IMS Services Datenschutz
/

 


Information

Unternehmen lagern ihre Daten aus wirtschaftlichen und praktischen Gründen zunehmend in die Cloud aus. 

Beim Cloud Computing werden verschiedene IT-Dienstleistungen, wie z.B. Speicherplatz und Anwendungssoftware, vom Cloud Anbieter im Internet angeboten. Unternehmen müssen für die Vorhaltung ihrer Daten kein eigenes Rechenzentrum mehr betreiben, sondern können je nach Bedarf Kapazitäten und Dienstleistungen in Anspruch nehmen und auch entsprechend abrechnen.

Risiken beim Cloud Computing

In den Medien werden zahlreiche Debatten zum Thema Datenschutz und Datensicherheit in der Cloud geführt, da auch professionelle Anbieter in die Schlagzeilen geraten. Beispielsweise durch den Verlust von Passwörtern, oder die Einsehbarkeit von Kundendaten. 

Vor der Inanspruchnahme eines Cloud Dienstes sollten Sie sich daher ein Überblick über die möglichen Risiken machen. Diese sind im speziellen:

·       Datenverlust und Datenmanipulation

·       Zugriff auf die Daten seitens des Cloud Anbieters, Dritter oder Geheimdienste

·       Identitätsdiebstahl und Missbrauch von Accounts

·       Cloud Dienst ist vorübergehend nicht verfügbar

Hier sollte genau geprüft werden, mit welchen Maßnahmen der Cloud Anbieter diese Risiken absichert. Eine schöne Hilfestellung dazu bietet die Broschüre „Sichere Nutzung von Cloud Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Link: 

BSI (Bundesamtes für Sicherheit in der Informationstechnik)

Datenschutzrechtliche Anforderungen

Neben den technischen Vorkehrungen müssen auch einige rechtliche Aspekte geprüft werden. Aus datenschutzrechtlicher Sicht sollten Sie auf folgende Punkte achten:

Auftragsdatenverarbeitung

Beim Cloud Computing bleibt der Cloud Anwender verantwortliche Stelle. Er ist daher weiterhin im Außenverhältnis für die Sicherheit der Daten verantwortlich. Außerdem muss mit dem Cloud Anbieter ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden. 

Beauftragung von Subunternehmern

Der Anbieter muss grundsätzlich die beauftragten Subunternehmer abschließend benennen. Hinsichtlich der Beauftragung künftiger Subunternehmer muss sich der Anwender ein Widerspruchsrecht einräumen lassen. Er muss die Möglichkeit haben, sich in diesen Fällen vom Vertrag zu lösen. Außerdem muss der Anwender einsehen können, ob der Anbieter den Subauftragnehmer ebenso entsprechend verpflichtet.

Kontrollrechte

Der Anwender muss seine Kontrollrechte wahrnehmen können. Da eine Vor-Ort Kontrolle oftmals nicht möglich ist, kann das Kontrollrecht auch durch den Nachweis von Zertifikaten erbracht werden. Die Kontrollpflicht des Anwenders erschöpft sich jedoch nicht dadurch, dass er sich Protokolle vorlegen lässt. Vielmehr muss im Einzelfall geprüft und anschließend dokumentiert werden, ob der konkrete Cloud Dienst auch in den Anwendungsbereich des Zertifikates fällt.

Wichtige Informationen und Kontrollrechte:

·       Möglichkeit eines Anbieterwechsels und Datenportabilität

·       Löschung der Daten nach Auftragsbeendigung

·       Eigentum an den Daten

·       Datenübermittlung ins Ausland

Cloudstandort

Ein Großteil der Cloud Anbieter speichert die Daten außerhalb des EU-Raumes. Das führt dazu, dass der Abschluss eines Datenschutzverarbeitungsvertrages alleine nicht mehr ausreichend ist. Für die Datenübermittlung bedarf es einer Rechtsgrundlage. Außerdem muss das adäquate Datenschutzniveau hergestellt werden. Die Anbieter müssen also entweder nach dem Privacy Shield zertifiziert sein oder EU-Standardvertragsklauseln abschließen. 

Zusammenfassung

Cloud-Lösungen bieten Unternehmen viele Vorteile und sind mittlerweile fester Bestandteil der IT-Infrastruktur. Besonders Unternehmen, die aufgrund ihrer Größe nicht ausreichend Kapazitäten für das Betreiben und Absichern eigener Server haben, können Cloud-Dienste eine gute Lösung sein. 

Dabei sind folgende rechtliche Grundlagen zu beachten:

Unternehmen mit Cloudstandort innerhalb der EU:

Umsetzung Datenschutzvertrag (Auftragsverarbeitungsvertrag) mit Cloudunternehmen

Unternehmen mit Cloudstandort ausserhalb der EU:

Umsetzung Datenschutzvertrag (Auftragsverarbeitungsvertrag) mit Cloudunternehmen und Zertifizierung (Cloudunternehmen) nach dem Privacy Shield, oder nach EU-Standardvertragsklauseln.

Link:

O1R15 Auftragsverarbeitung und Datenschutz

O1R14 Datenübermittlung personenbezogener Daten ins Ausland (Checkliste)

Anlage:

O2R2.1.1 Checkliste Clouddienste
Checkliste Clouddienste
O2R2_1_Anlage 1_Checkliste Datenschutz Cloud.docx (22.47KB)
O2R2.1.1 Checkliste Clouddienste
Checkliste Clouddienste
O2R2_1_Anlage 1_Checkliste Datenschutz Cloud.docx (22.47KB)


Office 365 Information

Office 365 (Cloud-basierte Version des Office- Anwendungspakets von Microsoft Co.), wird in vielen Unternehmen als Verarbeitungssoftware für die meisten Bürotätigkeiten genutzt.  

