Welche Datenschutzrisiken birgt Microsoft 365, und wie lassen sie sich minimieren?
Posted inAllgemein

Welche Datenschutzrisiken birgt Microsoft 365, und wie lassen sie sich minimieren?

Microsoft 365 birgt verschiedene Datenschutzrisiken, die sich jedoch durch technische und organisatorische Maßnahmen minimieren lassen.

Datenschutzrisiken:

  • Mangelnde Transparenz: Die Datenschutzkonferenz (DSK) bemängelt, dass der von Microsoft bereitgestellte Standard-Auftragsverarbeitungsvertrag die Anforderungen des Art. 28 Abs. 3 DS-GVO nicht erfüllt, insbesondere hinsichtlich der Verarbeitung personenbezogener Daten durch Microsoft für eigene Zwecke. Es bleibt unklar, ob diese Bewertung eine grundsätzliche Einordnung in Bezug auf Microsoft 365 darstellt oder ob sie sich konkret auf den „Datenschutznachtrag vom 15.09.2022“ bezieht.
  • Datenübermittlung in Drittstaaten: Das Mutterunternehmen von Microsoft, die Microsoft Corporation Inc., ist ein US-amerikanisches Unternehmen, das dem CLOUD Act sowie Section 702 FISA unterliegt. US-Behörden haben dadurch die Möglichkeit, auf außerhalb der USA gespeicherte Daten zuzugreifen.
  • Übermittlung von Telemetrie- und Diagnosedaten: Microsoft erhebt aus den Onlinediensten oder Windows Diagnose- und Telemetriedaten, die Aufschluss über die individuelle Nutzung der Anwendungen geben können. Diese Daten können auch personenbezogene Daten enthalten, wie z. B. aus E-Mail-Betreffzeilen.
  • Risiken durch Cloud-Anbindung: Die Cloud-Anbindung erhöht die Zugriffspunkte und damit die Risiken eines unberechtigten Datenzugriffs. Zudem führt sie zur Abhängigkeit von einer stabilen Internetverbindung.
  • Unstrukturierte Datenverarbeitung: Die Vielzahl von Tools und Anwendungen mit teilweise überlappenden Funktionen kann zu unstrukturierter Datenverarbeitung und -speicherung führen, was unbeabsichtigte Datenverluste und eine doppelte Speicherung personenbezogener Daten zur Folge haben kann.
  • Freigabe von Dokumenten: Das Versenden von „Freigabelinks“ kann dazu führen, dass Unbefugte Kenntnis von den Daten erlangen und diese missbrauchen.
  • Microsoft Graph: Microsoft Graph sammelt Daten aus verschiedenen Anwendungen wie Outlook, Kalender, OneDrive, Teams usw. und analysiert das Nutzerverhalten. Diese Daten können detaillierte Informationen über das Nutzungsverhalten der Benutzer liefern. Die Datenschützer kritisieren die Vielzahl der gesammelten Nutzerdaten, die in speziellen Anwendungen zusammengeführt und aufbereitet werden.
  • Delve: Delve zeigt den Benutzern die wichtigsten Inhalte basierend auf ihrer Zusammenarbeit und ihren aktuellen Aufgaben. Es verwendet Informationen aus Benutzerprofilen, um zu bestimmen, mit wem Benutzer in ihrer Organisation am engsten zusammenarbeiten. Durch unbedachtes Teilen von Dokumenten können Berechtigungsstrukturen umgangen werden.
  • Viva Insights: Viva Insights analysiert die Arbeitsgewohnheiten der Benutzer und gibt Empfehlungen zur Steigerung der Produktivität. Es werden Informationen aus E-Mail-Elementen, Kalenderelementen, Teams sowie OneDrive und SharePoint verarbeitet.

Minimierung der Risiken:

  • Anpassung des Auftragsverarbeitungsvertrags: Verantwortliche sollten versuchen, wesentliche Änderungen des mit Microsoft geschlossenen Auftragsverarbeitungsvertrages zu erreichen.
  • Technische und organisatorische Maßnahmen: Verantwortliche sollten Maßnahmen treffen, die unabhängig von den vertraglichen Vereinbarungen mit Microsoft getroffen werden können, um den Datenschutz beim Einsatz von Microsoft 365 zu verbessern.
  • Datenschutz-Folgenabschätzung (DSFA): Vor der Einführung von Microsoft 365 ist zu prüfen, ob eine DSFA erforderlich ist. Eine DSFA ist immer dann zwingend vorgeschrieben, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
  • Technische Maßnahmen:
    • Filterung von Telemetriedaten: Telemetriedaten sollten mit einer Firewall gefiltert werden.
    • Pseudonymisierung: Es sollten dienstliche, pseudonyme E-Mail-Adressen verwendet und die Nutzung privater Microsoft-Konten verboten werden.
    • Anonymisierung von Metadaten: Die Verwendung eines vorkonfigurierten und abgesicherten Browsers mit eingebauten Schutzmaßnahmen zur Anonymisierung/Unkenntlichmachung der Metadaten ist ratsam.
    • Diagnosedaten: Die Übertragung von Diagnosedaten sollte auf die niedrigste Stufe eingestellt werden.
    • Verschlüsselung: Bei der cloudbasierten Dateiablage ist der Einsatz einer Inhaltsverschlüsselung zu prüfen, wie z. B. „Bring your own key“ (BYOK) oder „Double Key Encryption“ (DKE).
    • Deaktivierung nicht benötigter Anwendungen: Nicht benötigte Anwendungen und Funktionen sollten deaktiviert werden, inklusive der „Connected Experiences“.
  • Organisatorische Maßnahmen:
    • Nutzungsrichtlinien: Klare Nutzungs- und Verhaltensrichtlinien für die Mitarbeiter sollten erstellt werden.
    • Schulungen: Die Mitarbeitenden sind im Umgang mit Microsoft 365 zu schulen und zu sensibilisieren.
    • Zugriffsrechte: Die Zugriffsrechte auf Metadaten sollten nach dem „Need-to-know-Prinzip“ beschränkt werden.
  • Vertragsanpassungen: Es sollten die in der Handreichung der Aufsichtsbehörden empfohlenen Anpassungen in einer Zusatzvereinbarung mit Microsoft getroffen werden.
  • Regelmäßige Evaluierung: Es ist eine regelmäßige Evaluierung der eingesetzten Technologien notwendig, um Datenschutz und Rechtssicherheit langfristig zu gewährleisten.
  • Minimierung der Datensammlung: Die Sammlung von Diagnose- und Telemetriedaten sollte eingeschränkt werden. Die Pseudonymisierung von Benutzerdaten in Berichten ist ebenfalls ratsam.

Diese Maßnahmen können helfen, die Datenschutzrisiken bei der Nutzung von Microsoft 365 zu minimieren.