Aufarbeitung wichtiger bisheriger Datenschutzprobleme von Office 365 Diensten
In 2020 hat sich in der Datenschutzpraxis einiges getan. Gerade in den letzten Monaten ging es dabei oft um Microsoft und die Office365 Cloud Dienste, die angeblich gegen den europäischen Datenschutz (DS-GVO) verstoßen bzw. nicht rechtssicher in Deutschland betrieben werden können. Wir werden in diesem Beitrag die Fakten etwas ordnen und deren Auswirkungen verständlich machen, aber am Ende auch in Relation setzen, damit eine Abwägung des Verantwortlichen (zentrale Rolle i.S. der DS-GVO), aber auch eine Abwägung des Einzelnen möglich wird. Datenschutz ist Abwägung, trotz der klaren Regelungen in der DS-GVO gilt für die Bewertung von Sachverhalten selten ein reines schwarz/weiß-Denken.
Wir haben uns aufgrund des Umfangs an Material entschieden, aus diesem Thema eine Mini-Serie von 2 Artikeln zu erstellen. Im ersten Teil behandeln wir konkrete Datenschutzprobleme einzelner Office 365 Dienste und geben konkrete Tipps dafür. Im zweiten Teil geht es um die grundsätzliche datenschutzkonforme Nutzung von Office 365 und anderen US-Cloud Diensten vor dem Hintergrund der sich wandelnden politischen/rechtlichen Rahmenbedingungen. Im zweiten Teil gehen wir näher auf die untenstehende Grafik „O365 im DS-GVO Spannungsfeld zwischen EU und USA“ (Quelle: itensity) ein, und wie man darin schon sehen kann, deuten sich einige große Probleme an. Es wird um die Schicksalsfrage gehen.
Kritik an Office 365 vor 2020
Schon im Jahr 2018 gab es fundierte Kritik aus den Niederlanden ([1] „Microsoft Office sammelt Daten und verstößt gegen die DSGVO“) an der Versendung von Telemetriedaten von den installierbaren Office Pro Plus Produkten, die in den „großen“ Office 365 Lizenzen enthalten sind. Telemetriedaten sind Nutzungsdaten die in der Softwareentwicklung der Verbesserung des Produkts dienen. Laut den niederländischen Experten fielen darunter u.U. auch personenbezogene Daten z.B. in Form von Textausschnitten in Word-Dokumenten. Nutzer hatten hierüber keine Transparenz und auch keine Möglichkeit, die Versendung der Telemetriedaten abzustellen.
Im Ergebnis handelt es sich nicht um bösen Datenmissbrauch sondern um ein klassisches Produktproblem, welches behoben werden muss. Genau das hat Microsoft schon in 2018 getan, in Zusammenarbeit mit der Firma, die die Analyse damals durchgeführt hat. Auch ein deutscher Blog-Beitrag dieser Firma bestätigt dies [2].
Im Jahr 2019 gab es eine weitere Untersuchung der niederländischen Firma, die die Nachbesserungen von Microsoft bewerten soll. Wie Heise berichtet ([3] „Microsoft bessert auf Druck der Niederlande nach“) wird dem Umgang mit Telemetriedaten der Office Produkte zum Teil Entlastung erteilt. Gleichwohl bleiben z.B. die iOS Office Apps problematisch, wo Nutzungsdaten weiterhin auf Servern in den USA ausgewertet werden.
Zwischenzeitlich kam die Diskussion über den Einsatz von Office 365 an Schulen auf. Bildungseinrichtungen können vergünstigte, teilweise kostenlose sog. Education Lizenzen für Office 365 erwerben. Das Land Hessen, von jeher das Bundesland mit der längsten Datenschutz-Erfahrung [4], untersagte den Einsatz von Office 365 (analog auch Angebote von Google und Apple) an hessischen Schulen [5]. Landesdatenschutzbeauftragte (LDSB) anderer Bundeländer schlossen sich der hessischen Meinung an.
Da eine Untersuchung immer nur eine Momentaufnahme ist und Microsoft nach den ersten niederländischen Analysen sehr kooperativ und stetig den Datenschutz rund um die Telemetriedaten (siehe oben) verbessert hat, gab es schon knapp einen Monat später die zweite Stellungnahme des hessischen LDSB [6], nach der der Einsatz von Office 365 vorläufig geduldet wird, dies aber lediglich unter dem Vorbehalt einer weiteren Prüfung.
Chronologisch bewegen den Datenschutz rund um Office 365 sowohl vor als auch nach den Stellungnahmen aus Hessen wichtige Entscheidungen mit weitreichenden Konsequenzen für alle Cloud Dienste aus den USA, auf die wir -wie oben schon angedeutet – im zweiten Teil dieser Mini-Serie detailliert eingehen.
Erneut Probleme mit neuen Funktionen in Office 365
Schlagzeilen mit produktbezogenen Datenschutzproblemen verursachte Microsoft nochmals vor kurzem im November 2020 wie Heise berichtete [7]. Hintergrund sind neue Auswertungsmöglichkeiten in Office 365 (Workplace Analytics) für die Optimierung von internen Prozessen und die Auslastung von Mitarbeitern. Die Auswertungen werden dabei auf einzelne namentliche Mitarbeiter heruntergebrochen, was zumindest in Deutschland Persönlichkeitsrechte, Mitarbeiter-Datenschutz und ggf. Mitbestimmungsrechte in Unternehmen verletzt. Nach scharfer öffentlicher Kritik z.B. durch den DGB hat Microsoft bereits kurze Zeit später Verbesserungen angekündigt [8], damit die mitarbeiterbezogenen Auswertungen nicht mehr möglich sind. Wie Netzpolitik.org berichtete, sehen Datenschützer in den neuen Funktionen allerdings nur die „Spitze des Eisbergs“. Promotion-Videos und Patentanträge von Microsoft zeigen wo die Reise hingehen kann. Mitarbeiter und Geräte werden im Büro hinsichtlich der Nutzung von Diensten und Tools sowie auch geografisch (z.B. Bewegung im Raum) genau aufgezeichnet. Es wird sich zeigen, ob dies der besseren Bedienung und Interaktion dient (die XBox Spielekonsole von Microsoft kann ja bereits Bewegungen sehr gut erkennen) oder ob die Auswertung der Leistungsfähigkeit von Mitarbeitern im Vordergrund steht. Da diese Funktionen nicht in allen Ländern illegal sein dürften, ist zu erwarten, dass sie erhalten bleiben, aber in Deutschland zukünftig deaktiviert werden können bzw. gar nicht erst aktivierbar sind.
Fazit: Ist Microsoft also böse?
Nein. Microsoft hat sich sehr früh zur europäischen DS-GVO bekannt. Das spiegelt sich in den Vertragsbedingungen wider und der Frage der Datenspeicherorte. Die Geschäftskundenprodukte (Enterprise, worunter auch die Education Produkte fallen, und Business) dienen Microsoft der Gewinnerzielung, anders als z.B. bei Facebook steht eben nicht die kommerzielle Nutzung personenbezogener Daten im Mittelpunkt. Aus unserer Sicht hat sich Microsoft Office 365 in den letzten Jahren sehr stark weiterentwickelt und damit den Mehrwert des Produktes gesteigert, nicht zuletzt durch eine gute Kenntnis von Nutzungsdaten. Gleichzeitig hat sich Microsoft bei jeder identifizierten Verletzung der DS-GVO sofort in Kooperation mit den europäischen Behörden bemüht, die Probleme zu beheben, konkret durch die Abschaltung des Datenabflusses, durch Einstellungsmöglichkeiten auf Nutzerseite und durch Transparenz. Wir können sicher als Microsoft Partner nicht ganz objektiv sein, aber die Bekenntnis von Microsoft zum europäischen Datenschutzniveau erscheint uns authentisch, bei allen Zielkonflikten, die sich im Wettbewerb der Cloud Dienste natürlich ergeben. Auch gegenüber den Zugriffswünschen der US-Behörden wehrt sich Microsoft, wie das Portal Golem berichtet ([9] „Microsoft will trotz Gerichtsbeschluss keine Daten hergeben“).
Tipps für die Praxis – Office 365 datenschutzkonform einstellen
Für die praktische Nutzung folgt aus unseren Ausführungen: Regelmäßige Updates verbessern nicht nur die Dienste, sondern ergänzen jeweils auch den Datenschutz. Immer wichtiger wird 
dabei die initiale Konfiguration der Dienste und Produkte, damit diese im entsprechenden Land auch datenschutzkonform genutzt werden können. Grob kann man dabei sagen, dass die Features oder Dienste, bei denen Microsoft in seiner Rolle vom Auftragsverarbeiter zum Verantwortlichen (Angebot eines Web-Dienstes) wird, nicht genutzt werden dürfen. Dies betrifft z.B. die Integration von Bing, LinkedIn und andere Dienste. Alle Telemetrieeinstellungen sind so weit wie möglich einzuschränken (dies gilt natürlich auch für Windows 10). ActiveMind geben einen kleinen Überblick über notwendige Einstellungen in Office 365 [10]. Wirklich konkrete Checklisten sind schwierig, da Microsoft ständig Dinge hinzufügt, anpasst und oft auch Default-Einstellungen ändert. Fragen Sie hierfür den Dienstleister Ihres Vertrauens, oder uns.
Im zweiten Teil dieser Mini-Serie gehen wir auf die jüngsten politischen Rahmenbedingungen und deren Einfluss auf die Nutzung sämtlicher US-Cloud Dienste ein.
Quellen:
[1] Untersuchung: Microsoft Office sammelt Daten und verstößt gegen die DSGVO | heise online
[4] 50 Jahre Datenschutz in Hessen | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
[7] Anwenderüberwachung durch Microsofts Office-Software | heise online
[9] Cloud-Durchsuchung: Microsoft will trotz Gerichtsbeschluss keine Daten hergeben – Golem.de
[10] Office 365 / Microsoft 365 DSGVO-konform konfigurieren | activeMind AG