Datenschutz Office 365

Sunday, 25 December 2022

Denn bei der Abschätzung wurden unter anderem mangelhafte Transparenz Nichteinstellbarkeit der Übermittlung von Diagnosedaten Eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft festgestellt. Office 365 Datenschutz: Verarbeitung personenbezogener Daten Die Nutzungsbestimmung für Office 365 werden in dem Online Service Terms (OST) festgelegt. In diesen tritt Microsoft als Auftragsverarbeiter i. S. d. Art. 28 DSGVO auf, während der Auftraggeber der jeweilige Nutzer von Office 365 ist. Problematisch bei der Nutzung von Office 365 ist in der Hauptsache die Verarbeitung einer Vielzahl von personenbezogenen Daten. Dazu gehören auch Funktionsdaten, die notwendig sind für die Bereitstellung des Service Office 365. Diese werden allerdings gleich nach der Bereitstellung wieder gelöscht. Darüber hinaus werden Inhaltsdaten, die mittels Office 365 erstellt werden, von Microsoft verarbeitet. Dies betrifft beispielsweise die eigentlichen Inhalte wie Dokumente, E-Mails, Präsentationen und ähnliches.

Jours
Heise
Hessen
Deutschland

Jours

Nachdem das erste Ergebnis der oben dargestellten Datenschutzfolgeabschätzung deutliche Defizite und die Unvereinbarkeit mit der DSGVO aufzeigte, hat Microsoft mittlerweile die Verarbeitungszwecke stärker eingeschränkt, da sie aufgrund der Verarbeitung zu anderen Zwecken nicht wie gewünscht "nur" als Auftragsverarbeiter, sondern gleichzeitig mit dem Office 365-Nutzer als Verantwortlicher (Joint-Controller Art. 26 DSGVO) im Sinne der DSGVO galten, inklusive der damit verbundenen Rechten und Pflichten. Bei der Nutzung von Office 365 muss den Nutzern klar sein, dass eine Übermittlung der oben genannten Daten an Microsoft nicht ausgeschlossen werden kann. Auch wenn Microsoft Privacy-Shield-zertifiziert ist und Standard-Vertragsklauseln anbietet, werden diese Absicherungen von Datenübermittlungen an Drittländer gerade vom Europäischen Gerichtshof (EuGH) überprüft. Daher kann für den Einsatz von Office 365 generell empfohlen werden z. Programme zur Verbesserung der Benutzerfreundlichkeit, Connected Experiences zu deaktivieren, die Einstellungen u. bei der Beschränkung der Diagnosedaten auf die geringste Stufe zu setzen und Maßnahmen wie Abschluss eines Auftragsverarbeitungsvertrages, Abschluss von Standard-Vertragsklauseln und die Durchführung einer eigenen Datenschutzfolgeabschätzung vorzunehmen.

In diesem Punkt lässt Microsoft auch nicht mit sich verhandeln. Die DAV wird so unterschrieben, wie sie in den OST beschrieben wird. EU-Standardvertragsklauseln Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen, die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden. Linked-In-Integration Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden. Workplace Analytics, Activity Reports, Delve Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall geprüft werden, da es sich um die Auswertung von Leistungsdaten handelt. Kunden-Lockbox Werden sehr sensible Dokumente mit Office 365 bearbeitet, sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher. Durchführung einer Datenschutz-Folgenabschätzung Je nach Art und Umfang der Daten, die mittels Office 365 verarbeitet werden sollen, ist ggf.

Um die im Folgenden beschriebenen Einstellungen vornehmen zu können, müssen Unternehmen daher diese oder eine nachfolgende Version verwendet. Windows-Einstellung Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf "Sicher" eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren. Programm zur Verbesserung der Benutzerfreundlichkeit Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden. Beschränkung der Diagnosedaten Die Übermittlung der Diagnosedaten muss auf die geringste Stufe, "Keine", eingestellt werden. Connected Experiences Folgende Connected Experiences sind zu deaktivieren: 3D Maps Insert Online 3D Models Map Chart Office Store Insert Online Video Researcher Smart Lookup Insert Online Pictures LinkedIn Resume Assistant Weather Bar in Outlook PowerPoint QuickStarter Giving Feedback to Microsoft Suggest a Feature Abschluss eines Auftragsverarbeitungsvertrags Der entsprechende Vertrag ist in den OST enthalten und wird mit diesen zusammen abgeschlossen.

Heise

Durchführung einer Datenschutz-Folgenabschätzung Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig. Abschließend kann gesagt werden, dass Office 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.

Microsoft stand mit seinen Anwendungen Office ProPlus (Office 365, Office 2016 und Office 2019) seit längerem wegen übermäßiger Datennutzung in der Kritik. Die Einführung von Microsoft Office bei den öffentlichen Behörden in den Niederlanden nahm die dortige Aufsichtsbehörde zum Anlass, eine Datenschutz-Folgenabschätzung (DSFA) von Office ProPlus vorzunehmen. Hintergrund der Datenschutzprüfung von MS Office Hintergrund der Prüfung durch die Datenschutzaufsichtsbehörde waren Vertragsverhandlungen der niederländischen Regierung mit Microsoft. Zu dieser Zeit nutzten etwa 300. 000 Arbeitsplätze bei den niederländischen Behörden Microsoft-Office-Anwendungen. Damals wurden in Office verarbeitete Daten noch lokal bei der jeweiligen Behörde auf deren Serversystemen gespeichert. Es war jedoch geplant, in Zukunft auch die Microsoft Cloud mit SharePoint und OneDrive zu nutzen. Daher umfasste die Prüfung sowohl die lokale als auch die Cloud-Speicherung. Getestet wurde zudem die Web-Version von Office 365.

