Datenschutz-Akademie » Datenschutz-News » Datenschutz von Microsoft Office 365 in der Kritik
Datenschutz von Microsoft Office 365 in der Kritik
Microsoft wirbt eifrig für den Wechsel in seine Cloud. Office 365 löst in vielen Büros das klassische, lokal installierte Programmpaket ab. Leider entspricht diese Cloud aber nicht allen europäischen Datenschutzvorschriften und so entzündete sich an der Datensammelei in Office und Windows 10 viel Kritik. Und das auch amtlich: Der Hessische Datenschutzbeauftragte untersagte im Juli 2019 den Einsatz von Office 365 in hessischen Schulen. Er störte sich vor allem daran, dass über Office 365 „eine Fülle von Telemetriedaten an Microsoft übermittelt“ werde und deren Inhalte Fragen offen ließen.
Einsatz von Office 365 in Schulen unter bestimmten Voraussetzungen geduldet
Nachdem Microsoft in Gesprächen Besserung gelobt hatte und einen Teil der Bedenken entkräften konnte, erklärte der Datenschutzbeauftragte im August, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden. Das betrifft die Nutzung von Office 365 in der Version ab 1904 (Office365 ProPlus, Office365 Online und Office365 Apps), wenn Schulen diese bereits erworben haben und auf den rechtmäßigen Einsatz vertraut hatten. Sie müssen aber vorläufig die Übermittlung von Diagnosedaten unterbinden.
Datenschutzrisiken in Microsoft Office 365
Auch eine niederländische Aufsichtsbehörde monierte Datenschutzrisiken. Bei den Office-Anwendungen werden zwischen 23.000 und 25.000 Ereignisse an Microsoft übermittelt. Nicht einmal Microsoft weiß, welche Arten von Daten genau übertragen werden. Die Datensammelwut von Office-Anwendungen ist also weitaus höher als die unter Windows 10. Administratoren der Behörden konnten die Übertragung von Dateinamen, -pfaden und Mail-Betreffen in Logs nachweisen. Weitere Kritikpunkte sind zum Beispiel die Verwendung der Office-Daten für Zwecke von Microsoft und Schwachstellen bei den Zertifikaten. Es ist auch nicht möglich, Daten einzeln zu löschen außer durch die Löschung des gesamten Accounts.
Datenschutz-Maßnahmen von Microsoft
Microsoft hat einige Maßnahmen ergriffen, um auf die Kritik zu reagieren. Neue Einstellungen sollen die Übermittlung von Telemetriedaten begrenzen. Zur Zeit entwickelt der Software-Riese ein Analysewerkzeug, um den Datenfluss besser kontrollieren zu können. Damit räumt Microsoft aber nicht alle angemahnten Risiken aus. Dazu hat es auch noch keine Zusicherung abgegeben.
Sie haben Fragen zum Thema Datenschutz und möchten sich mit Experten austauschen? In der Robin Data Community finden Sie Antworten auf Ihre Fragen.
Datenverarbeitung in Unternehmen und Schulen
Wer auf der ganz sicheren Seite sein will, der könnte nun jegliche Datenverarbeitung mit Microsoft Office stoppen. Doch das dürfte für die meisten Unternehmen keine realistische Option sein, schließlich sind die Office-Programme seit langem geradezu Standard im Geschäftsleben. Ähnlich sieht es bei Schulen aus. Sie benötigen vielmehr eine bessere staatliche Unterstützung beim Datenschutz. Aktuell stattet der Staat seine Lehrer nicht einmal mit einer eigenen Mailadresse aus. Die Lehrer kommunizieren und schicken Schülerdaten über ihren eigenen Provider, per USB-Stick oder gar mit Whatsapp, was für den Datenschutz die schlechteste Lösung ist. Sie verwalten Schülerdaten auf dem eigenen Rechner, es kursieren unverschlüsselte Festplatten und unsichere Passwörter. Ob das Löschmanagement korrekt betrieben wird, darf man bezweifeln.
Tipps zum Einsatz von Office 365 in der Praxis
Vorläufig können Unternehmen und Schulen die Office-365-Anwendungen weiter einsetzen, nachdem Microsoft Nachbesserungen im Datenschutz zugesichert hat. Sie sollten sich aber informieren, ob Microsoft sich daran auch tatsächlich hält und wie die Aufsichtsbehörden weiter verfahren.
Stellungnahme des hessischen Datenschutzbeauftragten:
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020