Office 365, DSGVO und So

Ein spannendes Thema, bei dem man sich endlos in Details vertiefen kann und wo es keine einfachen Antworten gibt.

Die Frage, ob Office 365 DSGVO konform ist ist schon mal die falsche Frage – ob Microsoft mit Office 365 ein Datenverarbeiter ist, der alle Anforderungen, die die DSGVO an Datenverarbeiter stellt, erfüllt, ist da schon die bessere Frage.

Eine Antwort darauf werde ich hier nicht geben. Aus einem simplen Grund: Fragen Sie 3 Juristen diese Frage und Sie bekommen 5 Antworten. Wichtig ist auch nicht, was ich darüber denke.

Sie müssen das Risiko als Geschäftsführer bzw. Datenschutzverantwortlicher im Unternehmen bewerten, wenn Sie Office 365 einsetzen und die Entscheidung darüber treffen. Die Datenschutzbehörde wird sich mit dem “Der Decker hat gsagt, das geht eh” nicht wirklich abspeisen lassen (Gerüchteweise…)

Das, was ich liefern kann, sind Fakten und Links, die für diese Entscheidung hilfreich sein können.

Zuerst mal,

wo sind die rechtlich bindenden Vertragsgrundlagen zu finden, auf deren Basis Sie diese Entscheidung treffen müssen ?

Hier gibt es die Product Terms – hier sind Lizenz Bedingungen und Ähnliches zu finden.

Und dann die Online Services Terms (OST) – das ist die rechtliche Grundlage zur Nutzung der Online-Dienste.

Und als Anhang  zu den Online Service Terms gibt es die Datenschutzbestimmungen für Onlinedienste (Data Protection Addendum, DPA) die die Datenschutzbestimmungen beinhalten.

Letztere sind für die DSGVO-Belange wesentlich.

Die aktuellen und archivierten Dokumente sind hier zu finden: https://rebrand.ly/derdecker-ost

Welche nationalen und internationalen Zertifizierungen hat Office 365 eigentlich ?

Eine Übersicht, die ich immer wieder stundenlang suchen muss…

Dabei ist sie so beeindruckend…

image

Hier der Link zum schneller finden:

https://rebrand.ly/derdecker-o365zertifizierungen

Wo liegen meine Daten ?

Auch eine Frage, die immer wieder kommt – hier die genaue Beschreibung

Datenspeicherorte für die Europäische Union – Microsoft 365 Enterprise | Microsoft Docs

Kann die (amerikanische) Regierung auf meine Daten in Office 365 zugreifen ?

Grundsätzlich können staatliche Institutionen durch Strafverfolgungsanfragen Daten bei einem Datenverarbeiter anfragen. Dies trifft grundsätzlich auf jeden Datenverarbeiter zu, egal in welchem Land er sich befindet und widerspricht nicht der DSGVO.

Microsoft veröffentlicht regelmäßig einen Bericht über die Anzahl und Art dieser Anfragen und aus welchen Ländern diese Anfragen gestellt werden.

Der Bericht ist hier zu finden: https://rebrand.ly/derdecker-law-enforcement

In Amerika gibt es die spezielle Situation, die es dem U.S. Government erlaubt, auf Basis der „Section 702 of the Foreign Intelligence Surveillance Act (FISA) (50 U.S.C. § 1881a)“ Daten von einem amerikanischen Datenverarbeiter anzufordern, ohne das es dafür ein Rechtshilfeabkommen mit der EU gibt bzw. eine rechtliche Einspruchsmöglichkeit durch den Kunden.

Diesen Umstand hat der EuGH in seinem letzten Urteil auch dediziert erwähnt und als nicht im Einklang mit der DSGVO gesehen. Microsoft hat hier das grundsätzliche Problem, das sie sich aussuchen können, welche Gesetze sie brechen – erteilt Microsoft die Auskunft, brechen sie EU-Gesetze, verweigern sie die Auskunft, brechen sie amerikanische Gesetze.

Über die Bemühungen Microsofts, diesem Dilemma zu entgehen, wurde schon viel geschrieben und könnte man noch viel mehr schreiben – nachdem ich weder Datenschutzexperte noch Jurist bin, erspare ich mir das.

Was manchen Kunden hilft, das Risiko dieses Zugriffes zu bewerten (und im Endeffekt geht es hier um eine Risikobewertung), sind die Reports, die Microsoft 2 x im Jahr veröffentlichen darf unter dem USA Freedom Act, die die Art und Anzahl dieser Anfragen darlegen.

Zu finden hier:  https://rebrand.ly/derdecker-fisareport

Schauen wir uns die Zahlen kurz mal an:

image

Diese Reports gibt es immer 1 Jahr nach dem betroffenen 6 Monaten.

Im ersten Halbjahr 2020 gab es bei den FISA – Orders unter 500 Anfragen auf Kundendaten, die zwischen 14.000 und 14.000 Accounts betroffen haben. (ein kleiner Rückgang zu dem vorherigen Halbjahr)

Die Anfragen unter dem National Security Letters (NSL) betreffen gar keine Inhaltsdaten, sondern nur Verbindungsdaten – und hier waren es ebenfalls in den 6 Monaten unter 500 und mit weniger als 1000 betroffenen Accounts.

Das bedeutet auf den Monat runtergerechnet 84 Anfragen an Daten, die 2.417 Accounts betroffen haben. Weltweit. Account bedeutet hier Betroffene – dh identifizierbare Personen. Microsoft hat ca. 264 Millionen „daily active Users“ in Office 365 (Quelle)
Dh es werden pro Halbjahr Daten von 0,00549 % der User angefordert. (Falls ich mich nicht verrechnet habe: 14500 betroffene Accounts / 264.000.000 )

Wie hoch damit das Risiko ist, das personenbezogene Daten aus ihrem Tenant DSGVO-widrig übermittelt werden, müssen Sie beurteilen.

Ist das Risiko aus ihrer Sicht zu hoch, gibt es keinen Plan B für die Nutzung von Office 365.

Fazit und wichtiger Disclaimer

Zuerst der Disclaimer:

Ich bin, wie schon erwähnt, kein Jurist, kein Datenschutzexperte und keine offizielle Stelle. Meine Aufgabe ist es, diesen Personen Informationen und Fakten zur Verfügung zu stellen, damit diese qualifizierte Entscheidungen treffen können.

Freue mich auch über Feedback zu Dingen, die ich übersehen habe oder hier falsch dargelegt habe.

(und eigentlich habe ich diesen Blogartikel nur geschrieben, weil ich diese Informationen in meinen Beratungsgesprächen immer wieder suche Winking smile )

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code