Zugriff auf Daten zu jeder Zeit und von jedem Ort aus

Zugriff auf Daten zu jeder Zeit und von jedem Ort aus

Die Cloud-Nutzung ist in den letzten Jahren sowohl im Privatleben als auch in Unternehmen zu einer Selbstverständlichkeit geworden. Dass die Datenspeicherung in einer IT-Wolke durchaus Vorteile hat, ist nicht von der Hand zu weisen.

Die Cloud, wie OneDrive von Microsoft, ist eine zentrale Sammelstelle für Daten, Fotos und Dokumente, auf die unabhängig vom Standort oder vom Gerät zugegriffen werden kann. Jedoch bringt die cloudbasierte Version Microsoft365 neben allen praktischen Vorteilen datenschutzrechtliche Risiken mit sich.

OneDrive ist nicht DSGVO-konform

Jedem OneDrive-Nutzer sollte unbedingt bewusst sein, dass er Microsoft die eigenen bzw. unternehmenseigenen, meist höchstpersönlichen oder besonders schützenswerten Daten anvertraut.

Das Unternehmen Microsoft hat seinen Sitz in den USA. Auch wenn es einige Angebote für Serverstandorte innerhalb der EU gibt, ist nicht auszuschließen, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z. B. zu Supportzwecken.

Man sollte es sich auf Grund des CLOUD Acts und der Schrems-II-Entscheidung des EuGHs also gut überlegen, welche seiner Daten man hier wirklich hinterlegen möchte.

Im Juli 2020 ging die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) noch einen Schritt weiter.

Mit einer knappen Mehrheit von 9 zu 8 Gegenstimmen entschied sie, dass ein datenschutzgerechter Einsatz von Microsoft Office 365 nicht möglich sei.

Folgende Gründe wurden von der DSK insbesondere genannt:

Keine Rechtsgrundlage für Telemetrie

Es liegt keine Rechtsgrundlage für die Übermittlung von Telemetrie-Diagnosedaten an Microsoft vor.

Fehlende Details

Beschreibungen über die Verarbeitung in Online Service Terms und in der Auftragsverarbeitung sei nicht detailliert genug, um beurteilen zu können, ob die Verarbeitung durch Microsoft zulässig ist.

Ungenauer Hinweis auf mögliche Weitergaben

Der vertragliche Vorbehalt über die Weitergabe von Daten in gesetzlich vorgeschriebenen Fällen sei zu abstrakt gefasst.

Die Entscheidung der DSK wird aber auch von vielen kritisch gesehen, da diese anhand von allgemeinen Unterlagen und ohne eine konkrete technische Einsicht getroffen wurde.

Jedoch bestehen Microsoft 365 sowie Office 365 aus einem Bündel von diversen Produkten und Funktionen, welche sich quasi wöchentlich ändern.

Für die Bewertung der Zulässigkeit in der Praxis, wird es immer auf die konkrete Nutzung von Microsoft 365 und OneDrive ankommen.

Die Einschätzung der DSK war also lediglich eine Momentaufnahme, da sie auf dem alten Stand von Januar 2020 ist. Daher kann es gut sein, dass beanstandete Punkte bereits angepasst wurden.

Umfangreiche Datenverarbeitung

Eins der größten, bestehenden Probleme ist in erster Linie, dass Microsoft nicht immer transparent arbeitet.

Das gilt beispielsweise bei der sogenannten Telemetire.

Telemetrie bei Microsoft

Mithilfe der Telemetrie können Diagnose- und Metadaten über die Nutzung der Leistung von Anwendung und Anwendungskomponenten gesammelt werden. Das geschieht vor allem, um die Software sicherer zu machen oder Fehler zu finden, um sie dann beseitigen zu können.

Die gesammelten Diagnosedaten sind jedoch nicht alle brauchbar und gehen über die zur Verwendung von Office notwendigen verarbeiteten Daten hinaus und werden laut Microsoft für die Verbesserung und für die Sicherheit der Dienste verwendet.

Über eine ID können die Daten den Nutzern zugeordnet werden.

Als Nutzer kann man über die Einstellungen die Verarbeitung der Diagnosedaten reduzieren.

Bis vor kurzer Zeit bot Microsoft keine umfassenden Dokumentations- oder Einstellungsmöglichkeiten und kein Datenanzeigetool für einen genauen Überblick über die mittels Telemetrie gesammelten Daten.

Der Microsoft Diagnostic Data Viewer

Durch die Implementierung des sogenannten „Microsoft Diagnostic Data Viewers“ hat sich das aber geändert. Mithilfe dieses Tools könne Nutzer nun nachvollziehen, welche Daten bei der Office-Nutzung unter welchen Dateneinstellungen erfasst werden.

Außerdem hat Microsoft die Verwendung von Diagnosedaten minimiert. Diese werden mittlerweile nur noch für drei anstatt für acht Verwendungszwecke verarbeitet.

Sehr viele dieser Telemetrie- und Diagnosedaten sind personenbezogen im Sinne des Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Für die Verarbeitung dieser Daten bedarf es also einer Rechtsgrundlage.

Laut der im Auftrag der niederländischen Regierung durchgeführten Datenschutzfolgeabschätzung gibt es bislang bei den meisten Datenverarbeitungen keine Gründe, weshalb ein Personenbezug überhaupt erforderlich sei.

Weitere Probleme beim Datenschutz

Die Office-Telemetriedaten und systemgenerierten Ereignisprotokolle werden für mindestens 30 Tage und allerhöchstens bis zu 18 Monate auf Microsoft US-Servern gespeichert.

Wenn ein einzelnes Microsoft-Team eine eigene Teilmenge von Daten exportiert hat, ist es möglich, dass die Daten auch noch länger gespeichert werden.

Mittlerweile ist es für die Administratoren auf Nutzerseiten jederzeit möglich, die bei Microsoft hinterlegten Telemetriedaten zu löschen.

Mit dem Angebot für die Geschäftskunden von Microsoft tätigte das Unternehmen einen weiteren wichtigen Schritt. Es ist nun möglich, Microsoft 365 über deutsche Server zu nutzen. Dieses Angebot wird weiter stetig aufgebaut.

Allerdings sollte man hier trotzdem nicht vergessen, dass Microsoft weiterhin Daten für seine eigenen Zwecke verarbeitet und das Verbleiben der Daten innerhalb der EU in vollem Umfang jedenfalls fraglich ist.

Datenschutzrisiken bei Microsoft

Im Folgenden haben wir eine Liste vorbereitet, die einige mögliche Kritikpunkte an Microsoft in Bezug auf Datenschutz auflistet.

1

Aufgrund mangelnder Transparenz ist es für Unternehmen nicht möglich, einen Überblick über die spezifischen Risiken für mit Microsoft 365 verarbeiteten Daten zu gewinnen, besonders bei der browserbasierten Version bzw. App.

2

Die fehlende Zweckbindung sowohl für die Verarbeitung historische gesammelter Diagnosedaten als auch die Möglichkeit, neue Ereignisse dynamisch hinzuzufügen.

Das widerspricht Art. 5 Abs. 1 b DSGVO, nach dem die Zwecke der Datenverarbeitung bereits zum Zeitpunkt der Erhebung der Daten festhalten müssen.

3

Die diskussionswürdige Einordnung von Microsoft als Auftragsverarbeiter anstelle einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DSGVO.

4

Die Übermittlung von Diagnosedaten außerhalb des EWR erfolgte auf der Grundlage des EU-US Privacy Shields.

Daher ist es sehr zu begrüßen, dass Microsoft lokale Server innerhalb der EU anbietet und dieser Service sollte definitiv entsprechend genutzt werden.

5

Problematisch ist außerdem, dass die Aufbewahrungsdauer von Diagnosedaten auf unbestimmter Zeit basiert.

Eine unbestimmte Speicherdauer verstößt in vielen Fällen gegen die Pflicht aus Art. 17 Abs. 1 DSGVO, personenbezogene Daten zu löschen.

6

Außerdem ist noch nicht geklärt, wie der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) sich auf die Herausgabepraxis von bei Microsoft gespeicherte Daten gegenüber amerikanischen Behörden auswirken wird.