Ein besonderer Blick muss auf die im Titel genannten Produkte / Werkzeuge fallen, da diese einen hohen Stellenwerk und eine hohe Verbreitung im Rahmen des Einsatzes von Microsoft 365 haben. Eine komplette Deaktivierung würde ernsthafte Konsequenzen haben, jedoch ist es nicht ganz einfach:
Update zu September 2020
Das neue OST Update bringt nicht viele Neuigkeiten:
Apps in Microsoft Teams
Die Liste im Anhang A der OSts, die wiederrum die Dienste aufzählt, die unter dem DPA Anhang und somit auch der EU Standardvertragsklauseln fallen ist lang, aber ist zunächst nur auf die Dienst selber anzuwenden. Apps sind in der Regeln nicht eingeschlossen.
Alle Microsoft Teams Apps aus dem Store aus dem Hause von Microsoft verweisen leider auf die allgemeinen Datenschutzerklärung.
Somit sind wir für die Microsoft Teams Apps erstmal nicht in den OSts/DPA Anhang. Bei einem genaueren Blick verweisen die allgemeinen Datenschutzerkärungen (Kapitel: Enterprise and developer products) für Microsoft 365/ Office 365 wieder in die Osts und damit fallen diese Apps nun doch wieder unter die EU Standardvertragsklauseln.
Microsoft Apps im Microsoft Teams mit einem Dienst im Anhang A der OSts -> es lässt sich ein Weg finden
Microsoft Apps im Microsoft Teams App Store ohne Dienst im Anhang A der OSts -> keine Nutzung möglich
Mobile Office Apps
In der Kombination aus den neuen OSTs und DPA Anhang ist nun definiert, dass die Office Apps mit einem Geschäfts-und Schulkonto genutzt unter den DPA Anhang und den EU Modelclauses fallen. Das Problem ist damit zunächst beseitigt.
Office 365 Pro Plus / Microsoft 365 Apps for Enterprise
Microsoft 365 Apps for Business oder früher Office 365 Pro Plus ist das wichtigste Werkzeug im Office. Es erlaubt den Nutzern offline mit Werkzeugen wie Word, PowerPoint und Outlook zu arbeiten. Dennoch muss beachtet werden, dass dieses Paket zunächst nicht unter den Anhang 1 der Microsoft Online Service Terms fällt, denn hier ist deutlich zu lesen:
“Zu den Office 365 Services gehören nicht Microsoft 365 Apps for Enterprise, Teile der PSTN-Dienste, die außerhalb der Kontrolle von Microsoft betrieben werden, jede Clientsoftware oder ein separat gekennzeichneter Dienst, der mit einem Plan oder einer Suite der Marke Office 365 zur Verfügung gestellt wird, wie beispielsweise ein Bing oder ein Dienst mit der Bezeichnung „für Office 365.“
Dieses Paket aus Werkzeugen ist damit kein Coretool und gehört nicht zu den Office 365 Services in den OSTs mit DPA Anhang.
Deshalb sind die Microsoft 365 Apps for Enterprise aktuell als Risiko zu betrachten. Leider wurden diese im aktuellen August Update nicht in die Coretools aufgenommen.
Azure Services
Bei den Azure Diensten muss man sich jeden einzelnen Dienst genau anschauen. Es ist nicht möglich Azure insgesamt zu betrachten. Dies ist auch schnell klar, denn es gibt sehr viele Dienste/Services/Werkzeuge von Microsoft, die ausschließlich in wenigen Regionen verfügbar sind und auch unter verschiedenste Regelungen fallen. Es ist ein bunter Korb aus Services, die einfach gesondert betrachtet werden müssen.
Etwas einfacher macht es der Anhang A der OSTs aus August 2020. Hier sind schon viele Azure Services aufgelistet, die unter DPA und damit auch unter EU Standardvertragsklauseln fallen:
Azure Cognitive Services & Bing Services
Mit einem genaueren Blick in die obige Liste fällt jedoch auf, dass das Bündel mit dem Namen “Azure Cognitive Services” nicht insgesamt aufgezählt ist oder zumindest aufgelistet.
Unter Azure Cognitive Services fällt:
- Anomalieerkennung
- Content Moderator
- Personalisierung (für Oberflächen)
- Language Understanding
- Plastischer Reader (z.B. in Word, PowerPoint, MS Team)
- QnA Maker
- Textanalysen
- Übersetzer (Bing Translator)
- Spracherkennung
- Text-to-Speech
- Sprachübersetzung
- Spracherkennung
- Custom Vision
- Formularerkennung
- Freihanderkennung
- Gesichtserkennung
- Maschinelles Sehen
- Videoindizierung
- Benutzerdefinierte Bing-Suche
- Bing-Bildersuche (Word/PowerPoint/Excel/ usw. verbundener Dienst)
- Bing-Entitätssuche
- Bing-News-Suche
- Bing-Rechtschreibprüfung
- Bing-Videosuche
- Bing-Vorschlagssuche
- Bing-Websuche (Teil der Microsoft Search)
- Visuelle Bing-Suche
https://azure.microsoft.com/de-de/services/cognitive-services/
Alle diese Cognitive Services sind leider nicht im Anhang A aufgelistet. Man muss also in den OSTs selber prüfen und diese verweisen zu 90% auf die allgemeine Datenschutzerklärung.
Damit fallen diese unter Privacy Shield und durch den Wegfall könnt ihr euch denken, dass dies problematisch ist.
Nun schaut man sich an, dass viele der Dienste auch in Europa gehostet werden und damit der “transfer” in ein Drittland also in die USA wegfällt und man kein Privacy Shield benötigt wird. Leider ist es so, dass man einerseits den Support zu den Diensten, der aus den USA kommt nicht vergessen darf und auf der anderen Seite auch, dass es nebem dem “transfer” auch ein zweites Kriterium gibt. So dass man immer eine Rechtsgrundlage benötigt. (Art 44 DSVGO)
Diagnosedaten
Ein weiteres spannendes Thema sind die Diagnosedaten. Diese fallen vielseitig an von einzelnen Produkten wie SharePoint Online über die bekannten Feedback-Button und Umfragen bis hin zu optional und verbunden Diensten.
Laut der DPA (21. Juli 2020″) sind Diagnosedaten (Seite 4):
““Diagnostic Data” means data collected or obtained by Microsoft from software that is locally installed by Customer in connection with the Online Service. Diagnostic Data may also be referred to as telemetry. Diagnostic Data does not include Customer Data, Service Generated Data, or Professional Services Data.“
Eine Übersicht liefert der DPA Anhang (aka.ms/DPA) auch schon auf Seite 5:
Technisch gesehen ist der Prozess der Übermittlung der Diagnosedaten zu angelegt, dass im Enterprise Bereich die Übermittlung kontrolliert werden kann, aber nicht wie bei Windows 10 Enterprise, können nicht alle Diagnosedaten abgeschaltet werden. Es werden bei Microsoft 365 immer die erforderlichen Diagnosedaten übertragen. Hierzu zählen zum Beispiel Diagnosedaten der Kategorie Sicherheit (“Fehlerbedingungen von Dokumenten, Funktionen und Add-Ins, welche die Sicherheit gefährden könnten, einschließlich der Aktualisierungsfähigkeit des Produktes.”) Alle Diagnosedaten können mit dem Diagnose Viewer (Windows 10 App) in Echtzeit betrachtet werden und auch die Konfiguration nach nachverfolgt werden. Die Übertragung ist technisch so angelegt, dass die Daten auf dem Rechner des Nutzers anomysiert und verpackt werden und dann verschlüsselt an die Microsoft Services in der Region US West versendet werden. Sollte bei dem Prozess ein Fehler auftreten, dann wird das gesamte Paket gelöscht.
Diagnosedaten werden laut des DPA Anhanges nur für legitime Geschäftszwecke verarbeitet. Diese legitime Geschäftszwecke werden wie folgt auf Seite 7 unten definiert:
“To the extent Microsoft uses or otherwise processes Personal Data subject to the GDPR for Microsoft’s legitimate business operations incident to delivery of the Online Services to Customer, Microsoft will comply with the obligations of an independent data controller under GDPR for such use. Microsoft is accepting the added responsibilities of a data “controller” for processing in connection with its legitimate business operations to: (a) act consistent with regulatory requirements, to the extent required under GDPR; and (b) provide increased transparency to Customers and confirm Microsoft’s accountability for such processing. Microsoft employs safeguards to protect Customer Data and Personal Data in processing, including those identified in this DPA and those contemplated in Article 6(4) of the GDPR.“
Nun fallen die Diagnosedaten leider nur unter die allgemeinen Datenschutzerklärung von Microsoft, da diese weder im Anhang A der OSTs noch gesondert ausgewiesen sind. Da aber auch ein komplettes Abschalten sich fast unmöglich gestaltet (hohes Fachwissen/ teilweise für einige Services nicht möglich), so muss dies erstmal als Risiko betrachtet werden.
Man könnte argumentieren, dass Diagnosedaten zu dem jeweiligen Produkt gehören und zum Beispiel bei SharePoint Online somit auch unter die OSTs und den DPA Anhang gehören. Leider wird im DPA Anhang jedoch dies einzeln rausgenommen, so dass es nicht eindeutig dafür oder dagegen spricht.
Es ist ein Risiko und benötigt eine Riskoübernahme.
Hinweis zu den EU Standardvertragsklauseln
Natürlich fehlt noch der Nachweis, dass Microsoft auch tatächlich das Datenschutzniveau aus Europa einhält und einhalten kann. Soweit ich aus den USA mitbekommen habe, wird daran schon gearbeitet. Es soll zeitnah entsprechende Erklärungen veröffentlicht werden.