Compliance in der praktischen Umsetzung

Datenschutz in Microsoft Office 365 und Microsoft Azure

30.11.2017 von Michael Rath und Markus Heins  
Sowohl das Cloud-Angebot von „Microsoft Office 365“ als auch die Hybrid Cloud „Microsoft Azure“ geben den Anwendern viele Möglichkeiten, einige der neuen europäischen Dokumentationsanforderungen der DSGVO einzuhalten.

Die europäische Datenschutz-Grundverordnung (DSGVO) steht vor der Tür und stellt viele Unternehmen vor die Herausforderung, die neuen datenschutzrechtlichen Vorgaben effektiv zu erfüllen. Als nützliche und zugleich relativ kostengünstige Unterstützung zur Erfüllung der Datenschutz-Compliance kommen die neuen Compliance-Funktionen von Microsoft in Betracht.

Microsoft bietet für die Cloud-Dienste Microsoft Office 365 und Microsoft Azure die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.
Foto: dennizn - shutterstock.com

Rechtmäßige Auftragsverarbeitung

Zu dem Leistungsumfang von Office 365 gehören bekanntlich die Online-Versionen von Word, Excel und PowerPoint, welche es den Anwender erlauben, über unterschiedliche Endgeräte auf ihre Dokumente zuzugreifen. Hierbei liegen die Daten nicht mehr nur auf den hauseigenen Rechnern, sondern in der Cloud auf den Microsoft Servern.

Dasselbe gilt auch für die Microsoft Cloud-Computing-Plattform Azure. Insofern fungiert Microsoft als Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter. Indem die Online Dienste durch verschiedene datenschutzspezifische Verfahren verifiziert und zertifiziert sind, können die Unternehmen als verantwortliche Stelle ihrer datenschutzrechtlichen Rechenschaftspflicht in Bezug auf die Auftragsverarbeitung nachkommen.

Ferner informiert Microsoft in seinen Nutzungsbedingungen über die Prozesse und Datenverarbeitungen seiner Anwendungen. Dem Grunde nach erfüllt Microsoft damit die europäischen datenschutzrechtlichen Anforderungen an einen Auftragsverarbeiter. Denn die Nutzungsbedingungen können zusammen mit der Lizenzvereinbarung die gesetzlich geforderte Vertragsgrundlage einer Auftragsverarbeitung darstellen. Mit diesem Paket bietet Microsoft auch die gesetzlich geforderten hinreichenden Garantien, dass es zum Schutz personenbezogener Daten ausreichend geeignete technische und organisatorische Maßnahmen durchführt.

Betroffenenrechte: Auskunft, Sperrung und Löschung

Mit der DSGVO werden die bisher bestehenden Rechte der betroffenen Personen deutlich erweitert. Die Grundlage der Betroffenenrechte bildet das allgemeine Auskunftsrecht. Das verantwortliche Unternehmen muss dem Betroffenen auf Anfrage eine Bestätigung übermitteln, ob es ihn betreffende Daten verarbeitet oder nicht. In einem zweiten Schritt kann der Betroffene darüber Auskunft verlangen, welche personenbezogenen Daten genau von der verantwortlichen Stelle verarbeitet werden.

Die damit eingeholten Informationen bilden in der Regel die Basis für die Ausübung weiterer Betroffenenrechte. Hierzu zählen die bekannten Rechte auf Berichtigung und Löschung, sowie die neu eingeführten Rechte auf Einschränkung der Verarbeitung (Sperrung), auf Datenübertragbarkeit (Datenportabilität) und auf Vergessenwerden.

Lesetipp: Autokäufer sorgen sich um die Sicherheit ihrer Daten

Diese Auskunftsverlangen und Ansprüche der Betroffenen stellen die verantwortlichen Unternehmen oft vor größere Schwierigkeiten, da sie zunächst überprüfen müssen, welche Daten sich wo befinden und ob überhaupt ein Personenbezug vorliegt. Hier können etwa die "Data Loss Prevention Policies" für Office 365 hilfreich sein, mit denen sich prinzipiell alle vertraulichen Informationen innerhalb der Anwendungen identifizieren lassen.

