Surf hat die Ergebnisse eines mit dem Strategic Supplier Management for the Central Government durchgeführten DSFA zu Microsoft 365 Produkten veröffentlicht.
Übersetzung
„SURF hat zusammen mit dem Ministerium für Justiz und Sicherheit (Strategisches Lieferantenmanagement für die Zentralregierung) die Privacy Company beauftragt, eine Datenschutz-Folgenabschätzung (DPIA) zu Microsoft OneDrive, SharePoint und Teams durchzuführen.
Die Studie ergab Folgendes:
6 geringe Risiken
1 hohes Risiko
Die sechs niedrigen Risiken können erst dann als solche eingestuft werden, wenn die Institutionen Maßnahmen ergriffen haben. SURF wird hierzu weitere Informationen zur Verfügung stellen.
Das hohe Risiko betrifft den Einsatz von Teams. Es handelt sich um die besondere Situation, in der besondere personenbezogene Daten über im Voraus geplante Teamsitzungen ausgetauscht werden. Diese geplanten Sitzungen sind nicht Ende-zu-Ende-verschlüsselt. Derzeit bietet Microsoft nur eine Ende-zu-Ende-Verschlüsselung (E2EE) für den spontanen Eins-zu-Eins-Austausch an.
Maßnahmen
Microsoft hat versprochen, E2EE für alle geplanten Teams-Unterhaltungen zu unterstützen, hat aber noch kein genaues Datum dafür genannt. SURF und das Ministerium für Justiz und Sicherheit diskutieren weiter mit Microsoft. Sobald Microsoft Klarheit über ein Implementierungsdatum schafft, kann das derzeit hohe Risiko überdacht werden.
Wenn Institutionen OneDrive und SharePoint für die Verarbeitung sensibler oder spezieller personenbezogener Daten nutzen wollen, wird ihnen empfohlen, den Double Key Encryption Service von Microsoft oder Verschlüsselungslösungen von Drittanbietern zu nutzen. Damit können Dateien verschlüsselt gespeichert werden.
Abruf von personenbezogenen Daten durch Ermittlungs- und Nachrichtendienste
Microsoft teilte im November 2021 mit, dass das Unternehmen niemals personenbezogene Daten von Mitarbeitern öffentlicher Einrichtungen an eine Regierung weitergegeben hat. Microsoft hat bereits angekündigt, dass es an einer Lösung arbeitet, bei der personenbezogene Daten ausschließlich in der EU verarbeitet werden (die sogenannte EU Data Boundary).
Weitere Informationen
SURF verfolgt auch aufmerksam die Entwicklungen bei der Nutzung von Cloud-Diensten außerhalb der Europäischen Union und ist bestrebt, sicherzustellen, dass die technischen und vertraglichen Vereinbarungen mit den Anbietern konform sind und die Risiken minimiert werden.“
„Ziel der DSFA
Die DPIA, die im Auftrag von SURF und dem Ministerium für Justiz und Sicherheit durchgeführt wurde, betraf die Online-Versionen von Microsoft Teams, Microsoft SharePoint und Microsoft OneDrive. Die Ergebnisse der vorliegenden Studie beziehen sich daher nur auf diese Lösungen und sagen nichts über andere Microsoft-Lösungen oder die „On-Premises“-Lösungen dieser Anwendungen aus.
Kann meine Einrichtung die Software weiter nutzen?
Ja, aber die Maßnahmen müssen von den Verwaltern Ihrer Einrichtung getroffen werden. SURF wird diese Maßnahmen ausführlich erläutern und ins Internet stellen.
Muss meine Einrichtung etwas tun?
In der Umweltverträglichkeitsprüfung wurden sechs geringe Risiken und ein hohes Risiko ermittelt. Die sechs geringen Risiken sind erst nach Umsetzung der in der Umweltverträglichkeitsprüfung empfohlenen Maßnahmen „gering“. Das hohe Risiko kann derzeit technisch nicht behoben werden. Hierzu sollte der Administrator der Einrichtung die betroffenen Nutzer/Mitarbeiter anweisen.
Was ist das hohe Risiko?
