Neue Datenschutz Folgenabschätzung zu Microsoft 365 (Teams, OneDrive, SharePoint, Azure AD)

Mit Datum vom 16.02.2022 veröffentlichte das Niederländische Justizministerium eine neue Datenschutz Folgenabschätzung (DSFA) zu Microsoft 365. Anders als bei den vorherigen DSFA geht es hier schwerpunktmäßig um die Datenschutzrisiken der (professionellen) Nutzung von Microsoft Teams in Kombination mit OneDrive, SharePoint Online und dem Azure Active Directory. Da bei einer Nutzung von MS Teams in der Online-Version eine Authentifizierung der Nutzer, Administratoren und auch Gastnutzer über den Online-Cloud-Dienst Azure Active Directory erforderlich ist, wurde dieser neben Teams selbst und den beiden für den Zugriff auf und die Speicherung von Dateien zur Verfügung stehenden Anwendungen OneDrive und SharePoint in der DSFA untersucht. Wie in der Vergangenheit wurde die DSFA vom Niederländischen Datenschutzspezialisten Privacy Company durch geführt. Die DSFA kann in ihrer öffentlichen Version auf der oben verlinkten Website als PDF mit 121 Seiten heruntergeladen werden. Unter Dokumente können auch die Dokumentationen zu vorangegangenen Untersuchungen heruntergeladen werden. Sie sind teils auf Englisch und teils auf Niederländisch verfügbar. Dort gibt es eine Kurzzusammenfassung des Ergebnisses der DSFA als Memo – DSFA Microsoft Teams OneDrive und SharePoint online (Niederländisch – Übersetzung unten als PDF). Eine umfangreichere Zusammenfassung der DSFA ist unter Zusammenfassung NL – DPIA Teams OneDrive Sharepoint (Niederländisch – Übersetzung unten als PDF) verfügbar.

Man kommt zu dem Schluss, dass eine Datenverarbeitung über Microsoft Teams, OneDrive und SharePoint Online ohne hohe Risiken möglich ist, sieht jedoch noch Verbesserungsberdarf bezüglich der Transparenz bei den Telemetriedaten. Man erwartet hier jedoch noch Verbessungen: 

Microsoft hat versprochen, den Zugriffsprozess (über die Systemadministratoren) zu verbessern und besser zu erklären, warum viele gesammelte Daten entweder keine personenbezogenen Daten sind oder sofort anonymisiert werden und daher nicht mehr mit einer Person verknüpft werden können Zugriffsanforderer.

Während man bei einer Nutzung der genannten Dienste mit „normalen“ personenbezogenen Daten mittlerweile kein hohes Risiko mehr sieht, geht man bei der  Verarbeitung von besonderen personenbezogenen Daten weiterhin von einem hohen Risiko aus. SLM Rijk nennt Maßnahmen, mit denen es möglich ist, die hohen Risiken zu mindern. Doch nicht alle davon stehen bereits zur Verfügung.

Unternehmen können dieses hohe Risiko für vertrauliche personenbezogene Daten in Dateien auf OneDrive und SharePoint mindern, indem sie ihre eigenen Verschlüsselungsschlüssel mit Microsoft Double Key Encryption verwenden. Microsoft bietet noch keine Ende-zu-Ende-Verschlüsselung für die Streaming-Kommunikation mit mehreren Teilnehmern in Teams an, nur für ungeplante Eins-zu-Eins-Videoanrufe. Microsoft hat bestätigt, dass es E2EE in Teams-Gruppenmeetings und -Chats ermöglichen wird, hat aber noch keinen Zeitplan angekündigt.“

Betrachtet wurden auch die Risiken bei der Übermittlung von personenbezogenen Daten in die USA, die dadurch entstehen, dass Microsoft ein US Unternehmen ist und es dadurch möglich ist, dass amerikanische Ermittlungs- und Geheimdienste Zugriff auf personenbezogene Daten von Nutzern der Dienste verlangen. Rein formal erfolgt dadurch bei der Nutzung von Microsoft-Diensten  eine Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU ohne angemessenes Schutzniveau. Hierzu steht, nach Angaben von SLM Rijk auch noch eine Untersuchung des EDPB (Europäischer Datenschutzausschuss) biss zum Jahresende an. Die Wahrscheinlichkeit, dass es tatsächlich zu einem Zugriff von US Ermittlungsbehörden kommt schätzt man als gering ein. Entsprechend heißt es im Memo:

„Die Chance, dass Ermittlungs- und Geheimdienste den Zugriff verlangen, scheint vor allem theoretisch zu sein. Microsoft hat erklärt, dass es niemals Daten von Mitarbeitern öffentlicher Einrichtungen an Regierungen weitergegeben hat. Also auch nicht an die US-Regierung. Zudem verarbeitet und speichert Microsoft bereits fast alle personenbezogenen Daten von Mitarbeitern der niederländischen Regierung ausschließlich in europäischen Rechenzentren, nicht in den USA. Nur die pseudonymen Telemetriedaten werden nun systematisch in die USA gesendet. Bis Ende 2022 wird Microsoft diese personenbezogenen Daten auch automatisch ausschließlich in der EU verarbeiten.“  

Ähnlich wie die Datenschutzkonferenz (Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse) hat man auch in den Niederlanden Fachjuristen um eine Einschätzung zum anwendbaren US Recht gebeten. Das daraus entstandene Wissen wurde in eine FAQ übersetzt, die später veröffentlich werden soll.

Neben der eigentlichen DSFA wurden für jede Art von personenbezogenen Daten, die Microsoft über die drei Dienste verarbeitet, die Risiken einer missbräuchlichen Weiterverarbeitung in einem Data Transfer Impact Assessment (DTIA) dargestellt. Im Deutschen könnte man das in etwa mit Datenübermittlungs-Folgenabschätzung übersetzen. Man ermittelte

sieben Arten von personenbezogenen Daten, anhand derer eine Berechnung der Wahrscheinlichkeit durchgeführt wird, dass auf die Daten von den amerikanischen Ermittlungs- und Geheimdiensten nach geltendem Recht zugegriffen oder sie angefordert werden: 

  1. Live-Inhaltsdaten (Teams) 
  2. Gespeicherte Inhaltsdaten ( Teams, OneDrive, SharePoint) 
  3. Diagnose (Telemetrie) (Teams, OneDrive, SharePoint) 
  4. Diagnose (Dienstprotokolle) (Teams, OneDrive, SharePoint) 
  5. Supportdaten (Teams, OneDrive, SharePoint) 
  6. Sicherheitsdaten (US ) (Teams , OneDrive, SharePoint) 
  7. Kontoinformationen (Azure AD)

In Ergänzung lohnt es sich auch, in die umfangreichere Zusammenfassung zu schauen, denn dort werden neben den im Memo erwähnten hohen Risiken auch sechs geringe Risiken, die bei der Verarbeitung von Diagnosedaten entstehen können, beschrieben, welche man in der DSFA ermitteln konnte. In einer Tabelle sind ein hohes Risiko und die sechs geringen Risiken angeführt und Maßnahmen, welche von staatlichen Einrichtungen und Universitäten getroffen werden müssen, um die beschrieben Risiken zu minimieren. Ergänzt wird dieses mit der Angabe von Maßnahmen, welche von Microsoft zu treffen sind.

Bewertung

Beachtet werden sollte bei der Bewertung der Zusammenfassungen der DSFA zu den Online-Diensten Teams in Kombination mit OneDrive, SharePoint Online und dem Azure Active Directory, dass diese nicht mit Blick auf Schulen, sondern bezüglich einer Nutzung der Plattform in Behörden und an Universitäten erstellt wurde. Dabei wurde auch eine Education Version berücksichtigt. Die Voraussetzungen in Schule sind allerdings nicht eins zu eins mit denen an einer Universität vergleichbar. Während man es an einer Universität mit Erwachsenen zu tun hat, geht es an Schulen im Primar- und Sek. I Bereich um Kinder und Jugendliche. Erst in der Sek. II hat man es dann, ähnlich wie an einer Universität mit Erwachsenen zu tun. Zwar stellen die personenbezogenen Daten von Kindern und Jugendlichen keine hochsensiblen und speziellen Datenkategorien dar, doch gelten sie in der DS-GVO trotzdem als besonders schützenswert. Trotzdem geben die Ergebnisse der DSFA wichtige Hinweise, welche Maßnahmen auch an Schulen auf jeden Fall umgesetzt werden sollten, um Risiken zu minimieren.

Darüber hinaus heißt es für Schulen weiterhin – abwarten und hoffen, dass Microsoft versprochene Maßnahmen wie zugesagt, umsetzt und auch darüber hinaus Maßnahmen treffen, welche Schulen eine DS-GVO konforme Nutzung der Plattform ermöglichen. Wenn die Datenschutzkonferenz , die sich jetzt auch auf den Weg gemacht hat, mit Microsoft in Austausch zu treten, dieses voranbringen kann, dann ist das gut. Die Niederlande zeigen aber wieder einmal mehr, wie man zu Ergebnissen kommt. Davon können wir uns in Deutschland eine Menge abschauen, etwa indem sich ein Justizministerium einschaltet und man nicht nur spricht, sondern verhandelt und Vereinbarungen trifft, die von Microsoft umgesetzt werden müssen.

Anhang

Die Dokumente auf der Seite der niederländischen Regierung stehen unter einer CCO Lizenz, sind also public domain, solange nicht anders gekennzeichnet. Deshalb können hier die übersetzten Versionen eingestellt werden. Die Übersetzung erfolgte mit Google Doc Translation und einem manuellen Abgleich mit dem niederländischen Original, ergänzt durch Übersetzungen mit DeepL.

In der Zusammenfassung wurde in der Tabelle der Maßnahmen eine Anpassung vorgenommen, da die Überschrift im Original nur von „hohen Risiken“ spricht, die Risiken 2 – 7 jedoch „geringe Risiken“ darstellen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.