Aufsichtsbehörden empfehlen verschiedene konkrete Maßnahmen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gewährleisten1. Diese Maßnahmen zielen sowohl auf die Vertragsgestaltung mit Microsoft als auch auf technische und organisatorische Aspekte ab.
Vertragsgestaltung:
• Anpassung des Auftragsverarbeitungsvertrags: Die Aufsichtsbehörden, insbesondere der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, empfehlen, wesentliche Änderungen am mit Microsoft geschlossenen Auftragsverarbeitungsvertrag zu erreichen1. Die DSK sieht die Anforderungen des Art. 28 Abs. 3 DS-GVO mit dem von Microsoft bereitgestellten Standard-Auftragsverarbeitungsvertrag als nicht eingehalten an.
• Zusatzvereinbarung: Es sollten die in der Handreichung der Aufsichtsbehörden empfohlenen Anpassungen in einer Zusatzvereinbarung mit Microsoft getroffen werden.
• EU-Datengrenze: Seit Januar 2024 gilt die EU-Datengrenze, die besagt, dass personenbezogene Daten, einschließlich pseudonymisierter Daten, die Server der Europäischen Union nicht mehr verlassen dürfen4. Microsoft hat das DPA entsprechend angepasst und bietet eine Dokumentation im neuen EU Data Boundary Trust Center an.
Technische Maßnahmen:
• Filterung von Telemetriedaten: Telemetriedaten sollten mit einer Firewall gefiltert werden, sofern dies nicht durch Konfigurationsvorgaben unterbunden werden kann.
• Pseudonymisierung: Es sollten dienstliche, pseudonyme E-Mail-Adressen/Accounts (idealerweise temporär aus einem Pool) verwendet und die Nutzung privater Microsoft-Accounts verboten werden7.
• Anonymisierung von Metadaten: Die Verwendung eines vorkonfigurierten und abgesicherten Browsers mit eingebauten Schutzmaßnahmen zur Anonymisierung/Unkenntlichmachung der Metadaten wird empfohlen8. Auch die Verwendung vorkonfigurierter Terminal-Clients zur Anonymisierung und Gleichschaltung der Metadaten wird geraten.
• Diagnosedaten: Die Einstellung für die Übertragung von Diagnosedaten sollte auf Administratorebene für alle Benutzer auf die niedrigste Stufe eingestellt werden. Bei Verwendung von Windows Enterprise als Betriebssystem sollte die Sicherheitsstufe für die Übertragung von Telemetrie- und Diagnosedaten auf „sicher“ eingestellt werden8. Microsoft stellt einen „Diagnostic Data Viewer“ zur Verfügung, um zu prüfen, welche Diagnosedaten übermittelt werden.
• Verschlüsselung: Bei der cloudbasierten Dateiablage sollte der Einsatz einer Inhaltsverschlüsselung geprüft werden, wie z. B. „Bring your own key“ (BYOK) oder „Double Key Encryption“ (DKE).
• Ausschließen risikobehafteter Daten: Es sollte bestimmt werden, welche Arten von besonders risikobehafteten personenbezogenen Daten gegebenenfalls vollständig aus der Cloud-Datenhaltung ausgeschlossen werden sollen.
• Deaktivierung nicht benötigter Anwendungen: Anwendungen innerhalb des gebuchten Plans, die nicht genutzt werden sollen oder noch nicht getestet wurden, sowie Anwendungen, die nicht vom DPA abgedeckt werden, sollten deaktiviert werden10. Dies gilt insbesondere für die „Optional Connected Experiences“10. Nicht benötigte „Connected Experiences“ sollten deaktiviert werden….
• Einschränkung der Datensammlung: Die Sammlung von Diagnose- und Telemetriedaten sollte eingeschränkt werden. Die Pseudonymisierung von Benutzerdaten in Berichten ist ebenfalls ratsam13.
• Bedingter Zugriff: Der bedingte Zugriff, der im Entra Admin Center konfigurierbar ist, sollte genutzt werden, um den Zugriff auf Microsoft 365 Anwendungen an bestimmte Bedingungen zu knüpfen14. Es sollte die Zwei-Faktor-Authentifizierung für alle Benutzer oder zumindest für alle Administratoren eingestellt werden.
Organisatorische Maßnahmen:
• Nutzungsrichtlinien: Es sollten klare Nutzungs- und Verhaltensrichtlinien für die Mitarbeiter erstellt werden15…. Dazu gehören z.B. Vorgaben, welche Daten und Dokumente freigegeben werden dürfen15.
• Schulungen: Die Mitarbeitenden sind im Umgang mit Microsoft 365 zu schulen und zu sensibilisieren16….
• Zugriffsrechte: Die Zugriffsrechte auf Metadaten sollten nach dem „Need-to-know-Prinzip“ auf den erforderlichen Personenkreis beschränkt werden16.
• Regelmäßige Evaluierung: Es sollte eine regelmäßige Evaluierung der eingesetzten Technologien durchgeführt werden, um Datenschutz und Rechtssicherheit langfristig zu gewährleisten18…. Insbesondere sollte geprüft werden, ob sich relevante Änderungen durch Updates oder neue Funktionen von Microsoft ergeben haben….
• Datenschutz-Folgenabschätzung (DSFA): Vor der Einführung von Microsoft 365 ist zu prüfen, ob eine DSFA erforderlich ist. Eine DSFA ist immer dann zwingend vorgeschrieben, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat….
• Verzeichnis von Verarbeitungstätigkeiten: Die Datenverarbeitungen im Zusammenhang mit Microsoft 365 sollten im Verzeichnis der Verarbeitungstätigkeiten ergänzt werden.
• Einwilligungsmanagement: Wenn Verarbeitungstätigkeiten durchgeführt werden sollen, die die Einwilligung der betroffenen Personen erfordern, müssen die Voraussetzungen des Art. 4 Nr. 11 und 7 DS-GVO beachtet werden.
• Information der Betroffenen: Die Datenverarbeitung, die mit Microsoft 365 stattfindet, sollte auch in den Pflichtinformationen aller betroffenen Personen abgebildet werden.
Die Aufsichtsbehörden betonen, dass die datenschutzrechtlichen Anforderungen nicht nur für Microsoft, sondern auch für die Verantwortlichen gelten, die die Produkte einsetzen1. Verantwortliche müssen alle ihnen zur Verfügung stehenden Möglichkeiten nutzen, auf datenschutzkonforme Vereinbarungen mit Microsoft hinzuwirken und Maßnahmen treffen, um den Datenschutz beim Einsatz von Microsoft 365 zu verbessern1. Es ist wichtig, dass diese Maßnahmen an die individuellen Bedürfnisse und Risiken der jeweiligen Organisation angepasst werden.