Hessen

Microsoft gab im Anschluss an die Untersuchungen durch diverse europäische Datenschutzbehörden Auskunft über die Datennutzung und stellte ein Analysetool zur Überprüfung der übertragenen Daten zur Verfügung. Es stellte sich heraus, dass Telemetriedaten von bis zu 1. 200 verschiedenen Ereignissen an Microsoft übertragen und diese von zehn Teams ausgewertet wurden. Diese Grenze wird bei den Office-Anwendungen um ein Vielfaches überschritten. Es werden zwischen 23. 000 und 25. 000 verschiedene Ereignisse an Microsoft übermittelt. In diesem Bereich ist die Aufklärung noch nicht beendet, da nicht einmal Microsoft selbst weiß, welche Arten von Daten hierbei genau übertragen werden. Diese Daten werden von 20 bis 30 Teams ausgewertet. Es zeigt sich also, dass die Datensammelwut von Office-Anwendungen weitaus höher ist als die unter Windows 10. Ein Analysetool, um den Datenfluss einfach und vollständig zu überprüfen, existiert aktuell noch nicht. Vor dem Bericht ging Microsoft nicht einmal davon aus, dass Telemetriedaten überhaupt personenbezogene Daten enthalten.

Datenschutz office 365 schule
Polizei warnung virus entfernen android windows 10
Datenschutz office 365 mail
Datenschutz office 365 dsgvo
Gewächshaus richtig abdichten - Tipps & Tricks - GREEN24 Hilfe Pflege Bilder
Datenschutz office 365 login
Datenschutz office 365 niederlande
Datenschutz office 365 days
Das "Smart Home" kommt: Bald können wir die Hausarbeit unterwegs erledigen - FOCUS Online

Obwohl Office 365, die cloud-basierte Version des Office- Anwendungspakets von Microsoft Co., für die meisten Bürotätigkeiten nicht wegzudenken ist, muss überprüft werden, ob die Anwendung den einzuhaltenden datenschutzrechtlichen Regelungen genügt. Nachdem das Niederländische Ministerium eine Datenschutzfolgeabschätzung zu Office 365 in Auftrag gegeben hat, ist fraglich, ob ein datenschutzrechtlich konformer Einsatz möglich ist. Festgestellt wurden u. a. mangelhafte Transparenz, Nichteinstellbarkeit der Übermittlung von Diagnosedaten und eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft. Im Ergebnis wurde dadurch klar: Ein DSGVO-konformer Einsatz von Office 365 ist nicht möglich. Die eigentlichen Probleme beim Einsatz von Office 365 ergeben sich bei den verschiedenen Datenverarbeitungsvorgängen. Microsoft verarbeitet bei der Nutzung von Office 365 eine Vielzahl von personenbezogenen Daten. Zu diesen gehören auch die Funktionsdaten, die notwendig sind für die Bereitstellung des Service Office 365, welche allerdings gleich nach der Bereitstellung wieder gelöscht werden.

Deutschland

Nicht erst seit Windows 10 war bekannt, dass Microsoft vermehrt Daten von Nutzern auch ohne deren Wissen oder Einwilligung sammelt. Aus diesem Grund entschied sich die niederländische Datenschutzbehörde eine Datenschutzfolgenabschätzung gemäß DSGVO vorzunehmen. Eine solche DSFA ist durchzuführen, wenn durch die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Vereinfacht gesagt, bewertet die Behörde dabei, ob die Verarbeitung noch den datenschutzrechtlichen Vorgaben entspricht. Da die Software in diversen Behörden genutzt werden sollte (genannt werden im Bericht u. a. Ministerien, Justiz, Polizei und Steuerbehörden), ging es hier nicht nur um die personenbezogenen Daten der Mitarbeiter selbst, sondern auch um die Informationen zu nahezu allen niederländischen Staatsbürgern. Aufgrund des breiten Einsatzspektrums stellte der Bericht gleich eingangs klar, dass er keine abschließende Bewertung vornimmt. Dies ist dadurch bedingt, dass nicht in jedem Bereich gleich sensible Daten verarbeitet werden.

Dass Microsoft hierbei als Auftragsverarbeiter i. S. d. Art. 28 DSGVO tätig ist, wird aus dem Online Service Terms (OST) ersichtlich. Auftraggeber ist der jeweilige Nutzer von Office 365. Zudem werden Inhaltsdaten verarbeitet, d. h. also die tatsächlichen Dokumente, E-Mails, Präsentationen etc. die Nutzer mit Office 365 erstellen. Laut den OST werden diese Daten aber wiederum nur für die Bereitstellung des Service und nicht zu anderen Zwecken verwendet. Neben Funktions- und Inhaltsdaten werden eine große Anzahl an Diagnosedaten verarbeitet und an die Server von Microsoft geschickt. Nachdem für jeden Nutzer eine individuelle ID generiert wird, werden Daten erhoben wie die Nutzungsdauer eines Office-Dienstes – wie z. B. Outlook, Word, Power Point, Excel und den Cloudspeicher OneDrive – Größe der bearbeiteten Datei, User-, und Client ID und die verwendete Programmsprache. Laut Microsoft werden diese Daten nicht für Profiling, Marktforschung oder Werbung, sondern für das Bereitstellen, Verbessern und Aktualisieren des Dienstes und dessen Sicherheit verwendet.