„Das hohe Risiko tritt in begrenzten Fällen innerhalb von Teams auf. Wenn Personen einen geplanten Termin in Teams haben, wird dieser Anruf nicht Ende-zu-Ende-verschlüsselt (E2EE). Aufgrund der theoretischen Möglichkeit, dass (US-)Ermittlungs- und Nachrichtendienste Zugang zu diesen Gesprächen verlangen, ist es für sie relativ einfach, sie zu analysieren. Nur wenn diese Gespräche besondere personenbezogene Daten betreffen (wie in Artikel 9 des AVG beschrieben), besteht aufgrund der Sensibilität dieser personenbezogenen Daten ein hohes Risiko. Es wird daher dringend davon abgeraten, diese Art von Gesprächen im Rahmen eines geplanten Treffens zu führen. Bei spontanen Einzelgesprächen über Teams besteht dieses Risiko nicht. In diesem Fall können die Unterhaltungen Ende-zu-Ende verschlüsselt werden.“
Was macht Microsoft in Bezug auf das hohe Risiko?
Microsoft hat angedeutet, dass es sich bemühen wird, auch bei geplanten Teams-Konversationen eine Ende-zu-Ende-Verschlüsselung anzuwenden. Microsoft kann noch kein Datum nennen, wann dies umgesetzt wird. Das ist einer der Gründe, warum dieses Risiko hoch ist und bleibt, bis es mehr Klarheit darüber gibt.
Ist meine Einrichtung nun im Risiko?
Soweit wir feststellen konnten, nicht. Das hohe Risiko bezieht sich auf die theoretische Möglichkeit, dass US-amerikanische Ermittlungs- und Geheimdienste Zugang zu Daten niederländischer Bürger beantragen. Microsoft hat erklärt, dass es keine Anfragen erhalten hat, die Personen des niederländischen öffentlichen Sektors betreffen. Für weitere Informationen (Seite 4)
Folgen aus SchremsII und der Richtlinien des EDPB
Ja, sie sind enthalten. In dieser Studie wurde auch eine Folgenabschätzung für den Datentransfer (DTIA) durchgeführt. Für Ende 2022 wird auch eine Entscheidung des Europäischen Datenschutzausschusses (EDPB) erwartet, die unter anderem die Ergebnisse dieser DTIA beeinflussen kann. SURF wird dies natürlich weiterhin genau beobachten.
Worauf beziehen sich die Risiken?
Sowohl das hohe als auch das niedrige Risiko beziehen sich auf die Übermittlung personenbezogener Daten in die USA und das von Microsoft als Auftragsverarbeiter gebotene Maß an Transparenz bei der Verarbeitung personenbezogener Daten.
Was sind die 6 niedrigen Risiken?
Diese 6 Risiken wurden als gering eingestuft:
Die derzeitige strukturelle Übermittlung von begrenzten Diagnosedaten und die gelegentliche Übermittlung von Sicherheitsdaten in die USA stellen beide ein Datenschutzrisiko dar.
Microsoft ist nicht vollständig transparent, was die browserbasierte Sammlung von Telemetriedaten und die Telemetrieereignisse über die Nutzung der verbundenen Erfahrungen angeht.
Microsoft hat zugesagt, das Programm zum Abrufen der Diagnosedaten zu verbessern. Dies soll Administratoren bei Anfragen zum Zugriff auf Daten von einzelnen Mitarbeitern helfen. Dieses Tool ist derzeit noch schwer zu bedienen.
Es gibt eine Ausnahme von Microsofts Garantie, dass die „erforderlichen Dienstdaten“ keine direkt identifizierbaren (lesbaren) Benutzernamen/E-Mail-Adressen oder Dokumentennamen enthalten. Microsoft kann den Benutzernamen und/oder die E-Mail-Adresse eines Mitarbeiters zusammen mit dem Mandantennamen und dem Dateipfad mit dem vollständigen Namen des Dokuments erfassen. Dies ist z. B. für den Betrieb von OneDrive erforderlich. Diese Daten werden nicht länger als 30 Tage aufbewahrt.
Microsoft bietet zwei verschiedene Analysedienste für Teams an: Teams Analytics and Reporting und Viva Insights. Diese Tools geben sowohl den Mitarbeitern selbst als auch den Administratoren der Einrichtung Einblick in das Verhalten der Mitarbeiter. Teams Analytics and Reporting ist standardmäßig aktiviert. Diese Option muss vom Administrator der Einrichtung ausgeschaltet werden. Viva Insights ist in der Standardeinstellung deaktiviert. Wenn der Administrator diese Funktion aktiviert, kann der Benutzer sie abwählen.
