„Ja geht‘s noch“?

Microsoft Office 365

Das war die erste Reaktion eines Verwalters, als er von der Entscheidung der Datenschutzkonferenz (DSK) des Bundes und der Länder zum nicht sicheren Einsatz von Microsoft Office 365 erfuhr. Der Verwalter hatte noch im März 2020 umfangreich in die Erneuerung seiner gesamten EDV-Infrastruktur investiert und komplett auf Microsoft 365 umgestellt.

Die Datenschutzkonferenz (DSK) ist ein Konsortium aus allen Datenschutzbeauftragten der Länder. Diese treffen sich in regelmäßigen Abständen, um eine einheitliche Anwendung der DSGVO auf der europäischen und nationalen Ebene einerseits zu erreichen und andererseits Kernthemen zu eruieren und diese dann tiefer zu bewerten. Will heißen, es werden auch spezielle Arbeitskreise gebildet, die sich mit einem Thema tiefer auseinandersetzen und am Ende eine Einschätzung bzw. eine datenschutzrechtliche Bewertung veröffentlichen. Dank dieser Institution wurden viele Orientierungshilfen (OH) zu verschiedensten Themen veröffentlicht, die heute einem Datenschutzbeauftragten als Guideline zur datenschutzkonformen Umsetzung dienen. So wurde Anfang des Jahres auch ein spezieller Arbeitskreis in der DSK gebildet, welcher sich mit dem datenschutzkonformen Einsatz von Microsoft Office 365 auseinandersetzen sollte.

Am 22. September 2020 stellte die DSK dann klar, dass „ein datenschutzkonformer Einsatz von Microsoft Office 365 derzeit nicht möglich ist“. Aufhorchen lässt allerdings, dass die Entscheidung des DSK mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen erging. Und hier zeigt sich das große Dilemma. Diese knappe Entscheidung führt dem Verwalter vor Augen, dass man nun erst recht nicht weiß, wie man eben seine Büroanwendung rechtssicher einsetzen kann.

Die Entscheidung des DSK hat irgendwie einen seltsamen Nachgeschmack. Der sehr geschätzte Rechtsanwalt Raphael Köllner (www.rakoellner.de) kritisiert in seinem Blog „Die DSK bewertet Office 365 als nicht datenschutzkonform einsetzbar – Kommentar“, dass veraltete Verträge durch den DSK geprüft wurden; dass die Produktbezeichnungen nicht klar getrennt wurden (Microsoft Office 365 und Microsoft 365) und dass Microsoft selbst in die Untersuchungsroutine nicht mit einbezogen wurde. Zurecht bemerkt RA Köllner „Es gibt kein generelles Verbot zum Einsatz von Office 365“. Bei der Thematik scheint man andere Hersteller wie Apple oder Google zu vergessen. Microsoft wird verteufelt, aber die anderen nicht?

Also, was ist zu tun?

Zunächst muss jeder Verwalter (Verantwortlicher) sich mit dem EDV-Dienstleister (egal ob intern oder extern) und dem Datenschutzbeauftragten auseinandersetzen, wenn es um den Einsatz von Microsoft-Produkten geht. Es sollte gemeinsam überlegt werden, welche Grundlagen geschaffen werden müssen. Die Grundlage ist der PC bzw. das Betriebssystem selbst.

Beim Betriebssystem anfangen

Wer heute noch Windows 7 einsetzt, hat Probleme mit Sicherheitsupdates. Windows 8 und 8.1 haben etwas Stabilitätsprobleme und fanden nie so richtig den Weg in die Unternehmen. Das Betriebssystem der Stunde heißt also Windows 10.

