Office 365 liegt voll im Trend. Eine DSGVO-Lücke sollten IT-Administratoren schließen.
Office 365 von Microsoft hat in die Büros der Welt Einzug gehalten. Spätestens seit der Corona-Pandemie haben viele erkannt, wie praktisch und effizient die Anwendung in der Zusammenarbeit ist. Jeder kann jederzeit auf relevante Daten zugreifen. Microsoft speichert diese in seiner Microsoft Cloud. Die Daten europäischer Kunden speichert das IT-Unternehmen in Rechenzentren in Deutschland (Frankfurt), Österreich, Finnland, Irland und den Niederlanden. Hier garantiert Microsoft die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Hierbei ist die Plattform der Microsoft Cloud DSGVO-konform was die Technikgestaltung anbelangt. Fallstricke warten jedoch möglicherweise bei der Nutzung dieser.
DSGVO-Lücke wurden in den Niederlanden entdeckt
Viele verlassen sich darauf, dass das Tool in Sachen DSGVO absolut rechtssicher ist. Und grundsätzlich ist es das auch. Doch es gibt eine kleine Lücke, die IT-Administratoren manuell schließen müssen. Eine Empfehlung gaben hier die niederländische Datenschutzbehörden ab. Auch die dortige Verwaltung arbeitet mit Office 365. Die Datenschutzspezialisten der Aufsichtsbehörde bemängeln, dass Anwendungen in Office 2016 und Office 365 Telemetrie- und Diagnosedaten, darunter auch personenbezogene Daten, automatisch und verschlüsselt an eine Datenbank für Microsoft-Entwicklerteams sendet. Laut Microsoft würden diese dafür genutzt, Probleme im System, etwa Abstürze, in den Griff zu bekommen. Dennoch: Auch noch heute werden – mit älteren Versionen – diese Daten zu Microsoft übermittelt. Und genau hier liegt ein DSGVO-Verstoß vor, den viele Administratoren so nicht auf dem Schirm haben.
DSGVO versus US-Cloud-Act
Doch wie kommts? Microsoft sitzt in Sachen Datenschutz zwischen zwei Stühlen: Der in Europa geltenden DSGVO und dem amerikanischen US-Cloud-Act. Der Cloud Act verpflichtet IT-Unternehmen aus den USA dazu, den Behören auch dann von ihnen gespeicherte Daten zur Verfügung zu stellen. Das gilt auch dann, wenn diese außerhalb der USA gespeichert werden. Die DSGVO hingegen verbietet eine solche Datenweitergabe außerhalb der EU – außer es geht um Rechtshilfe, etwa um Verbrechen aufzuklären.
Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 so geändert, dass der Datenaustausch gebremst wird. Viele nötige Datenschutz-Optionen sind erst ab Version 1905 von Office365 und nur mit nur mit Windows 10 Enterprise möglich. Administratoren müssen nun manuell einige Einstellungen vornehmen, damit ein DSGVO-konformes Arbeiten sichergestellt werden kann. Hierfür müssen sie neue Einstellungen im Trust-Center vornehmen. Nur das unterbindet den Fluss von Telemetrie- und Diagnosedaten der Nutzer nach Amerika.
Welche Richtlinieneinstellungen vorgenommen werden müssen, ist auf der Website von Microsoft detailliert dargestellt. Wir unterstützen Sie gerne dabei, die DSGVO-Lücke in Office 365 zu schließen. Nehmen Sie dafür Kontakt zum fly-tech Datenschutzteam auf.