Office 365 kritisch betrachtet

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen zum Ende des letzten Jahres fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne. Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft.

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet. Die Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz wohl zulässig ist. Doch was sind eigentlich die datenschutzrechtlichen Probleme beim Einsatz von Office 365?

Wie setzte ich Office 365 richtig ein!

Maßnahmen und Einstellungen für einen datenschutzkonformen Betrieb von Office 365 zusammengefasst werden:

Windows Einstellung:

Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren. Programm zur Verbesserung der

Benutzerfreundlichkeit:

Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

Office ProPlus Version:

Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.
Beschränkung der Diagnosedaten:
Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.
Connected Experiences:
Die unter Punkt 3.4 aufgelisteten Connected Experiences sind zu deaktivieren.
Abschluss eines Auftragsverarbeitungsvertrags:
Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

EU-Standardvertragsklauseln:

Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

Linked-In-Integration:

Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.
Workplace Analytics, Activity Reports, Delve:
Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall von dem Datenschutzbeauftragten geprüft werden. Da es sich um die Auswertung von Leistungsdaten handelt, ist auch der Betriebsrat einzubeziehen.

Kunden-Lockbox:

Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.

Office-Online und Office-Mobile:

Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres untersagt werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

Durchführung einer Datenschutz-Folgenabschätzung:

Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Kontaktieren Sie dazu im besten Falle Ihren Datenschutzbeauftragten.