Nachdem erste europäische Staaten eine Datenschutzfolgeabschätzung zu Office 365 in Auftrag gegeben haben, ist fraglich, ob ein datenschutzrechtlich konformer Einsatz möglich ist.

Folgende datenschutzrechtlichen Probleme wurden dabei festgestellt:

·       mangelhafte Transparenz

·       Nichteinstellbarkeit der Übermittlung von Diagnosedaten

·       exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft

·       Privacy Shield Problematik

Ein DSGVO-konformer Einsatz von Office 365 ist derzeit nicht gegeben.

Microsoft verarbeitet bei der Nutzung von Office 365 eine Vielzahl von personenbezogenen Daten.

  • Funktionsdaten, für die Bereitstellung des Service Office 365, welche allerdings unmittelbar nach der Bereitstellung gelöscht werden. Microsoft arbeitet hierbei als Auftragsverarbeiter gemäß Art. 28 DSGVO.
  • Inhaltsdaten werden verarbeitet, also die tatsächlichen Dokumente, E-Mails, Präsentationen etc. die Nutzer mit Office 365 erstellen.

Funktions- und Inhaltsdaten werden in großer Anzahl als Diagnosedaten verarbeitet und an die Server von Microsoft geschickt. Nachdem für jeden Nutzer eine individuelle ID generiert wird, werden Daten erhoben wie die Nutzungsdauer eines Office-Dienstes (Outlook, Word, Power Point, Excel und den Cloud-Speicher OneDrive, Größe der bearbeiteten Datei, User-, und Client ID und die verwendete Programmsprache) verwendet.

Gemäß Microsoft werden diese Daten nicht für Profiling, Marktforschung oder Werbung, sondern für das Bereitstellen, Verbessern und Aktualisieren des Dienstes und dessen Sicherheit verwendet.

Nachdem die ersten Ergebnisse in der Datenschutzfolgeabschätzung deutliche Defizite und die Unvereinbarkeit mit der DSGVO aufzeigte, hat Microsoft mittlerweile die Verarbeitungszwecke stärker eingeschränkt, da sie aufgrund der Verarbeitung zu anderen Zwecken nicht wie gewünscht „nur“ als Auftragsverarbeiter, sondern gleichzeitig mit dem Office 365-Nutzer als Verantwortlicher (Joint-Controller Art. 26 DSGVO) im Sinne der DSGVO galten, inklusive der damit verbundenen Rechten und Pflichten.

Bei der Nutzung von Office 365 muss den Nutzern und den Verantwortlichen klar sein, dass eine Übermittlung der oben genannten Daten an Microsoft nicht ausgeschlossen sondern eher wahrscheinlich  ist. Die Privacy-Shield-Zertifiziert wurde durch den Europäischen Gerichtshof (EuGH) bereits als ungültig erklärt.

Erforderliche Maßnahmen Office 365

Für den Einsatz von Office 365 wird generell empfohlen, die Programme zur Verbesserung der Benutzerfreundlichkeit, Connected Experiences zu deaktivieren, die Einstellungen u. a. bei der Beschränkung der Diagnosedaten auf die geringste Stufe zu setzen und Maßnahmen wie Abschluss eines Auftragsverarbeitungsvertrages, Abschluss von Standard-Vertragsklauseln und die Durchführung einer eigenen Datenschutzfolgeabschätzung vorzunehmen. Insgesamt sind folgende Anpassungen zu empfehlen:

Windows-Einstellung

Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Nutzer dürfen ihre Aktivitäten nicht mit der Zeitachsen-Funktion von Windows 10 synchronisieren.

Programm zur Verbesserung der Benutzerfreundlichkeit

Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

Office-ProPlus-Version

Die beschriebenen Einstellungen sind erst ab der Office-ProPlus-Version 1904 verfügbar. Es muss deshalb diese oder eine nachfolgende Version verwendet werden.

Beschränkung der Diagnosedaten

Die Übermittlung der Diagnosedaten muss auf die geringste Stufe, „Keine“, eingestellt werden.

Connected Experiences

Folgende Connected Experiences sind zu deaktivieren:

  • 3D Maps
  • Insert Online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Researche
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature
  • Abschluss eines Auftragsverarbeitungsvertrags

Der entsprechende Vertrag ist in den OST (Online Service Terms) enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

EU-Standardvertragsklauseln

Vorbehaltlich der rechtlichen Überprüfung durch den EuGH müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

Linked-In-Integration

Eine Integration von Linked-In Accounts der Mitarbeiter muss unterbunden werden.

Workplace Analytics, Activity Reports, Delve

Diese Funktionalitäten sollten zunächst nicht genutzt werden. Eine Nutzung muss unbedingt im Einzelfall geprüft werden, da es sich um die Auswertung von Leistungsdaten handelt.

Kunden-Lockbox

Werden sehr sensible Dokumente mit Office 365 bearbeitet (Bspl.: Art. 9 Daten, personenbezogene Daten), sollte die Verwendung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Diese stellt eine kundenseitige Verschlüsselung der Dokumente sicher.

Office Online und Office Mobile

Die Verwendung der Office-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

Durchführung einer Datenschutzfolgenabschätzung

Je nach Art und Umfang der Daten die mittels Office 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

Office 365 kann aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit benutzt werden. Es muss die ausstehende Rechtsprechung des EuGH abgewartet werden.