Microsoft arbeitet daran, sicherzustellen, dass kein Datenverkehr von SharePoint an seine Suchmaschine Bing gesendet wird, wenn ein Kunde aus dem Unternehmens- oder Bildungsbereich den Controller Connected Experiences deaktiviert hat. Derzeit erlaubt Microsoft die Verarbeitung dieser Daten als für die Verarbeitung Verantwortlicher für die 17 in seiner Standard-Datenschutzerklärung aufgeführten Zwecke. Die Entfernung des Datenverkehrs von SharePoint zu Bing muss bis Juli 2022 abgeschlossen sein.
Was muss meine Einrichtung tun?
Bezüglich des hohen Risikos, dass Inhaltsdaten in der EU verarbeitet werden, auf die aber von den USA aus zugegriffen wird, weil diese Daten nicht verschlüsselt sind:
Weisen Sie die Nutzer an, keine besonderen personenbezogenen Daten über geplante Teams-Anrufe weiterzugeben, da solche geplanten Sitzungen nicht Ende-zu-Ende-verschlüsselt sind. Geplante Anrufe sind Teams-Besprechungen, die über den Kalender eingerichtet werden. Spontane Anrufe über Teams können verschlüsselt werden.
Verwenden Sie Double Key Encryption für Dokumente mit sensiblen oder besonderen Kategorien persönlicher Daten, die in SharePoint und OneDrive gespeichert sind. Dazu gehören auch Aufzeichnungen von Teams-Besprechungen.
Verwenden Sie Customer Lockbox für andere gespeicherte persönliche Daten.
Aktivieren Sie die Ende-zu-Ende-Verschlüsselung standardmäßig für 1-on-1-Anrufe und weisen Sie die Benutzer an, die Ende-zu-Ende-Verschlüsselung ebenfalls zu aktivieren. Microsoft beschreibt hier, wie dies aktiviert werden kann.
Eine kurze Beschreibung: Nachdem der Administrator die Funktion aktiviert hat, sollte ein Endbenutzer wie folgt vorgehen: Gehen Sie zu „Einstellungen“ und wählen Sie dann die Optionen „Datenschutz“. Wählen Sie die Schaltfläche neben „End-to-End-verschlüsselte Anrufe“, um sie zu aktivieren.
Erstellen Sie eine Datenschutzrichtlinie für Teams und OneDrive für Benutzer und Gastbenutzer. Legen Sie Regeln für die Freigabe von Dateien und Bildern fest. Stellen Sie sicher, dass Mitarbeiter und Gastnutzer diese Regeln über die Azure AD Terms and Conditions akzeptieren.Geringes Risiko:
Microsoft entwickelt eine EU Data Boundary. Damit werden ab Ende 2022 alle personenbezogenen Daten aus der EU in der EU gespeichert (einschließlich Diagnose- und Servicedaten). Bis dahin sollte das Risiko der derzeitigen strukturellen Übertragung von begrenzten Diagnosedaten und der gelegentlichen Übertragung von Sicherheitsdaten in die USA akzeptiert werden.
Verwenden Sie keinen SMS-Code zur Authentifizierung, um die Übertragung unverschlüsselter Mobiltelefonnummern in Länder außerhalb des EWR zu verhindern. Verwenden Sie stattdessen die Microsoft Authenticator-App oder ein Hardware-Token.
Legen Sie Richtlinien für die Nutzung von OneDrive und SharePoint fest, die besagen, dass keine personenbezogenen Daten in Dateinamen und Dateipfaden enthalten sein dürfen.
Erwägen Sie die Erstellung von pseudonymen Konten für Mitarbeiter, deren Identität vertraulich bleiben muss (innerhalb ihrer eigenen AD-Umgebung oder innerhalb von Azure AD, wenn es für Single Sign On verwendet wird.
Verwenden Sie regelmäßig das Data Viewer Tool und vergleichen Sie die Ergebnisse mit der öffentlichen Dokumentation.
Informieren Sie die Mitarbeiter über die Möglichkeit, das Data Viewer Tool zu nutzen und informieren Sie sie über die Möglichkeit, einen Antrag auf Datenzugriff bei ihrer eigenen Institution zu stellen.
Wenn das DSAR-Tool (Data Subject Access Request) für den Zugriff auf Diagnosedaten verwendet wird, vergleichen Sie die Ergebnisse mit einer internen technischen Analyse des Netzwerkverkehrs.
