29.04.2022 09:20 Kategorie: Aktuelles DE, Datenschutz, Deutschland, EU, News, Österreich

Niederländisches Justizministerium prüft weitere Komponenten

Microsoft365: Neue Datenschutz-Folgenabschätzung erforderlich?

Das niederländische Justizministerium hat eine modifizierte Datenschutz-Folgenabschätzung (DSFA) bezüglich einzelner Online-Komponenten von MicrosoftMicrosoft365 veröffentlicht (wir berichteten: www.uimc.de/news/365). In den Fokus der Betrachtung rückten die Bestandteile SharePoint Online, OneDrive for Business und Azure AD, sowie Microsoft Teams in der 117-Seiten starken Untersuchung (ohne Anhänge).

Dieser Vorgang zeigt, dass weiterhin die Ansicht vertreten wird, dass für den Einsatz von Microsoft365 und verschiedenen Bestandteilen der Softwarestruktur eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese Ansicht teilt die UIMC und empfiehlt, eine solche mit dem Mehrwert durchzuführen, im Zuge der Bearbeitung wichtige Einstellungen zur Risikominimierung treffen und einen entsprechenden Nachweis der Durchführung vorhalten zu können.

Das Resultat der Untersuchung ist, dass hinsichtlich der Diagnosedatenverarbeitung keine hohen Risiken mehr bestehen, sofern entsprechende Maßnahmen eingeführt bzw. umgesetzt werden. Dies gilt jedoch nicht, wenn hochsensible Daten über die Dienste ausgetauscht werden. In letzterem Fall verbleibt zusätzlich zu den sechs niedrigen Risiken ein hohes Risiko.

Übersichtlich dargestellt verbleiben folgende niedrigen Risiken nach den Erkenntnissen der Ersteller der Datenschutz-Folgenabschätzung:

Diagnosedatenübermittlung an Microsoft: Microsoft wird eine Datenverarbeitung rein innerhalb der EU bis zum Ende 2022 einführen, sodass solche Datenübertragungen nicht mehr stattfinden. Aufgrund der zeitlichen Bindung wurde dieses Risiko als niedrig eingestuft. Weiterhin sollen eingeschränkte Datentransfers stattfinden, dann aber nur noch aggregiert und pseudonymisiert.
Fehlende Transparenz bei der Datenerhebung: Wie bisher findet auch bei der geringsten Diagnosedatenübertragungseinstellung eine Übermittlung von Daten statt. Genaue Auskünfte hierzu können lt. Microsoft nicht erteilt werden wegen der Dynamik und der Vertraulichkeit dieser Informationen. Microsoft bindet sich jedoch an die reine Zweckbindung, welche vertraglich vereinbart wird.
Schwierigkeiten bei der Auskunftserteilung: Microsoft wird das Tool für Administratoren verbessern, wodurch die Auskunftserteilung an Betroffene ermöglicht und erleichtert werden soll.
Identifizierbare Daten in Diagnosedaten: Die übermittelten Daten enthalten keine der genannten Daten mehr. Nur in Ausnahmefällen unter sehr restriktiven Zugriffsmöglichkeiten von Microsoft kann dies vorkommen, jedoch wurde dies nicht risikoerhöhend bewertet.
Analysetools zur Leistungs- und Verhaltenskontrolle: Microsoft bietet zwei detaillierte Analysetools (Teams Analytics & Reports und Viva Insights). Das erste Tool ist standardmäßig aktiviert. Es besteht jedoch die Möglichkeit, die Mitarbeiterdaten darin zu pseudonymisieren, um keine Rückschlüsse zu eröffnen. Viva Insights ist standardmäßig deaktiviert. Selbst bei Aktivierung durch den Admin kann dieser Dienst von Mitarbeitern selbst deaktiviert werden. Beide Analysetools bieten detaillierte Einsichten in die Nutzung durch Mitarbeiter und die Möglichkeiten zur Risikominimierung müssen genutzt werden.
Datenübermittlung von SharePoint an Bing: Microsoft arbeitet daran, die Verbindung von SharePoint zu Bing (Suchmaschine von Microsoft) zu stoppen. Derzeit werden Daten aus SharePoint an Bing gesendet zur Durchführung von „image queries“ (Bildersuchen).

Das hohe Risiko besteht dann, wenn nicht nur Daten mit einer normalen Sensibilität, sondern Daten mit hoher Sensibilität (z. B. Gesundheitsdaten) über die Dienste verarbeitet werden. Dieses Risiko kann dadurch minimiert werden, indem eigene Verschlüsselungen verwendet werden. In Teams-Besprechungen können aber derzeit Ende-zu-Ende-Verschlüsselungen (E2EE) nur in Einzelgesprächen verwendet werden. Microsoft arbeitet jedoch an einer solchen Verschlüsselungsmöglichkeit auch für Gruppenchats/-konferenzen.

Maßnahmen, die für diese Dienste gesetzt werden können, um die Risiken zu minimieren bzw. das Ergebnis zu erreichen, wie es in der DSFA der Niederländer erzielt wurde, können Sie in einer Darstellung im FAQ-Bereich im eCollege nachlesen (Zugang für registrierte User). Diese sind in dem Kontext zu betrachten, dass sie zusätzlich zu den bereits empfohlenen Maßnahmen aus der DSFA der UIMC gesetzt werden sollen bzw. diese updaten.

Bestimmte Maßnahmen sind bei einer derzeit bereits durchgeführten DSFA mit den empfohlenen Maßnahmen zur Risikominimierung bereits umgesetzt worden; hier sollte deren Aktualität noch geprüft werden. Zusätzliche Maßnahmen sollten letztlich noch umgesetzt werden, um auch die Online-Dienste letztlich mit tragbaren Risiken nutzen zu können.

Gerne unterstützen wir Sie bei der Durchführung einer Datenschutz-Folgenabschätzung oder bei der Aktualisierung Ihrer bereits gesetzten Einstellungen.

<- Zurück zu: News: Aktuelles aus dem Bereich Datenschutz und Informationssicherheit

Ihr Ansprechpartner

Tim Hoffmann

Fragen? Informationen? Angebot?

Kontaktdaten und Standorte

Weitere Veröffentlichungen

Mit unserem Info-Brief "UIMCommunic@tion" bieten wir Ihnen regelmäßige Informationen rund um Datenschutz und Informationssicherheit. Die bisherigen Veröffentlichungen können Sie jederzeit nachlesen:

UIMCommunication

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo