FAQs zu Microsoft Office 365

Was ist beim Einsatz von Microsoft Office 365 datenschutzrechtlich problematisch?

Die mit der Nutzung außereuropäischer Softwareprodukte wie Microsoft Office 365 verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So lässt sich bei der Nutzung eine Übermittlung bestimmter Nutzungsdaten, wie z.B. der IP-Adresse, in der Regel nicht vermeiden (Näheres hierzu s.u.). Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Für die Übermittlung personenbezogener Daten ist eine rechtliche Grundlage erforderlich. Diese kann sich entweder aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vertraglich auszugestalten.

Ein grundsätzliches Problem liegt allerdings darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 (Rechtssache 311/18; „Schrems II“) das sog. Privacy Shield für ungültig erklärt hat, können Datenübermittlungen in die USA jedoch nicht mehr auf dieses Instrument gestützt werden. Der EuGH hat seine Entscheidung u.a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.

Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields derzeit kaum zu erfüllen.

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt wird, liegen entsprechende Muster vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen.

Hinsichtlich Microsoft Office 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?

Microsoft bietet zwar die Möglichkeit eine Datenspeicherung auf europäischen Servern an (siehe „Microsoft Online-Service Terms“), dies betrifft jedoch lediglich die von Microsoft so bezeichneten „Kundendaten“. Hierbei handelt es sich nach der Definition von Microsoft um alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden. „Diagnosedaten“ die Microsoft aus Software erhebt oder erhält, die vom Kunden im Zusammenhang mit dem Onlinedienst lokal installiert wurde (diese werden teilweise auch als Telemetriedaten bezeichnet) und „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet, sind davon nicht betroffen. Die Speicherung dieser Daten erfolgt somit auf Systemen in den USA. Aufgrund deren möglichen Personenbezugs ergeben sich mit Blick auf die Rechtsprechung der Europäischen Gerichtshofs (EuGH 311/18 („Schrems II“)) Fragen zur rechtmäßigen Übermittlung.

Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen daher durch vertragliche, technische oder organisatorische Maßnahmen (z. B. durch eine Filterung der Datenübermittlungen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.'

Im Übrigen trägt die Möglichkeit der Datenspeicherung auf europäischen Servern dem Problem eines dem europäischen Recht nicht entsprechenden Zugriffs durch US-amerikanische Stellen nur bedingt Rechnung, da über den amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018 für US-Unternehmen eine Herausgabeverpflichtung auch dann besteht, wenn die Daten außerhalb der USA gespeichert werden.

Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?

Der US Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018) gibt amerikanische Behörden die Möglichkeit, von US-Unternehmen (bzw. deren Töchtern) die Herausgabe von Daten zu verlangen, auch, wenn diese außerhalb der USA gespeichert werden.

Eine solche Herausgabe von Daten an ein Drittland ist gemäß Art. 48 DS-GVO nur zulässig, wenn diese auf eine in Kraft befindliche internationale Übereinkunft wie z.B. ein Rechtshilfeabkommen gestützt werden kann. Ein solches Übereinkommen liegt bislang nicht vor.

Ein Lösungsansatz bestand zunächst darin, dass eine von Microsoft angebotene Treuhand-Lösung genutzt wurde, bei der kein direkter Zugriff von Microsoft auf die in Europa gespeicherten Daten bestand („Microsoft Deutschland Cloud“). Das Produkt „MS Deutschland Cloud“ wurde von Microsoft jedoch zwischenzeitlich eingestellt und steht als Betriebsoption nicht mehr zur Verfügung.

Entsprechende Anordnungen von US-Stellen zur Offenlegung von Daten gehen weiterhin zumeist mit einer Verschwiegenheitsverpflichtung der zur Herausgabe der Daten aufgeforderten Stelle (vorliegend z.B. Microsoft als Auftragsverarbeiter) einher, so dass die Betroffenen von einer Offenlegung ihrer Daten keine Kenntnis erhalten (vgl. Art 15 Abs.1 lit. c DS-GVO).

Bei Datenzugriffen durch US-Behörden bzw. diesbezüglichen Herausgabeverlangen ergibt sich damit ein Verstoß gegen Art. 48 DS-GVO.

Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft Office 365 denkbar?

Ein Einsatz von Microsoft Office 365 in Verbindung mit Cloud-Funktionen ist datenschutzrechtlich nur zulässig, wenn letztere auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder von Stellen innerhalb der EU/des EWR, die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen, technisch umgesetzt werden (Hinweis: Die aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sehen ebenfalls einen Verzicht auf die Cloud-Speicherung vor; IT-Grundschutzkompendium Baustein APP.1.1.A12 Verzicht auf Cloud-Speicherung).

Neben dem Aspekt der Cloud-Funktionalität ist unter Datenschutzaspekten die Übertragung von Telemetrie-Daten von Bedeutung. Beim Einsatz des Betriebssystems Windows 10 Enterprise kann eine Datenübermittlung an Microsoft durch Einstellungen im Betriebssystem weitgehend unterbunden werden. Die hierzu von der Datenschutzkonferenz ergangenen Empfehlungen sind daher zu berücksichtigen.

Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen daher durch vertragliche, technische oder organisatorische Maßnahmen (z. B. durch eine Filterung der Datenübermittlungen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet. 

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt werden soll, liegen entsprechende Muster zwischenzeitlich vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen.

Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields für Schulen derzeit kaum zu erfüllen.

Eine Lösung kann daher darin liegen, zu verhindern, dass amerikanische Anbieter personenbezogene Daten verarbeiten (können). Dies ließe sich beispielsweise dadurch bewerkstelligen, dass Daten vollständig auf deutschen oder europäischen Servern verarbeitet werden, z.B. durch den Betrieb entsprechender Lösungen on-premises, d.h. auf eigenen Systemen bzw. in einer eigenen Cloud-Lösung.

Weiterhin bestünde die Möglichkeit dass bei der Verarbeitung ein Datentreuhänder zwischengeschaltet wird. Ein entsprechendes Treuhandmodell hatte Microsoft in der Vergangenheit gemeinsam mit der Deutschen Telekom angeboten; dieses wurde seitens Microsoft jedoch eingestellt. Ein Nachfolgeprodukt wird aktuell (noch) nicht angeboten.

Welche ,,Nutzungsdaten" werden bei Microsoft Office 365 übermittelt?

Bei der Nutzung von Softwarepaketen wie z.B. Microsoft Office 365 oder entsprechender Cloud-Lösungen, können personenbezogene oder personenbeziehbare Daten auf verschiedenen Ebenen entstehen.


Microsoft differenziert in diesem Zusammenhang zwischen „Kundendaten“ als alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden, „Diagnosedaten“ die Microsoft aus Software erhebt oder erhält, die vom Kunden im Zusammenhang mit dem Onlinedienst lokal installiert wurde (diese werden teilweise auch als Telemetriedaten bezeichnet) und „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet.

In großem Umfang werden dabei Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Dies geht weit über den Aufruf eines Programms oder die Dauer der Nutzung hinaus. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, z.B. wenn die Rücktaste mehrmals hintereinander betätigt wird, aber auch der Satz vor und nach einem Wort, das in der Online-Rechtschreibprüfung nachgeschlagen wird. Über die eingebaute Telemetrie-Komponente werden nicht nur Nutzungsdaten der primär genutzten Anwendungen erfasst, sondern auch die individuelle Nutzung verbundener Dienste wie den Übersetzungsdienst oder die Microsoft Suchmaschine Bing sowie Daten über das genutzte Endgerät, die Adresse des Internet-Zugangs (IP-Adresse), Standortdaten u.a. mehr.

Im Rahmen einer im Auftrag des niederländischen Justizministeriums 2018 durchgeführten Untersuchung hat Microsoft erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass bis zu 30 Teams mit diesen Daten arbeiten (DPIA Office 365 ProPlus version 1905, Seite 70). Eine Übersicht zu den im Rahmen von Microsoft Office 365 erhobenen Diagnosedaten stellt Microsoft zwar zur Verfügung (Microsoft gibt für dieses Dokument eine Lesezeit von ca. 7,5 Stunden an)). Allerdings bleibt dennoch vielfach unklar, welche Daten konkret gesendet werden, da die Übertragung häufig verschlüsselt erfolgt und die Daten somit im Rahmen einer Prüfung nicht eingesehen werden können. Insgesamt fehlt es hinsichtlich der von Microsoft verarbeiteten Daten bislang an einer der Datenschutz-Grundverordnung genügenden Transparenz. Gerade auch die Verwendung von Daten aus dem schulischen Kontext bleibt unklar. Daher können Missbräuche nicht ausgeschlossen werden.


Bei den Diagnose- oder dienstgenerierten Daten handelt es sich in den meisten Fällen um technische Informationen, die für sich genommen keinen direkten Personenbezug haben. Allerdings können diese einer eindeutigen, zur Nutzerin bzw. dem Nutzer gehörenden UserID zugeordnet werden bzw. stellen eindeutige Identifikatoren dar. Untersuchungen haben gezeigt, dass aufgrund der Vielzahl der Informationen auch bei der Nutzung pseudonymer Benutzerkonten eine Re-Identifizierung möglich ist.

Welche technisch-organisatorischen Maßnahmen können getroffen werden, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden?

Die für die Verarbeitung Verantwortlichen sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die Schutz bieten vor unbefugter oder unrechtmäßiger Verarbeitung (Art. 5 DSGVO). Hinsichtlich der Übertragung von Telemetriedaten sind dabei insbesondere folgende Maßnahmen von Bedeutung:

  • Prüfung der Datenübertragungen an Microsoft. Dies sollte exemplarisch den Datenverkehr, der Benutzercomputer verlässt, und seine Ziele abdecken, um den Datenfluss von Microsoft-Software zu Microsoft-Servern oder anderen Zielen herauszufinden. Dabei sollten insbesondere die normalen Nutzungsmuster der eingesetzten Microsoft-Produkte und -Dienste abgedeckt werden.

    Für die Analyse von Diagnosedaten unter Windows 10 und bei Office Produkten stellt Microsoft den Diagnosedaten-Viewer (DDV) zur Verfügung: https://support.microsoft.com/de-de/office/verwenden-des-diagnosedaten-viewers-mit-office-cf761ce9-d805-4c60-a339-4e07f3182855
  • Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, sind , um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
  • Überwachung von Microsoft-Produktupdates und Prüfung Konfiguration etwaiger damit verbundener Konfigurationsänderungen.
  • Wenn Microsoft-Produkte und -Dienste eingesetzt werden sollen, die zuvor noch nicht verwendet wurden, sind vor der Bereitstellung Bewertungen der Datenschutzrisiken dieser Produkte und Dienste durchführen.

 

Weitere Informationen:

Veröffentlichung des Europäischen Datenschutzbeauftragten "Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services" (2 July 2020)

https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#technical-measures

Wie ist die Nutzung von Microsoft Office 365 auf Tablets oder Smartphones zu bewerten?

Die aktuelle Microsoft Office 365 Version für Android oder iOS setzt auf Cloud-Funktionalitäten auf. Um das Paket nutzen zu können ist ein Microsoft-Account erforderlich. Zwar lässt sich nach der Installation auswählen, ob Dokumente in der Cloud oder lokal gespeichert werden, hinsichtlich der Verarbeitung von Telemetrie oder Nutzungsdaten ist dies allerdings nicht von Bedeutung.

Solche Daten entstehen, wie aus Informationen von Microsoft herausgelesen werden kann. Hierfür wird vom Hersteller ein dedizierter Diagnosedaten-Viewer (DDV) angeboten. Der Umfang dieser Daten kann ggf. reduziert werden, abhängig davon, welche optionalen Dienste konfiguriert sind.

Microsoft bietet sogenannte "Steuerelemente an, mit den die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann (Android / iOS).

Bei einer dienstlichen oder geschäftlichen Nutzung und einer Übermittlung von Diagnosedaten in die USA sind damit die sich aus dem EuGH-Urteil 311/18 (Schrems II) ergebenden Anforderungen zu erfüllen. Wenn ein Arbeitgeber dies anordnen oder verlangen würde, benötigte er eine Rechtsgrundlage für die Übermittlung.

Durch pseudonyme Microsoft-Accounts kann ein direkter Personenbezug zwar reduziert werden, aufgrund der Menge der Daten (s.o.) und der individuellen gerätebezogenen Daten ist jedoch davon auszugehen, dass eine Re-Identifizierungsmöglichkeit besteht.