Darüber hinaus ist es mit der Klassifikations-Funktion von Microsoft Azure möglich, sämtliche Daten automatisch auf personenbezogene Inhalte überprüfen zu lassen. Um die damit ermittelten personenbezogenen Daten dem Betroffenen auf Verlangen in einem gängigen elektronischen Format zur Verfügung zu stellen (Recht auf Datenübertragbarkeit), können die allgemeinen Export- und Download-Funktionen der Microsoft Anwendungen genutzt werden.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Sofern die Betroffenen von ihrem Recht auf Einschränkung der Verarbeitung Gebrauch machen, können die verantwortlichen Unternehmen im Rahmen der Anwendungen auch Sperrvermerke setzen. Ein Sperrvermerk kann einen Zugriff auf die jeweiligen personenbezogenen Daten für bestimmte Zwecke unmöglich machen. Hinsichtlich der Löschung von Daten muss der Verantwortliche jedoch weiterhin selbst tätig werden.

Verzeichnis von Verarbeitungstätigkeiten

Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem sie eine Übersicht aller laufenden Datenverarbeitungstätigkeiten ihres Unternehmens aufstellen. Eine gute Grundlage für die Erstellung dieser Verzeichnisse sind die mittels der Office Anwendungen erstellbaren Reports. Hierbei erhält man eine Übersicht sämtlicher genutzter Services in "Office 365". Eine ausführlichere Auflistung kann mittels des Tools "Free Office 365 Reporting Tool" erstellt werden. Bei Microsoft Azure kann direkt im Azure Portal unter dem Punkt "Dashboard -> All Resources" eine Übersicht eingesehen werden. Die so ermittelten Informationen müssen allerdings weiter aufbereitet und konkretisiert werden, um die Verarbeitungstätigkeiten im Sinne der DSGVO ordnungsgemäß aufzulisten.

Zum Video: Datenschutz in Microsoft Office 365 und Microsoft Azure

Einhaltung technisch organisatorischer Maßnahmen

Zur Sicherstellung eines angemessenes Schutzniveau und damit zur Minimierung des Risikos für die personenbezogenen Daten der betroffenen Personen sind die Verantwortlichen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen für die jeweilige Datenverarbeitung zu treffen. Microsoft sagt bei Nutzung des Dienstes "Office 365 Deutschland" zu, dass sowohl die Datenhaltung als auch die Bereitstellung der Dienste selbst ausschließlich auf Servern in der Bundesrepublik Deutschland erfolgt und Microsoft keine Möglichkeit hat, auf die Daten zuzugreifen.

Lesetipp: Persönliche Daten: Keine Verpflichtung zur Herausgabe

Datenschutz-Folgenabschätzung

Mit der DSGVO wird unter anderem auch die Datenschutz-Folgenabschätzung eingeführt. Eine Datenschutz-Folgenabschätzung ist immer dann zwingend erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Mit der Folgenabschätzung sollen die Auswirkungen der Datenverarbeitung überprüft werden.

Das Kriterium "hohes Risiko" wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Die Artikel-29-Datenschutzgruppe - ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz - schlägt als Daumenregel folgendes vor: Erst wenn bei einer Datenverarbeitung, mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.) erfüllt sind, sei ein "hohes Risiko" im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutz-Folgenabschätzung durchzuführen.

Als Hilfestellung für die Durchführung einer Datenschutz-Folgenabschätzung im Rahmen der DSGVO können sowohl das "Standard Datenschutzmodell" von den deutschen Datenschutzaufsichtsbehörden als auch die international existierenden ISO-Normen herangezogen werden. Indem die Microsoft Anwendungen nach den Vorgaben der ISO 27001 und ISO 27018 verifiziert sind und deren Gewährleistungsziele größtenteils mit den Zielen der Datenschutz-Folgenabschätzung korrelieren, ist damit bereits eine erste Basis für die Durchführung einer Folgenabschätzung geschaffen.

Fazit

Insgesamt stellen die Funktionen der Microsoft Anwendungen eine gute Ausgangsposition dar, die strengen europäischen Datenschutzvorgaben der DSGVO zu erfüllen. Bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 bleibt für die verantwortlichen Unternehmen nicht mehr viel Zeit die neuen Vorgaben umzusetzen. Sämtliche Datenverarbeitungstätigkeiten sollten anhand eines Maßnahmenplanes überprüft und die notwendigen Maßnahmen eingeleitet werden.