Die europäische Datenschutz-Grundverordnung (DSGVO) steht vor der Tür und stellt viele Unternehmen vor die Herausforderung, die neuen datenschutzrechtlichen Vorgaben effektiv zu erfüllen. Als nützliche und zugleich relativ kostengünstige Unterstützung zur Erfüllung der Datenschutz-Compliance kommen die neuen Compliance-Funktionen von Microsoft in Betracht.
Foto: dennizn - shutterstock.com
Rechtmäßige Auftragsverarbeitung
Zu dem Leistungsumfang von Office 365 gehören bekanntlich die Online-Versionen von Word, Excel und PowerPoint, welche es den Anwender erlauben, über unterschiedliche Endgeräte auf ihre Dokumente zuzugreifen. Hierbei liegen die Daten nicht mehr nur auf den hauseigenen Rechnern, sondern in der Cloud auf den Microsoft Servern.
Dasselbe gilt auch für die Microsoft Cloud-Computing-Plattform Azure. Insofern fungiert Microsoft als Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter. Indem die Online Dienste durch verschiedene datenschutzspezifische Verfahren verifiziert und zertifiziert sind, können die Unternehmen als verantwortliche Stelle ihrer datenschutzrechtlichen Rechenschaftspflicht in Bezug auf die Auftragsverarbeitung nachkommen.
Ferner informiert Microsoft in seinen Nutzungsbedingungen über die Prozesse und Datenverarbeitungen seiner Anwendungen. Dem Grunde nach erfüllt Microsoft damit die europäischen datenschutzrechtlichen Anforderungen an einen Auftragsverarbeiter. Denn die Nutzungsbedingungen können zusammen mit der Lizenzvereinbarung die gesetzlich geforderte Vertragsgrundlage einer Auftragsverarbeitung darstellen. Mit diesem Paket bietet Microsoft auch die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.
Betroffenenrechte: Auskunft, Sperrung und Löschung
Mit der DSGVO werden die bisher bestehenden Rechte der betroffenen Personen deutlich erweitert. Die Grundlage der Betroffenenrechte bildet das allgemeine Auskunftsrecht. Das verantwortliche Unternehmen muss dem Betroffenen auf Anfrage eine Bestätigung übermitteln, ob es ihn betreffende Daten verarbeitet oder nicht. In einem zweiten Schritt kann der Betroffene darüber Auskunft verlangen, welche personenbezogenen Daten genau von der verantwortlichen Stelle verarbeitet werden.
Die damit eingeholten Informationen bilden in der Regel die Basis für die Ausübung weiterer Betroffenenrechte. Hierzu zählen die bekannten Rechte auf Berichtigung und Löschung, sowie die neu eingeführten Rechte auf Einschränkung der Verarbeitung (Sperrung), auf Datenübertragbarkeit (Datenportabilität) und auf Vergessenwerden.
Lesetipp: Autokäufer sorgen sich um die Sicherheit ihrer Daten
Diese Auskunftsverlangen und Ansprüche der Betroffenen stellen die verantwortlichen Unternehmen oft vor größere Schwierigkeiten, da sie zunächst überprüfen müssen, welche Daten sich wo befinden und ob überhaupt ein Personenbezug vorliegt. Hier können etwa die "Data Loss Prevention Policies" für Office 365 hilfreich sein, mit denen sich prinzipiell alle vertraulichen Informationen innerhalb der Anwendungen identifizieren lassen.
Darüber hinaus ist es mit der Klassifikations-Funktion von Microsoft Azure möglich, sämtliche Daten automatisch auf personenbezogene Inhalte überprüfen zu lassen. Um die damit ermittelten personenbezogenen Daten dem Betroffenen auf Verlangen in einem gängigen elektronischen Format zur Verfügung zu stellen (Recht auf Datenübertragbarkeit), können die allgemeinen Export- und Download-Funktionen der Microsoft Anwendungen genutzt werden.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Sofern die Betroffenen von ihrem Recht auf Einschränkung der Verarbeitung Gebrauch machen, können die verantwortlichen Unternehmen im Rahmen der Anwendungen auch Sperrvermerke setzen. Ein Sperrvermerk kann einen Zugriff auf die jeweiligen personenbezogenen Daten für bestimmte Zwecke unmöglich machen. Hinsichtlich der Löschung von Daten muss der Verantwortliche jedoch weiterhin selbst tätig werden.