Microsoft 365 & Datenschutz – die Herausforderungen mit der DSGVO

DSGVO-Bewusstmacher

Seit Beginn der Corona Restriktionen zeigen viele Bereiche des gesellschaftlichen Lebens aber auch geschäftlichen Lebens deutlich auf, wie schnell sich die Zeiten  der scheinbar grenzenlosen Möglichkeiten, ändern können. Dennoch wurde als man noch davon ausging, jahrelang die Digitalisierung, besonders in Schulen verschlafen, teils auch schlichtweg verweigert. Doch dann musste alles plötzlich sehr schnell gehen, Hauruckaktionen, Aktionismus, kurze Dienstwegen und schnelle Workarounds waren gefragt. Dabei stellte sich im Alltag immer öfter eine entscheiden Frage: Wie genau und nachhaltig soll der Datenschutz in den Mittelpunkt der zu schaffenden Lösungen rücken? Eine pragmatischer Lösungsansatz ist bei Unsicherheit oft, die Nutzung von Standardsoftware, da man hier davon ausgehen kann, dass schon alles rechtens ist. Ist das so?

Microsoft 365, ehemals Microsoft Office, ist ein gutes Beispiel

Um aufzuzeigen, wie schwierig es im Einzelfall werden kann, schauen wir uns einmal Microsoft 365 (ehemals Microsoft Office und Office 365) an. Hierunter werden Word, Excel, Powerpoint, OneNote, OneDrive, Outlook sowie MS Teams zusammengefasst und gelten als der Goldstandard in Sachen Bürosoftware, Textverarbeitung, Präsentationen und Tabellenkalkulation – es gibt kaum einen Haushalt oder eine Schule bzw. ein Unternehmen welches nicht darauf setzt. Doch erfüllt die Software eigentlich alle Vorgaben der DSGVO?

Art. 28 der DSGVO versus Microsoft 365

Microsoft erklärt in den Nutzungsbedingungen nicht konkret bzw. nicht eindeutig, was man mit den erhobenen Daten der Nutzer macht. Das ist insofern kritisch, da diese unterschiedlich ausgelegt und gedeutet werden können – was wiederum die DSGVO eigentlich verhindern wollte.

In der Tat behält sich Microsoft vor, Kundendaten und personenbezogene Daten unter anderem auch zur Verfolgung von legitimen Geschäftstätigkeiten zu verarbeiten. Als legitime Geschäftstätigkeiten werden unter anderem diese Zwecke benannt:

  • Abrechnungs- und Kontoverwaltung; Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen)
  • interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie)
  • Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten
  • Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
  • Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Offenlegungsbeschränkungen)

Datenabfluss in der Praxis kaum kontrollierbar

Neben der sprachlichen Formulierung der Nutzungsbedingungen, die zwar mehrfach angepasst, jedoch dem Nutzer nicht aktiv vorgelegt wurden, stellt Microsoft 365 schon bei der Installation eine enorme Herausforderung an die Verantwortlichen.

Schon vor der eigentlichen Installation wurde eine umfangreiche Zustimmung zur Datenverarbeitung durch Microsoft verlangt und ist für den Laien kaum zu erfassen. Erschwerend kommt noch hinzu, dass auf Windows 10 bereits umfangreiche Telemetriedaten erhoben und an den Redmond Konzern übermittelt werden. Daraus ergibt sich ein komplexes Geflecht von Verantwortlichkeiten, die sich zwischen dem Anbieter (beispielsweise der Schule) und Microsoft aufteilen.

Erschwerend kommt hinzu, dass die Zustimmung auch zur Datenschutzerklärung von Microsoft auf die Datenschutzoptionen von Microsoft führt und der dortige Link „Online Steuerelemente für Werbung” proaktiv eingestellt ist. Per Default werden also Daten zur Erstellung personalisierter Werbung abgeschöpft – was insbesondere im schulischen Bereich einmal kritisch anzusehen ist.

Dieses Vorgehen zieht sich wie ein roter Faden durch Microsoft 365: So umfasst alleine das PDF zur Datenschutzerklärung von Microsoft 365 insgesamt 459 Seiten und enthält die Bereitstellung von bereits acht- bis zehntausend Diagnosedaten, die bei der Benutzung der Software erhoben werden können.

Stehen einem Unternehmen all diese Daten zur Verfügung, lässt sich ein vollständiges Verhaltensprofil im Zusammenhang der Nutzung erstellen. In Kombination mit der Cloud-Anwendung ist Microsoft sogar in der Lage, sämtliche Tastaturanschläge zu erfassen und geschriebene Texte wiederherzustellen.

Ein Schüler aus der Oberstufe eines Gymnasiums schrieb dazu mal folgenden Anmerkung:

Es kann sein, dass ich in 20 Jahren eine Stelle nicht bekommen, weil eine Software von mir einen politischen Text als gesellschaftlich nicht mehr tragfähig erachtet und mich deshalb ablehnt.

Die Niederlande verbannten deshalb Microsoft 365 aus den Schulen

Die vorher geschilderte Sachlage in Kombination mit den in die USA übermittelten Telemetrie-Daten führte sogar dazu, dass die niederländische Regierung vor knapp anderthalb Jahren Microsoft 365 aus sämtlichen Schulen verbannte und Microsoft hier seine Nutzungsbedingungen in erheblichem Umfang nachbessern musste.

Auch in Deutschland nicht ohne weiteres DSGVO-konform

Allerdings müssen wir nicht zu unseren Nachbarn schauen, denn auch in Deutschland ist Microsoft 365 und insbesondere die dazugehörige Cloud-Anbindung nicht DSGVO-konform. Konkret bemängeln die Datenschutzbehörden unter anderem auch hier die Übermittlung der Telemetrie-Diagnosedaten, nach deren Auffassung es keine Rechtsgrundlage gibt.

Allerdings, und dies ist entscheidend, gibt es derzeit keine zu erwartenden Bußgelder. Dafür ist die Rechtsgrundlage einfach zu unklar und die beanstandeten Mängel innerhalb der Nutzungsbedingungen lassen sich vergleichsweise einfach beheben.

Was ist nun die Essenz?

Nachdem wir nun etwas in die Thematik eingetaucht sind, stellt sich nun die Frage der Quintessenz: Wir können und wollen an dieser Stelle keine Empfehlung aussprechen. So ist eine Deinstallation von Microsoft 365 doch eine zu drastische Maßnahme und unverhältnismäßig.

Es ist aber auf jeden Fall angebracht, sich über zwei Dinge im Klaren zu werden. Da wäre einerseits der Umfang, mit dem selbst eine so standardisierte Software wie Microsoft 365 Daten abschöpft – es ist eben nicht immer nur Facebook – und andererseits, wie viel wir dem Datenschutz Gewicht geben wollen. Klar ist nämlich, dass wir wirtschaftlich und in der Bildung den Anschluss verlieren. Es existieren schlicht keine oder nur wenige vernünftige Alternativen.

    Umfrage Teilnehmen

    Wir bitten um Ihr Marktfeedback


    Wie gehen Sie mit der Datenschutz-Unsicherheit bei Microsoft 365 um? Anonyme Teilnahme möglich!

    Bitte wählen Sie die für Sie zutreffende Aussage aus (Mehrfachauswahl möglich):

    Die Kritik der Datenschutzbehörden war mir nicht bewusst
    Uns ist das Datenschutz-Risiko bewusst, rechnen jedoch mit keinem Bußgeld
    Wir haben individuelle DSGVO-Abstimmung durchgeführt
    Das ist die Aufgabe unseres Datenschutzbeauftragten, der eine Mitteilungspflicht hat
    Wir haben spezielle Konfigurationen vorgenommen, um den Datenabschluss einzuschränken

    Welche Alternative werden Sie nutzen?

    Bitte wählen Sie die für Sie zutreffende Aussage aus, sofern kein Microsoft 365 einsetzen (Mehrfachauswahl möglich):

    Wir nutzen noch Microsoft Office in einer älteren Version, nicht in der Cloud
    Wir nutzen Google Workspace (ehemals Google Suite
    Wir nutzen Open Office
    Für die Funktionsbereiche (Textverarbeitung, Videofonie, Tabellenkalkulation) nutzen wir unterschiedliche Alternativen

    Ergänzende Informationen zur Angabe beispielsweise nicht genannte Alternativen oder Ihre persönlichen Meinung, bzw. Tipps: (Freitext))



    Umfrage absenden (gerne auch mit anonymem Pseudonym)

    Vor- und Nachname

    Ihre E-Mail

    DSGVO-Pflichtfeld: Ich willige ein, dass bei der Kontaktaufnahme über dieses Internetformular, meine Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert werden.

    Freiwillige Angaben

    Networking-Interesse:
    Freiwillige Datenfreigabe zur besseren Vernetzung unserer Mitglieder im Netzwerk/Forum (Einzelfallbezogen, nicht öffentlich).Ich willige ein, dass meine Daten, in Ihrem Netzwerk vertraulich und kontextbezogen genutzt werden können. Ohne diese Datenfreigabe kontaktiert Sie, wenn überhaupt, nur das Industrie-Wegweiser Team.

    Firmenname

    Branche

    Funktion

    Straße und Hausnummer

    PLZ/Ort

    Kontaktrufnummer

    Informationsservice it-wegweiser

    Informationsservice Datenschutz-Update

    Sollten Sie sie eine ältere Version Ihres Internet-Browsers nutzen, kann es zu Schwierigkeiten beim Ausfüllen des Anmeldeformulares kommen. Sie können uns in diesem Fall auch per Mail erreichen: info@industrie-wegweiser.de