Deaktivieren Sie die Funktionalität von Teams Analytics and Reporting und verwenden Sie die Pseudonymisierung. Aktivieren Sie Viva Insights nicht. Sollte eine Entscheidung für den Einsatz dieser Tools getroffen werden, führen Sie eine Datenschutzfolgenabschätzung durch. Insbesondere, wenn sie in Kombination mit anderen analytischen Diensten von Microsoft Windows & Office verwendet werden.
Legen Sie Richtlinien fest, um die Verwendung von Teams Analytics & Reports als Werkzeug zur Mitarbeiterüberwachung zu verhindern.
Um das Risiko zu mindern, dass Microsoft Daten an Dritte weitergibt, wobei Microsoft die Rolle des Controllers einnimmt, wird empfohlen, den Controller Connected Experiences und die Drittanbieter-Apps in Teams zu deaktivieren.
Weisen Sie die Endbenutzer an, nicht über SharePoint in der Bing-Suchmaschine nach Bildern zu suchen, bis diese Funktion im Juli 2022 deaktiviert wird.
Ergebnis aus der DSFA
Microsoft hat als Reaktion auf die Verhandlungen von SLM Rijk und SURF bereits zahlreiche rechtliche, technische und organisatorische Maßnahmen ergriffen. Es wurden Mängel behoben und Garantien für die Datenverarbeitung durch Microsoft gegeben. Dadurch wurde ein großer Teil der Risiken für die betroffenen Personen bei der Verarbeitung personenbezogener Daten durch die Nutzung von Teams, OneDrive und SharePoint gemildert. Allerdings muss Microsoft noch mehrere Schritte unternehmen, um die festgestellten hohen und niedrigen Risiken zu mindern. Wenn Einrichtungen die oben genannten empfohlenen Maßnahmen befolgen und umsetzen, bestehen derzeit keine hohen Risiken für die Verarbeitung von (besonderen) personenbezogenen Daten.
Die Risiken werden Ende 2022 neu bewertet, nachdem der Europäische Datenschutzausschuss (EDPB) mehr Klarheit über die Datenübermittlung außerhalb des EWR geschaffen hat. SURF verfolgt diese Entwicklungen genau und unternimmt alle Anstrengungen, um sicherzustellen, dass die technischen und vertraglichen Vereinbarungen mit den Lieferanten den Anforderungen entsprechen und die Risiken minimiert werden.
Was ist mit Business kritischen Daten?
Bei der Nutzung einer Anwendung muss die verantwortliche Person innerhalb der Einrichtung die Verarbeitung von personenbezogenen Daten sowie von anderen Daten, die vertraulich sein können, berücksichtigen. Eine DPIA konzentriert sich ausschließlich auf personenbezogene Daten und die Einhaltung des AVG. Andere Formen von vertraulichen und/oder geschäftskritischen Informationen werden daher nicht berücksichtigt.
Ist das hohe Risiko nur auf Microsoft Teams bezogen?
Dateien in Onedrive und SharePoint können verschlüsselt gespeichert werden. Dies ist auch die Entschärfungsmaßnahme: Verwenden Sie Double Key Encryption für Dateien mit sensiblen oder besonderen persönlichen Daten, die in SharePoint/OneDrive gespeichert sind. Dazu gehören auch Aufzeichnungen von Teamgesprächen. Verwenden Sie Customer Lockbox, um andere gespeicherte persönliche Daten zu schützen.
Live-Unterhaltungen in Teams können/konnten bisher nicht aufgezeichnet werden, mit Ausnahme von spontanen Einzelgesprächen. Hier können Sie die E2EE-Maßnahme standardmäßig einschalten. Dies ist der Grund, warum geplante Teams-Besprechungen als hohes Risiko eingestuft werden. Derzeit gibt es keine andere Maßnahme zur Risikominderung als die Anweisung an die Mitarbeiter, keine besonderen personenbezogenen Daten zu verarbeiten.
Wie kann die end-zu-end Verschlüsselung für Conversationen nutzen?
Zunächst muss der Administrator der Einrichtung die E2EE-Funktion aktivieren. Danach schaltet jeder Nutzer E2EE in seiner Teams-Anwendung ein.
Wählen Sie in Teams die Option „Weitere Optionen“ neben Ihrem Profilbild. Wählen Sie „Einstellungen“ und dann die Optionen „Datenschutz“ auf der linken Seite. Wählen Sie die Schaltfläche neben „End-to-End-verschlüsselte Anrufe“, um sie zu aktivieren.
Quelle: