Datenschutz- und IT-Sicherheitsfragen bei der Nutzung von Microsoft 365
Dieser Beitrag gibt einen Überblick zu den wesentlichen Anforderungen, die bei der Einführung von MS 365 aus der Sicht des Datenschutzes und der IT-Sicherheit zu berücksichtigen sind. Das zum September 2023 anstehende Inkrafttreten des revidierten Schweizer Datenschutzgesetzes und die damit einhergehende noch weitere Angleichung des Schweizer und des deutschen datenschutzrechtlichen Rahmens führt zu einer beidseitigen Verwertbarkeit der hier angesprochenen Schwerpunkte – aus Schweizer und aus deutscher Perspektive.
Systemseitige Schwachstellen für die ITund Datenschutz-Compliance?
In der Ausgangsposition gelten die Grundsätze Privacy- bzw. Security-by-Design. Informationstechnische Systeme sowie Daten sind auf angemessene Weise zu schützen und es ist zu gewährleisten, dass nur Informationen und Daten verarbeitet werden, die für den jeweils festgelegten Zweck zwingend benötigt werden – und genau hier setzt z. B. die Kritik der Aufsichtsbehörden an:
Microsoft behält sich nämlich gegenüber Kunden das Recht vor, anfallende Daten für eigene Zwecke wie Produktverbesserungen oder Analysen zu verwenden. Das betrifft insbesondere die Nutzung von dienstgenerierten Daten wie Telemetrie und Diagnosedaten durch Microsoft und deren Speicherung in den USA.
Die mögliche Übertragung von Daten in die USA stellt ein grundsätzliches Problem dar, denn aufgrund von US-Gesetzen kann selbst bei Wahl eines Server-Standortes in der EU bzw. der Schweiz ein potentieller Zugriff von US-Ermittlungsbehörden auf Daten nicht ausgeschlossen werden.
Auch die Analysefunktionen (z. B. Viva) sind problematisch, da Administratoren theoretisch Zugriff auf zahlreiche Beschäftigtendaten haben, die eine weitreichende arbeitgeberseitige Verhaltensund Leistungskontrolle ermöglichen könnten.
Alles eine Frage der Konfiguration?
Da die technische (IT)-Governance hochgradig anpassbar ist, ist eine detaillierte Auseinandersetzung mit den vielfältigen Konfigurationsmöglichkeiten unumgänglich.
Der Server-Standort ist in der EU bzw. der Schweiz zu wählen. Zusätzlich ist die Übertragung von Telemetrie- und Diagnosedaten an Microsoft technisch zu unterbinden (z. B. durch Wahl der Telemetriestufe «Security»). Ferner spielt die Konfiguration der Infrastruktur (insbesondere Firewalls) eine wesentliche Rolle. Über den Diagnosedaten-Viewer können die relevanten Datenerfassungen in der Administration eingesehen und bewertet werden. Mit der Funktion «Steuerelemente» für Diagnosedaten kann der Umfang der Datenübertragung entsprechend angepasst werden.1 Für die Minimierung des organisationsseitigen Anfalls von Nutzungsdaten sollten vorkonfigurierte Browser und Terminal- Clients mit entsprechenden Schutzeinstellungen zur Anonymisierung von Metadaten eingesetzt werden.
Mit dem Datenschutzbeauftragten / dem Datenschutzberater und den Fachbereichen sind Vorüberlegungen zur datenschutzrechtlichen Zulässigkeit der Verarbeitung zu treffen. Für die Nutzung von Analysefunktionen (z. B. Microsoft Viva) und die optionalen Dienste2 sind weitreichende Transparenz- und Rechtmässigkeitsvoraussetzungen zu erfüllen. Nicht benötigte Dienste sind zu deaktivieren.
Bestehende Personalvertretungsorgane sind einzubeziehen.3 Die Durchführung einer Datenschutz-Folgenabschätzung und ein Transfer Impact Assessment sind verpflichtend.
Wegen der Cloud-Integration ist für die Ablage von Daten zudem die Wahl der Verschlüsselungsart entscheidend. Für besonders sensitive Informationen ist nach Möglichkeit auf private- bzw. own-key-Mechanismen abzustellen. Eine public-key-Veschlüsselung dürfte für sensible Informationen regelmässig ausgeschlossen sein.
Weitere zusätzliche Massnahmen sind Schulungen der Mitarbeiter im datenschutzkonformen Umgang mit MS 365, Richtlinien und Anweisungen.
Die vorhandenen Konfigurationsmöglichkeiten hängen von der jeweiligen Lizenz ab, weshalb der Auswahl des Lizenzplans entscheidende Bedeutung zukommt. Eine besondere Herausforderung stellen besondere Kategorien von personenbezogenen Daten bzw. besondere schützenswerte Personendaten dar. Dabei sind insbesondere die strengen Anforderungen des Art. 9 DS-GVO und des Art. 5 c revDSG, aber teilweise auch noch ergänzende spezielle Vorgaben – insbesondere im Gesundheitswesen – zu beachten.
Die umfassende Verarbeitung von Gesundheitsdaten über Dienste wie u. a. Teams ist damit eher kritisch zu betrachten. Microsoft führt selbst aus, dass MS 365 nicht dafür vorgesehen ist, besondere Datenkategorien wie Gesundheitsdaten zu verarbeiten. Vereinzelte Verarbeitungen von Gesundheitsinformationen über Outlook dürften (unter Ergreifung entsprechend angemessener technischer und organisatorischer Massnahmen), hingegen zulässig sein.
Im Ergebnis ist festzuhalten: Bei der rechtssicheren Nutzung von MS 365 haben die relevanten Entscheidungsebenen zahlreiche Risiken zu berücksichtigen, die auf Ebene der Konfiguration zu minimieren sind. Keinesfalls darf es zu einer Nutzung im unbearbeiteten Auslieferungsstand kommen.
Lizensierung von MS 365-Produkten
Bestandteil der Compliancebetrachtung aus Sicht der IT und anderer beteiligter Stakeholder ist auch die vertragliche Struktur bzw. das von Microsoft bereitgestellte
Vertragswerk.
Doch wie sieht die Lizenzpraxis eigentlich aus?
Zumeist aus Kostengründen gehen viele Organisationen dazu über, auf Kombinationen verschiedener Lizenzmodelle zu setzen. So werden für zentrale Unterstützungsbereiche (insbesondere die IT) und die Verwaltung in der Regel Volumenlizenzen beschafft, andere Bereiche erhalten Lizenzen im Einzelbezug oder
es werden Lizenzen aus der «F3»-Reihe beschafft, welche die Arbeit auf mobilen
Geräten und Apps ermöglichen.
Es gibt elementare Unterschiede in den Sicherheitszusagen von Microsoft
Das Vertragswerk von MS 365 wird formal über die «Product Terms»4 (früher auch bekannt als «Online Service Terms») ausgerollt, über deren Inhalt sich Anwender und Entscheider die für sie relevanten Bestimmungen zusammenstellen können.
Ergänzend zu den Product Terms gilt seit September 2022 ein neues «Data Protection Addendum» (DPA)5. Hierin enthalten sind insbesondere die neuen Standard- Vertragsklauseln (ab Dezember 2022 für Organisationen verpflichtend, wenn eine Drittlandübermittlung -wie im Fall der Auftragsverarbeitung durch Microsoft – stattfindet). Bestandteil des DPA sind zudem umfassende Sicherheitszusagen von Microsoft in Bezug auf Daten und Informationen, wie der Schutz vor unbefugtem Zugriff, Bestimmungen zu additional Safeguards und Verschlüsselungsmassnahmen. Über das DPA werden zudem die umfassenden technischen und organisatorischen Massnahmen von Microsoft Vertragsbestandteil.
Man könnte daher davon ausgehen, dass (vorausgesetzt die Konfiguration erfolgt im Einzelnen nach dem Grundsatz der Datenminimierung und entsprechend der Vorgaben des Grundsatzes Privacy by Design) durch die Einbeziehung des neuen DPA ein schutzbedarfsgerechter Einsatz möglich sei.
Das hängt allerdings davon ab, ob die jeweils verantwortliche Stelle tatsächlich alle Bereiche innerhalb einer Volumenlizenz abbildet oder nicht. Aus dem DPA geht nämlich hervor:
«Microsoft geht die in diesem DPA beschriebenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzverträgen ein.»
Daher fallen einzelne Bereiche, die nicht innerhalb einer Volumenlizenz verwaltet werden, sondern z.B. Bestandteil einer Businesslizenz sind, wohl aus dem Anwendungsbereich des DPA und damit aus den erweiterten Sicherheitszusagen von Microsoft heraus. Volumenlizenzen sind allerdings nur Lizenzen wie das Enterprise-Agreement (verfügbar ab E3), Open Value Lizenzen, das Microsoft Customer Agreement, etc.
Das Design bzw. die Systematik des Vertragswerks sind also scheinbar darauf ausgerichtet, Kunden mit einer Volumenlizenz weitergehende Sicherheitszusagen und Interventionsmöglichkeiten zu verschaffen und stehen daher – so das Fazit an dieser Stelle – einer hybriden Lizenzpraxis entgegen.
Stand heute (Ende 2022) stehen im Funktionsumfang der Volumenlizenzen im Rahmen der Enterprise-Pläne (E3 und E5) Lizenz folgende Kategorien an Sicherheitsfeatures zur Verfügung:
– Identity und Access Management
– Bedrohungsschutz
– Informationsschutz
– Sicherheitsverwaltung
– Complianceverwaltung
Die insofern günstigere E3-Lizenz deckt in allen Kategorien die wesentlichen Grundfunktionen ab. In der Dienstumgebung der E3-Lizenz stehen allerdings bedeutende Sicherheitsfunktionen wie Microsoft 365 Defender und Microsoft Defender for Identity nicht zur Verfügung. Ebenso fehlt der E3-Lizenz im Bereich des Informationsmanagements der Microsoft Defender for Cloud Apps und Advanced eDiscovery für die erweitere Systemüberwachung sowie das Privileged Access Management.
Fraglich ist daher auch bei der Entscheidung zwischen der Beschaffung einer E3- und einer E5-Lizenz, ob die fehlenden Sicherungsinstrumente über alternative Sicherheitslösungen, die ihrerseits mit Kosten verbunden sein werden, abgedeckt werden können oder es der Ansatz gewählt wird, die E5-Lizenz als integrierte «one-size- fits-all»-Lösung zu erwerben.
Im Ergebnis ist festzuhalten, dass die Beschaffung von Lizenzen und das Microsoft Lizenzdesign für Organisationen mit hohem Schutzbedarf praktisch darauf hinauslaufen, im Rahmen der Volumenlizenzen genau zu prüfen, welche Sicherheitsfeatures für einen sicherheitsadäquaten Einsatz von MS 365-Produkten essenziell sind. Dies ist bei der Lizenzbeschaffung als gewichtiger Faktor zu berücksichtigen.
1 https://support.microsoft.com/de-de/office/verwenden-des-diagnosedaten-viewers-mit-office-cf761ce9-d805-4c60-a339-4e07f3182855
2 https://learn.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences
3 BAG Beschl. v. 8.3.2022 – 1 ABR 20/21 – Einbeziehung Gesamtbetriebsrat und betriebsübergreifende Regelung erforderlich.
4 https://www.microsoft.com/licensing/terms/welcome/welcomepage
5 https://www.microsoft.com/licensing/docs/view/
Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