Windows 10 ist beim Thema Verhältnismäßigkeit von Datenschutz und Telemetrie (Fernmessung) problematisch. Sobald man einen PC mit Windows 10 einschaltet, nimmt dieser automatisch über das Internet die Kommunikation mit Microsoft auf. Mittlerweile verlangen einige Datenschützer, dass jegliche Übermittlung von Telemetriedaten (Diagnosedaten) an Microsoft abgeschaltet werden sollen, weil sie einen datenschutzkonformen Betrieb verhindert. Aber soll man wirklich alles abschalten? Die übertragenen Daten sind im Wesentlichen Funktionsdaten: Updates, Inhalte von Vorlagen aus Microsoft-Templates, Abfragen der Lizenzierung (Betriebssystem und Microsoft-Produkte), eingesetzte Hardware, Nutzungsverhalten, geladene Treiber u.v.m. Viele diese übermittelten Daten sind nützlich und notwendig und damit ist nachvollziehbar, dass der PC mit Microsoft Verbindung aufnimmt. Wenn man den Statements von Microsoft Glauben schenkt, klingt Vieles positiv und verständlich. Microsoft argumentiert mit einem „berechtigten Interesse“ Informationen zu erhalten, wenn beispielsweise der PC abgestürzt oder einen Bluescreen zeigt. Microsoft hat hier im Gegensatz zu so manch anderem Unternehmen eine sehr transparente Informationspolitik. Das sollte man nicht vergessen.

Home, Pro oder Enterprise?

Ein entscheidender Faktor ist die Version des Betriebssystems. Wer Microsoft Home einsetzt, hat in puncto Sicherheit nahezu keine Möglichkeiten, einigermaßen datenschutzkonform zu arbeiten. Microsoft teilt mit, dass die „Home-Version“ hierzu kaum Möglichkeiten bietet. Microsoft selbst stuft die Übertragung der Telemetriedaten in vier Stufen ein. Der Wert „0“ bedeutet immer, dass keine Telemetrie stattfindet und beim Wert „3“ werden fast alle Daten vollständig weitergeleitet. Unternehmen in Deutschland setzen meistens die „Pro-Version“ von Windows 10 ein. Aber die Pro-Version lässt keine Einstellung nach dem Wert „0“ zu. D. h. selbst wenn der Wert „0“ eingestellt wird, wird immer der Wert „1“ (einfache Telemetrie) durch Microsoft angenommen. Hingegen bietet die „Enterprise-Version“ von Windows 10 die Möglichkeit, alle Werte der Übertragung der Telemetriedaten auf „0“ einzustellen. Vereinfacht gesagt: Ein nahezu datenschutzkonformer Betrieb lässt sich nur mit der Enterprise-Version erreichen. (vgl. Prof. Dr. Rainer Gerling in „Datenschutz und IT-Sicherheit“ Vortrag IDACON 2020 vom 27.10.2020). Und das ist natürlich eine Frage der Kosten, aber auch der Zeit. Denn der Verantwortliche und der Admin müssen jede Einstellung testen. Microsoft bietet über 2800 Einstellungen an, um die Telemetriedaten-Übertragung zu konfigurieren. Es gibt verschiedenste Tools zum Download, die die Konfiguration per Ein- und Ausschalter einfacher gestalten, dennoch muss die Arbeit in kleinen Schritten vorgenommen werden. Viele Funktionen sind für den reibungsfreien Betrieb eines Computers notwendig; dazu gehört auch die Übertragung von Telemetriedaten an Microsoft.

Microsoft 365, Microsoft 365 Desktop/2019 oder Microsoft 365 Mobile?

Um etwas richtigzustellen: Microsoft hat die Produktbezeichnung von Office 365 auf Microsoft 365 umgestellt. Deswegen betrifft alles weiter unten Genannte auch die alte Produktbezeichnung „Office 365“.

Der Unterschiede hängen auch hier von der eingesetzten Version ab. Vereinfacht kann man sagen, dass die Version Microsoft 365 Cloud (Web-Version) immer personengebunden ist und die Version Microsoft 365 Desktop (oder auch Version 2019) PC-gebunden ist. In der Cloud-Version sind alle Daten bei Microsoft, während bei der PC-gebundenen Version alle Daten auf dem Rechner (bei entsprechender Einstellung) lokal gespeichert sind. Die Version Microsoft 365 Desktop ist bei entsprechender Anpassung ebenfalls datenschutzfreundlich einsetzbar. Das Datenschutzrisiko ist äußerst gering. Bei der Cloud-Version benötigt man immer ein Konto bei Microsoft. Sobald man sich über den Webbrowser bei Microsoft anmelden kann und verschiedenste Anwendungen zur Verfügung gestellt bekommt, ist die Speicherung in der Cloud in der Regel unumgänglich. So auch bei der mobilen Version (Microsoft 365 Mobile). Und wenn dann noch Exchange-Online, SharePoint, OneDrive, Teams eingesetzt werden, ist die Datenübertragung zu Microsoft nahezu komplett.

Welche Möglichkeiten gibt es noch?

Microsoft versteht sich als der Anbieter schlechthin für Office-Anwendungen. Viele wollen darauf verständlicherweise nicht verzichten. Man muss aber nicht immer die Datenlagerung bei Microsoft selbst vornehmen. Wer einen Exchange-Server, SharePoint und/oder OneDrive dennoch einsetzen möchte, kann auf Dienstleister in Deutschland und Europa zurückgreifen. Diese bieten ebenfalls diese Microsoft-Produkte und Dienste an, jedoch ist die Datenhaltung auf eigenen Rechenzentren (unter Beachtung der DSGVO) gewährleistet. Und natürlich sollten man eine vernünftige Verschlüsselung einsetzen. Oder man setzt auf die Version Microsoft Office 2019. Diese ist (so wie früher) auf dem PC lokal installiert und man hat sämtliche notwendigen Features, um vernünftig arbeiten zu können. Zwar ist der schnelle Austausch nicht so komfortabel wie eben bei Microsoft 365 Cloud, aber in puncto Sicherheit ist man ziemlich weit vorne. Die einzige Verbindung, die von Office 2019 aufgebaut wird, ist die Nachfrage nach Sicherheitsupdates. Und ein lokaler Exchange Server ist mindestens genauso gut, wie Exchange-Online von Microsoft. Nur eben datenschutzfreundlicher.

Microsoft 365 Pläne

Wer dennoch weiterhin oder zukünftig auf Office/Microsoft 365 setzen will, sollte sich mit den angebotenen Produkten (Pläne) auseinandersetzen. Auch hier muss man sich durch den Lizenz-Dschungel kämpfen. Bei der Version Microsoft 365 Business Basic und Enterprise E1 ist es nicht möglich, die Office Anwendungen lokal zu installieren. Auch die Einstellungen für Sicherheit und Datenschutz können nicht voll ausgeschöpft werden. Um es auf dem Punkt zu bringen: Tatsächlich bietet der Plan Office 365 Enterprise E5 alle notwendigen Features, um Microsoft 365 nahezu datenschutzkonform zu betreiben. Allerdings ist dies auch die teuerste Lösung. Und wieder müssen sich auch der Verwalter und der Admin zusammensetzen und die Anforderungen für das Unternehmen durcharbeiten. Und viele Admins haben das Problem, dass man eben nicht mal nebenbei von Office 2010 nun auf Microsoft Office 365 Enterprise wechseln kann, ohne hier zu wissen, welche Anforderungen, Umstellungen und Einstellungen denn wirklich vorgenommen werden müssen. Ihnen fehlen schlichtweg das Know-how und die notwendige Privilegierung, diese Produkte überhaupt verkaufen zu können.

Fazit

Die Aufsichtsbehörden haben recht. Microsoft 365 in der Cloud Version ist schlichtweg nicht datenschutzkonform einsetzbar. Zu viele Daten werden an Microsoft übersendet. Microsoft selbst ist in der Pflicht (FISA und Cloud-ACT), bei Bedarf Daten an Behörden herauszugeben. Es gibt genügend Alternativen, um weiterhin auf Microsoft-Produkte zu setzen. Ob es der eigene Exchange-Server oder SharePoint-Server ist, ob es ein Provider aus Deutschland bzw. der übrigen EU ist, oder ob es eine klassische lokale Installation ist: Gibt man genügend Geld aus, funktioniert es auch mit der Sicherheit und letztendlich mit dem Datenschutz. Egal wie Verwalter Microsoft-Office in Zukunft einsetzen werden. Die beste Empfehlung ist es, alles zu dokumentieren und darzustellen, warum man nun auf diese oder jene Version setzt. Behörden haben immer ein Einsehen, wenn der Verantwortliche eben Verantwortung zeigt und sich mit den gesetzlichen Anforderungen auseinandersetzt. Datenschutz heißt immer erst mal weniger Daten als zu viele. Und wenn man nun noch einen Datenschutzbeauftragten (und zwar vor dem Einsatz) hinzuzieht, dann kann man sagen: Ja, geht doch!

 

Reinhold Okon

www.dsb-okon.de

 

 

Einen Kommentar schreiben
Kommentieren