechtlich unproblematisch.

Hier zeigt sich jedoch das angesprochene Problem: Microsoft nimmt eine andere Datenklassifizierung als nach der Logik der die ePrivacy-Richtlinie vor. Diagnosedaten umfassen für Microsoft lediglich die von Office über das Verhalten der Nutzer gesammelten Telemetriedaten. Ansonsten existiert keine Kategorie für Metadaten, die sonstige Telemetriedaten oder andere Metadaten erfasst und in Server Logs speichert. Microsoft nutzt hingegen den Begriff Nutzerdaten für alle vom Benutzer zur Verfügung gestellten Daten bei der Nutzung der Software.

Parallelen von Office zu Windows 10

Microsoft sammelt also Diagnosedaten auf verschiedene Arten, etwa systemgenerierte Event Logs oder über die Office-Telemetriedaten. Bereits unter Windows 10 gab es das Problem, dass Microsoft heimlich und verschlüsselte Daten abgegriffen und verschlüsselt an die eigenen Server in den USA übermittelt hat. Man konnte damals lediglich einen Datenstrom zu Microsoft nachvollziehen, hatte jedoch keine Informationen darüber, welche Daten und in welcher Menge diese übertragen wurden.

Die niederländische Aufsichtsbehörde stellte damals fest, dass Microsoft gegen geltendes Datenschutzrecht verstößt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußerte sich in dieser Sache kritisch. Microsoft gab im Anschluss an die Untersuchungen durch diverse europäische Datenschutzbehörden Auskunft über die Datennutzung und stellte ein Analysetool zur Überprüfung der übertragenen Daten zur Verfügung. Es stellte sich heraus, dass Telemetriedaten von bis zu 1.200 verschiedenen Ereignissen an Microsoft übertragen und diese von zehn Teams ausgewertet wurden.

Diese Grenze wird bei den Office-Anwendungen um ein Vielfaches überschritten. Es werden zwischen 23.000 und 25.000 verschiedene Ereignisse an Microsoft übermittelt. In diesem Bereich ist die Aufklärung noch nicht beendet, da nicht einmal Microsoft selbst weiß, welche Arten von Daten hierbei genau übertragen werden. Diese Daten werden von 20 bis 30 Teams ausgewertet. Es zeigt sich also, dass die Datensammelwut von Office-Anwendungen weitaus höher ist als die unter Windows 10.

Ein Analysetool, um den Datenfluss einfach und vollständig zu überprüfen, existiert aktuell noch nicht. Vor dem Bericht ging Microsoft nicht einmal davon aus, dass Telemetriedaten überhaupt personenbezogene Daten enthalten. Diese Ansicht änderte sich, nachdem Administratoren der Behörden die Übertragung von Dateinamen, Dateipfade und E-Mail-Betreffe in Logs nachweisen konnten.

Die Rolle von Microsoft

Eine weiteres von der Behörde aufgedecktes Problem ist die Rolle von Microsoft im Rahmen der Datenverarbeitung. Microsoft selbst sieht sich lediglich als Auftragsverarbeiter, mit Ausnahme der nicht notwendigen Connected Services. Bei letzteren sieht sich Microsoft selbst als Verantwortlicher und gibt zwölf sehr weit gefasste Verarbeitungszwecke an. Eine Übersicht dieser Connected Services findet sich in Annex 1 (Seite 88) des Berichts. Sofern in der dritten Spalte Microsoft als „Controller“ identifiziert ist, handelt es sich um nicht notwendige Connected Services.

Hingegen dürfte Microsoft bei allen anderen Anwendungen als Auftragsverarbeiter lediglich Daten auf dokumentierte Weisung des Auftraggebers hin verarbeiten. Dies widerspricht allerdings den Zwecken, für die Microsoft von Office erhobene Diagnosedaten verarbeiten möchte:

  • Sicherheit,
  • Aktualität,
  • Funktionalität,
  • Produktentwicklung,
  • Produktneuerungen,
  • Ergebnisse aus Langzeitanalysen zur Unterstützung von maschinellem Lernen,
  • Zur gezielten Anzeige von Empfehlungen für den Nutzer sowie
  • Zwecke, die Microsoft für vereinbar mit diesen sieben Punkten hält.

Es zeigt sich, dass Microsoft die erhaltenen Daten für eigene Zwecke verwendet und auch die Mittel zur Verarbeitung festlegt. Microsoft regelt ebenfalls die Speicherdauer, welche mit 30 Tage bis 18 Monate angegeben wird, wenn notwendig, sogar noch länger. Es ist auch nicht möglich diese Daten einzeln zu löschen, außer durch die Löschung des gesamten Accounts. Aus diesem Grund ist davon auszugehen, dass Microsoft nicht als Auftragsverarbeiter, sondern als Verantwortlicher agiert. Da jedoch nicht nur Microsoft die Zwecke und Mittel zur Verarbeitung festlegt, sondern ebenso die Behörden, liegt eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor.

Betrachtet man Art. 6 DSGVO als Rechtsgrundlage für die Datenverarbeitung, so lässt sich lediglich eine Rechtmäßigkeit für die ersten drei Zwecke begründen. Für alle anderen Verarbeitungen besitzen weder Microsoft noch die jeweiligen Behörden die erforderliche Berechtigung.

Fazit: Datenschutzkonforme Konfiguration von Microsoft 365 lohnt sich

Befolgt man diese Empfehlungen, dann lässt sich Microsoft 365 in der Theorie weitestgehend datenschutzkonform einsetzen. Probleme können sich jedoch bei der praktischen Umsetzung zeigen, gerade wenn kritische Produkte bereits in die Arbeitsabläufe integriert wurden. Wie gezeigt, lassen sich einige praktische Funktionen von Microsoft 365 nicht datenschutzkonform nutzen.

Im Ergebnis hat dann eine Abwägung zu erfolgen: Entweder die eigenen Prozesse werden entsprechend angepasst oder man akzeptiert das verbleibende datenschutzrechtliche Restrisiko. Es sollte dabei im Hinterkopf behalten werden, dass die Aufsichtsbehörde im schlimmsten Fall die Nutzung von Microsoft 365 untersagen könnte. Sofern dann bereits das gesamte Arbeitsumfeld in die Microsoft-365-Umgebung migriert bzw. dort etabliert wurde, kann dies das Unternehmen vor erhebliche Probleme stellen. Daher raten wir dringend, die oben genannten Einstellungen vorzunehmen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. IT Office Profilbild
    IT Office

    Thank you for this information. I would also be interested in analysis for G-Suite in Education, as it offers similar service.
    Did you also take into consideration German Office365 cloud and capabilities?

    1. Michael Weiß Profilbild
      Michael Weiß

      Thank you for your comment.

      We have also included the German cloud for Office365 in our analysis. This primarily takes into account the storage location and the avoidance of access to the data stored there, especially by US authorities. The remaining points of criticism, namely the other use of the data by Microsoft, remain.

      We have not yet performed an analysis for G-Suite. The background to this is that there has not yet been a detailed examination by supervisory authorities or similar. This is probably because G-Suite is usually only used in smaller companies and does not have the same distribution as Office365.

      Google has so far not attracted attention through a practice that conforms to data protection regulations. It is therefore difficult to correctly classify the efforts made by Google with regard to GDPR conformity. At this point it is also necessary to distinguish between contractual assurances and the actual processing of the data. As soon as more detailed information is available, we will also write an article on this subject. If you like, you may commission us to carry out an examination, especially for the education sector.

      [Frage Deutsch]: Vielen Dank für diese Informationen. Ich wäre auch an einer Analyse für die G-Suite im Bildungsbereich interessiert, da sie einen ähnlichen Service bietet.
      Haben Sie auch die Cloud und die Möglichkeiten der deutschen Version von Office365 in Betracht gezogen?

      [Antwort Deutsch]: Vielen Dank für Ihren Kommentar.

      Wir haben bei unserer Analyse auch die deutsche Cloud für Office365 einbezogen. Diese berücksichtigt primär den Speicherort und die Vermeidung des Zugriffs speziell von US-Behörden auf die dort gespeicherten Daten. Die übrigen Kritikpunkte, namentlich die anderweitige Verwendung der Daten durch Microsoft, bleiben auch dabei bestehen.

      Eine Analyse für G-Suite haben wir bisher noch nicht durchgeführt. Hintergrund ist dabei, dass bisher noch keine ausführliche Prüfung durch Aufsichtsbehörden oder dergleichen stattgefunden hat. Das dürfte daran liegen, dass G-Suite in der Regel nur in kleinere Unternehmen zum Einsatz kommt und keine Verbreitung wie Office365 vorweisen kann.

      Google ist bisher nicht durch eine datenschutzkonforme Praxis aufgefallen. Daher ist es schwierig, die von Google vorgenommenen Anstrengungen hinsichtlich DSGVO-Konformität korrekt einzuordnen. Man muss an dieser Stelle auch unterscheiden zwischen den vertraglichen Zusicherungen und der tatsächlichen Verarbeitung der Daten. Sobald nähere Informationen vorhanden sind, werden wir auch hierzu einen entsprechenden Artikel verfassen. Gerne können Sie uns auch mit einer Prüfung, speziell für den Bildungsbereich, gesondert beauftragen.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.