Obwohl Office 365, die cloudbasierte Version des Office- Anwendungspakets von Microsoft Co., für die meisten Bürotätigkeiten nicht wegzudenken ist, muss überprüft werden, ob die Anwendung den einzuhaltenden datenschutzrechtlichen Regelungen genügt.

Nachdem das Niederländische Ministerium eine Datenschutzfolgeabschätzung zu Office 365 in Auftrag gegeben hat, ist fraglich, ob ein datenschutzrechtlich konformer Einsatz möglich ist.
Festgestellt wurden u.a. mangelhafte Transparenz, Nichteinstellbarkeit der Übermittlung von Diagnosedaten und eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft.

Im Ergebnis wurde dadurch klar: Ein DSGVO-konformer Einsatz von Office 365 ist nicht möglich.

Die eigentlichen Probleme beim Einsatz von Office 365 ergeben sich bei den verschiedenen Datenverarbeitungsvorgängen. Microsoft verarbeitet bei der Nutzung von Office 365 eine Vielzahl von personenbezogenen Daten.

Zu diesen gehören auch die Funktionsdaten, die notwendig sind für die Bereitstellung des Service Office 365, welche allerdings gleich nach der Bereitstellung wieder gelöscht werden. Dass Microsoft hierbei als Auftragsverarbeiter i.S.d. Art. 28 DSGVO tätig ist, wird aus dem Online Service Terms (OST) ersichtlich. Auftraggeber ist der jeweilige Nutzer von Office 365.

Zudem werden Inhaltsdaten verarbeitet, d.h. also die tatsächlichen Dokumente, Emails, Präsentationen etc. die Nutzer mit Office 365 erstellen. Laut den OST werden diese Daten aber wiederum nur für die Bereitstellung des Service und nicht zu anderen Zwecken verwendet.

Neben Funktions- und Inhaltsdaten werden eine große Anzahl an Diagnosedaten verarbeitet und an die Server von Microsoft geschickt. Nachdem für jeden Nutzer eine individuelle ID generiert wird, werden Daten erhoben wie die Nutzungsdauer eines Office-Dienstes – wie z.B. Outlook, Word, Power Point, Excel und den Cloudspeicher OneDrive – Größe der bearbeiteten Datei, User-, und Client ID und die verwendete Programmsprache.

Laut Microsoft werden diese Daten nicht für Profiling, Marktforschung oder Werbung, sondern für das Bereitstellen, Verbessern und Aktualisieren des Dienstes und dessen Sicherheit verwendet.

Nachdem das erste Ergebnis der oben dargestellten Datenschutzfolgeabschätzung deutliche Defizite und die Unvereinbarkeit mit der DSGVO aufzeigte, hat Microsoft mittlerweile die Verarbeitungszwecke stärker eingeschränkt, da sie aufgrund der Verarbeitung zu anderen Zwecken nicht wie gewünscht «nur» als Auftragsverarbeiter, sondern gleichzeitig mit dem Office 365-Nutzer als Verantwortlicher (Joint-Controller Art. 26 DSGVO) im Sinne der DSGVO galten, inklusive der damit verbundenen Rechtenund Pflichten.

Bei der Nutzung von Office 365 muss den Nutzern klar sein, dass eine Übermittlung der oben genannten Daten an Microsoft nicht ausgeschlossen werden kann. Auch wenn Microsoft Privacy-Shield-zertifiziert ist und Standart-Vertragsklauseln anbietet, werden diese Absicherungen von Datenübermittlungen an Drittländer gerade vom Europäischen Gerichtshof (EuGH) überprüft.

Daher kann für den Einsatz von Office 365 generell empfohlen werden z.B. Programme zur Verbesserung der Benutzerfreundlichkeit, Connected Experiences zu deaktivieren, die Einstellungen u.a. bei der Beschränkung der Diagnosedaten auf die geringste Stufe zu setzen und Maßnahmen wie Abschluss eines Auftragsverarbeitungsvertrages, Abschluss von Standart-Vertragsklauseln und die Durchführung einer eigenen Datenschutzfolgeabschätzung vorzunehmen. Insgesamt sind folgende Anpassungen zu empfehlen:

Windows Einstellung:
Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.

Programm zur Verbesserung der Benutzerfreundlichkeit:
Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

Office ProPlus Version:
Die in dieser Stellungnahme beschriebenen Einstellungen sind erst ab der Office ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.

Beschränkung der Diagnosedaten:
Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.

Connected Experiences:
Folgende Connected Experiences sind zu deaktivieren:

  • 3D Maps
  • Insert online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

Abschluss eines Auftragsverarbeitungsvertrags:
Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

EU-Standardvertragsklauseln:
Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

Linked-In-Integration:
Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.

Workplace Analytics, Activity Reports, Delve:
Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall geprüft werden, da es sich um die Auswertung von Leistungsdaten handelt.

Kunden-Lockbox:
Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.

Office-Online und Office-Mobile:
Die Verwendung der Office 365 Webanwendung und der Office Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

Durchführung einer Datenschutz-Folgenabschätzung:
Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

Abschließend kann gesagt werden, dass Office 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.