Office 365 Datenleck

Im November 2018 wurde bei einer Untersuchung in den Niederlanden aufgedeckt, dass aus Microsoft-Anwendungen in Office 16 und Office 365 in erheblichem Umfang verschlüsselte Telemetrie-Daten an eine Datenbank für Microsoft-Entwicklerteams gesendet werden, die zum Teil personenbezogene Daten sind. Sie sollen dazu dienen, die Anwendungen zu verbessern. Diese Datenübermittlung kann vom Benutzer nicht unterbunden werden. Wir berichteten darüber.

Datenschutz-Themen bei Office 365, bevor das Datenleck erkannt wurde

Office 365 befand sich lange vorher auf dem Radar des Datenschutzes, denn es ist ein Cloud Dienst. Die Microsoft Standard-Anwendungen, wie Outlook, Word und Excel werden bei Office 365 nicht mehr zwingend lokal auf dem Rechner des Benutzers ausgeführt. Standard ist ihre Nutzung auf Microsoft-Servern, der Zugriff des Benutzers erfolgt über das Internet.  Damit verarbeitet Microsoft die personenbezogenen Daten seiner Kunden selbst.

Unternehmen, die sich für diese Cloud-Lösung entscheiden, müssen deswegen mit Microsoft einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) nach Art. 28 DSGVO abschließen. Microsoft bietet in den Online Service Terms (OST) einen solchen Vertrag an. Zwar lässt das Unternehmen keine Inspektionen seiner Rechenzentren durch seine Kunden zu, wie sie in Art. 28 Abs. 3 S. 2 lit. h DSGVO vorgesehen sind. Ein Nachweis der Einhaltung technisch-organisatorischer Maßnahmen könnte aber durch die Vorlage von Zertifikaten, Gutachten oder Auditberichten unabhängiger Prüfer erfolgen.

Microsoft hat bei Office 365 die Normen ISO/IEC 27001 und 27018, einen internationalen Standard für Datenschutz in der Cloud umgesetzt. Eine Bestätigung ist im Internet abrufbar. Eine Prüfung dieser unabhängigen Bestätigung der Umsetzung von Standards kann als Wahrnehmung von Kontrollrechten verstanden werden, wie sie Art. 28 Abs. 3 S. 2 lit. h DSGVO vorschreibt.

Gemäß Art. 28 Abs. 9 DSGVO kann ein AV-Vertrag in einem elektronischen Format abgeschlossen werden. Die Schriftform, wie nach § 11 BDSG-alt, ist dafür nicht mehr erforderlich, so dass eine handschriftliche Unterschrift eines Microsoft Bevollmächtigten entbehrlich sein dürfte.

Ein größeres Problem ist die Speicherung von Anwenderdaten auf Servern in den USA, aber auch dieses Problem ist derzeit überwindbar. Zum einen gibt es den EU-US Privacy Shield. Amerikanische Unternehmen können sich zertifizieren lassen und dann ist eine Übertragung personenbezogener Daten an diese Unternehmen in die USA datenschutzrechtlich möglich. Microsoft hat sich zertifizieren lassen, somit sind Datenübertragungen kein Problem. Die Gültigkeit dieses Angemessenheitsbeschlusses, und die Angemessenheit des Abkommens selbst werden allerdings angefochten, wir berichteten darüber. Allerdings geht die EU-Kommission nach der aktuellen jährlichen Überprüfung davon aus, dass der Shied  weiterhin ein angemessenes Schutzniveau für personenbezogene Daten bietet.

Zusätzlich bietet Microsoft an, mit seinen Kunden die Standard-Vertragsklauseln für Auftragsverarbeitungen vom 5.2.2010 zu vereinbaren, die die EU-Kommission  nach der früheren EU Datenschutz-Richtlinie erlassen hatte, und die nach Art. 46 Abs. 5 DSGVO weiter gelten. Zwar wird auch die weitere Anwendung dieser Klauseln durch ein laufendes Verfahren vor dem EuGH in Frage gestellt, aber immerhin hat Microsoft getan, was machbar ist.  Solange überhaupt personenbezogene europäische Unternehmensdaten in den USA verarbeitet werden dürfen, schien man mit Microsoft auf der sicheren Seite.

Am 23.3.2018 wurde nun ein neues US-Gesetz unterzeichnet, der Cloud Act. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu geben, wenn die Speicherung nicht in den USA erfolgt. Er verpflichtet sie selbst dann zur Datenherausgabe, wenn Gesetze am Ort der Speicherung dies verbieten. Nach Art. 48 DSGVO dagegen dürfen Daten eines Auftragsverarbeiters nur dann aufgrund der Entscheidung eines Gerichts oder einer Behörde im EU-Ausland an das Drittland übermittelt werden, wenn eine internationale Übereinkunft, wie etwa ein Rechtshilfeabkommen dies vorsieht. Wir berichteten über diesen Rechtskonflikt der EU mit den USA (und Australien).

Microsoft hatte eigentlich vorher, 2015, einen Ausweg gefunden. In Deutschland ging das Unternehmen eine Kooperation mit der T-Systems International GmbH ein, unter dem Namen „Microsoft Cloud Deutschland“, auch für Office 365. Die Daten der Kunden dieses Modells wurden auf Servern der Telekom gespeichert. Die T-Systems International GmbH fungierte als Datentreuhänder. T-Systems verpflichtete sich dazu, Kundendaten nicht gegenüber Drittparteien offenzulegen – außer der Kunde verlangt es, oder deutsches Recht erfordert es. Im März 2018 hat Microsoft dieses Angebot eingestellt. Es steht für Neukunden nicht mehr zur Verfügung.

Zusammenfassend: vor Bekanntwerden des Datenlecks war der Betrieb von Office 365 trotz mancher Probleme datenschutzrechtlich zulässig, wenn ein AV-Vertrag mit Microsoft vereinbart, und im Betrieb durch Konfiguration Sicherheitslücken geschlossen wurden. Auf diese notwendigen Einstellungen in Office 365 kommen wir noch zurück.

Rechtsfolgen des Datenlecks und weitere Planung von Microsoft

Durch das Datenleck ist ein datenschutzgerechter Betrieb von Office 16 und Office 365 kaum zu bewerkstelligen. Denn Microsoft verarbeitet die Diagnosedaten für eigene Zwecke, wie Fehlerbehebung, Produktentwicklung und Innovation, nicht für Zwecke des Verantwortlichen. Microsoft löscht die Diagnose-Daten nach eigenen Angaben nach 30 Tagen bis 18 Monaten, manchmal noch später. Die Festlegung der Speicherdauer personenbezogener Daten ist nach Art. 24 und 25 DSGVO eine wesentliche Aufgabe des Verantwortlichen. Rechtlich wäre Microsoft als Gemeinsam Verantwortlicher (joint controller) nach Art. 26 DSGVO anzusehen, das Unternehmen weigert sich aber, entsprechende Vereinbarungen abzuschließen.

Nach einer Vereinbarung von Microsoft mit der Dienststelle „SLM Rijk“ im niederländischen Justizministerium hat sich Microsoft verpflichtet, seine Produkte bis April 2019 an die DSGVO anzupassen. Dazu könnte gehören, dass Kunden die Möglichkeit haben, die Diagnosedaten einzusehen, und deren Übermittlung zu blockieren.

Ratschläge für Unternehmen, die planen, Office 16 oder Office 365 einzusetzen, oder die diese Software schon einsetzen

Wenn Unternehmen Office 16 / 365 noch nicht einsetzen, aber den Einsatz planen, sollten sie Ihren Zeitplan anpassen. Warten Sie ab, bis im April 2019 eine DSGVO-konforme Version der Software vorliegt, und implementieren Sie diese. Nutzen Sie dann die Einstellungsmöglichkeiten, um die Weitergabe von Diagnosedaten zu blockieren.

Wenn bei Ihrem Unternehmen Office 16 / 365 bereits im Einsatz ist, nutzen Sie zentrale Einstellungen, um den Datenfluss so weit zu reduzieren, wie möglich:

  • Schalten Sie zentral die Benutzung von Connected Services aus, z.B. von Übersetzungsvorschlägen,
  • schalten Sie zentral die Option aus „Informationen an Microsoft senden, um Office zu verbessern“,
  • benutzen Sie so weit wie möglich lokal installierte Versionen der Office Software, an Stelle der Cloud Versionen,
  • benutzen Sie nicht Sharepoint Oneline / Onedrive,
  • richten Sie „stand alone deployments“ der Software ein, um Arbeitsplätze zur Verfügung zu haben, von denen keine Daten an Microsoft übertragen werden, bearbeiten Sie besonders kritische Informationen dort,
  • untersuchen Sie zum gleichen Zweck Alternativen, und installieren Sie ggf. an einigen Arbeitsplätzen alternative Software, wie Libre Office.

Für die meisten Unternehmen dürften die Risiken überschaubar sein. Wichtig ist, dass man sie kennt und kontrolliert.

| | | , ,