Von Windows 7 auf 10 updaten

Nutzen Sie Office 365 datenschutzkonform?

16.12.2019
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.

Office 365 - Prüfungsschritte vor dem Einsatz

Der Cloud-Service Office 365 erhebt ebenfalls mittels der einzelnen Anwendungen diagnostische Telemetriedaten sowie Daten aus den "Connected Services" (Rechtschreibprüfung, Übersetzungsmodul, etc.) die an Microsoft übertragen werden. Diese werden durch Microsoft selbst und durch Dritte weiterverarbeitet. Die niederländische Regierung hatte im Rahmen einer Datenschutzfolgenabschätzung gemäß Artikel 35 DSGVO festgestellt, dass Office 365 ProPlus derzeit nicht den Anforderungen der DSGVO gerecht wird und verhandelte mit Microsoft über datenschutzfreundliche Änderungen. In Folge dessen hatte sich Microsoft bereit erklärt, grundsätzlich keine Daten für Werbe- und Marktforschungszwecke sowie zur Datenanalyse und Profilerstellung an Dritte weiterzugeben. Ferner wurde die Zahl der Verarbeitungszwecke für Diagnosedaten vermindert.

Beim Einsatz von Office 365 sind daher einige wichtige Punkte zu beachten, um weitestgehend datenschutzkonform zu handeln. Die nachfolgende Checkliste lässt sich grundsätzlich auch auf die Verwendung von Windows 10 oder andere umfangreichere Software-Anwendungen übertragen, da sich die Problematiken häufig ähneln. Einige Maßnahmen überschneiden sich dabei mit den Vorgaben der Aufsichtsbehörden, werden jedoch um praxisnahe Bezüge ergänzt:

1. Datenschutzfolgenabschätzung

Im Rahmen einer Datenschutzfolgenabschätzung sollten bestehende oder mögliche Risiken, die sich für das Unternehmen aus der Nutzung von Microsoft-Anwendungen ergeben können identifiziert und dokumentiert werden.

2. Besonderheiten bei technischer Ausgestaltung

An den Microsoft-Produkten müssen organisatorische und technische Anpassungen vorgenommen werden und in der Datenschutzfolgenabschätzung dokumentiert werden. Dazu zählen unter anderem Updates auf aktuellere Versionen mit datenschutzkonformen Einstellungsmöglichkeiten oder die Einführung zusätzlicher Verschlüsselung. Aber auch die Entscheidung gegen die Durchführung einer Datenschutzfolgenabschätzung oder einzelner Maßnahmen muss begründet und dokumentiert werden.

3. Vertragsgestaltung

Verträge mit Microsoft müssen überprüft und gegebenenfalls neu verhandelt werden. Denn die Modifikationen seitens Microsoft sind schließlich auch das Resultat der Verhandlungen zwischen den niederländischen Behörden und Microsoft. Die Erfolgsaussichten hierfür sind naturgemäß auch abhängig von der Größe des jeweiligen Unternehmens. Das Beispiel aus den Niederlanden sowie die kritische Haltung der Aufsichtsbehörden liefern aber gewichtige Argumente für eine etwaige Nachverhandlung.

4. Änderungen bei Datenschutzverträgen

Die Verantwortlichkeiten in Bezug auf den Datenschutz müssen geprüft und gegebenenfalls festgelegt werden. Microsoft hatte zunächst den Standpunkt vertreten, grundsätzlich lediglich als Auftragsverarbeiter tätig zu werden. In einem Statement vom 18. November 2019 erklärte das Unternehmen, zumindest für einen Teil der Verarbeitungstätigkeiten unmittelbarer datenschutzrechtlicher Verantwortlicher zu sein. Welche Verarbeitungen Microsoft in Zukunft konkret als Verantwortlicher durchführen will, wird sich erst mit der Veröffentlichung der neuen "Online Services Terms" Anfang 2020 zeigen. Für diejenigen Tätigkeiten, die als Auftragsverarbeitung durchgeführt werden, ist in jedem Fall der Abschluss eines entsprechenden Vertrages erforderlich.

5. Drittstaatentransfer

Die Übermittlung von Daten in Drittländer außerhalb der EU (insbesondere die USA) muss datenschutzrechtlichen Anforderungen genügen. Microsoft ist zwar nach dem Privacy Shield zertifiziert und bietet auch EU-Standard-Vertragsklauseln an, die eine zulässige Übermittlung gewährleisten würden. Diese Instrumente werden derzeit jedoch durch den europäischen Gerichtshof (EuGH) geprüft und können gegebenenfalls für ungültig erklärt werden.

6. Betrieblicher Datenschutz

Mitarbeiter müssen in den Datenschutzhinweisen auf die Auswirkungen der Nutzung von Microsoft-Produkten hingewiesen werden. Interne Datenschutzrichtlinien müssen angepasst, Mitarbeiter gegebenenfalls entsprechend geschult werden.

7. Betriebsvereinbarungen

Sofern ein Betriebsrat vorhanden ist, muss der Einsatz von Microsoft-Produkten mit diesem abgestimmt und eine entsprechende Betriebsvereinbarung abgeschlossen werden. Kann die Datenübertragung durch bestimmte Dienste nicht deaktiviert werden, müssen entsprechende Dienstanweisungen erlassen werden, die deren Nutzung verbieten.

8. Schutz von Geschäftsgeheimnissen

Unternehmen sollten sich ferner beim "Upgrade" auf Microsoft Office 365 beziehungsweise Windows 10 auch mit dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) vom April 2019 befassen. Microsoft bietet Unternehmen diverse Funktionen, die im Rahmen eines Schutzkonzeptes für Geschäftsgeheimnisse hilfreich sein können.

Windows 10 & Office 365 - Datenschutz-Ausblick 2020

Auf Unternehmen kommt beim Einsatz von Windows 10 und Office 365 viel Arbeit zu - zumal viel Unternehmen diese Produkte nutzen. Das Thema ist brisant, da mit dem neuen Bußgeldmodell der deutschen Aufsichtsbehörden erheblich höhere Strafen für Datenschutzverstöße einhergehen dürften. Wie das Beispiel aus den Niederlanden zeigt, können Verhandlungen mit Microsoft durchaus erfolgversprechend sein und zur Verbesserung des datenschutzrechtlichen Standards führen.

Zumindest aber sollten Unternehmen selbst tätig werden, um einen weitestgehend datenschutzkonformen Einsatz von Softwareanwendungen zu gewährleisten. Nur so kann den Aufsichtsbehörden gegenüber nachgewiesen werden, dass eine ausreichende Auseinandersetzung mit dem Thema stattfand und man entsprechende Lösungen gesucht und umgesetzt hat. Welche Anpassungen Microsoft letztlich in seinen neuen Online Service Terms ab 2020 vornehmen wird, bleibt jedoch mit Spannung abzuwarten.