Seit der Ankündigung von Microsoft Graph und Delve gibt es immer wieder Mythen und Diskussionen über den Einsatz im Rahmen von Microsoft 365 im Unternehmen. Oft sind die Äußerungen von Unkenntnis oder Vermischung von Tatsachen geprägt. Deshalb gibt es nun diesen Blogbeitrag, um die Fakten zu erläutern und die Frage zu beantworten.

Faktencheck 

In dem folgenden Faktencheck werden die Werkzeuge genau betrachtet und mögliche Verbote geprüft und recherchiert. Ziel ist es eine aktuell gültige Antwort auf die Frage des Einsatzes in Deutschland zu finden.

ACHTUNG: Dieser Beitrag wird regelmäßig ergänzt und erweitert.

Version	Datum	Änderungen
Version 1	20.10.2021	Erstellung des Beitrages
Version 2	folgt	folgt

Zusammenfassung des Blogpost

In einer mehrtägigen Prüfung und Recherche konnte kein explizites Verbot des Einsatzes von Delve oder Microsoft Graph gefunden werden. Es gab entsprechend keine Urteile oder Beschlüsse in Bezug auf ein Verbot von Delve und Microsoft Graph.

Es gibt kein Verbot!

Es bleibt eine Risikoabwägung mit der Empfehlung eine DSFA durchzuführen. 

Was ist der Microsoft Graph?

Unter Microsoft Graph versteht man das System hinter Microsoft 365. Hier werden Schnittstellen für fast alle Funktionen angeboten und auch Informationen können abgerufen werden. So gibt es einen Microsoft Graph API Endpunkt https://graph.microsoft.com über den ein Zugriff auf den Graph stattfinden kann. Man kann sich den Graph als ein Netz aus Informationen im Hintergrund vorstellen, der die gesamte Anwendung Microsoft 365 am Leben hält:

 

“Microsoft Graph stellt REST-APIs und Client-Bibliotheken für den Zugriff auf Daten der folgenden Microsoft Cloud Services zur Verfügung:

• Microsoft 365-Kerndienste: Bookings, Kalender, Delve, Excel, Microsoft 365 Compliance eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, People (Outlook-Kontakte), Planner, SharePoint, Teams, To Do, Workplace Analytics.
• Enterprise Mobility und Sicherheitsdienste: Advanced Threat Analytics, Advanced Threat Protection, Azure Active Directory, Identity Manager und Intune.
• Windows 10-Dienste: Aktivitäten, Geräte, Benachrichtigungen, Universelles Drucken.
• Dynamics 365 Business Central.”

offizielle Dokumentation: https://docs.microsoft.com/de-de/graph/overview

 

Schlussfolgerung Microsoft Graph abstellen? Geht es?

Dies erklärt auch, warum man Microsoft 365 nicht nutzen kann, wenn kein Zugriff mehr auf den Microsoft Graph. Dies bedeutet auch, dass man Microsoft Graph nicht abstellen kann. Es besteht nur die Möglichkeit den Zugriff zum Microsoft Graph zu begrenzen und Funktionen auszublenden, die den Graph offenen nutzen und beispielsweise Eingaben durch Nutzer:innen ermöglichen. 

Verträge und Microsoft Graph

Der Microsoft Graph ist ein Teil der Microsoft Online Service Terms und dabei sogar ein Core-Tool, sowie das Data Protection Agreement, wie auch die neuen SCCs (Microsoft Corp – Microsoft Irland) greifen für den Microsoft Graph. 

OSTs für EA: https://www.microsoft.com/licensing/terms/product/ForOnlineServices/EAEAS

DPA: https://aka.ms/DPA

Product Terms:  https://www.microsoft.com/licensing/terms/welcome/welcomepage

SLA: https://www.microsoft.com/licensing/docs/view/Service-Level-Agreements-SLA-for-Online-Services

Nutzungsbedingungen des Microsoft Graph: https://docs.microsoft.com/de-de/legal/microsoft-apis/terms-of-use?context=graph/context

ACHTUNG ausgeschlossen von OSTs und DPA 

-> Microsoft Graph data connect for ISVs

April 1, 2021 Änderung

“The Microsoft Graph data connect for ISVs product entry has been deleted as the offer has been retired. Existing customers may refer to the March 1, 2021 version of the terms.”

Wo wird der Microsoft Graph verarbeitet und die Daten gespeichert?

Die Daten des Microsoft Graph werden in der Tenant-Region und in dem Tenant gespeichert, den ihr nutzt. Dies bedeutet, dass ihr in Europa die folgenden Rechenzentren erhaltet. 

Europa	Nordeuropa Westeuropa
Deutschland	Frankfurt Berlin

Extraktion via:

Europa

Nordeuropa Westeuropa

https://docs.microsoft.com/de-de/graph/data-connect-datasets

Datenschutzinformationen zum Microsoft Graph

Microsoft bietet auch einige Informationen zum Thema Datenschutz an: https://docs.microsoft.com/de-de/graph/insights-customize-item-insights-privacy

Weiterhin wurde erst vor Kurzem eine Möglichkeit geschaffen den Zugriff im Sinne des Datenschutzes granularer zu gestalten, ich habe dies schon in einem Blogbeitrag gschrieben:

Microsoft Graph – Update in Bezug auf den Datenschutz

 

Was ist Delve? 

Verwenden Sie Delve, um Ihr Microsoft 365-Profil zu verwalten und die Informationen zu entdecken und zu organisieren, die für Sie wahrscheinlich gerade am interessantesten sind – im gesamten Microsoft 365.

Webseite: delve.office.com 

Dokumentation: https://support.microsoft.com/de-de/office/was-ist-delve-1315665a-c6af-4409-a28d-49f8916878ca

Beispiel aus meinem Tenant

Hier sehen wir in dem Screenshot sowohl die Dokumente, die als letztes Bearbeitet wurden, zu denen ich praktisch und auch theoretisch Zugriff habe. Hier sehen wir die Gruppe Community Köln in dem die gesamte Verwaltung der Communities wie dem TeamsCommunityDay laufen. Daneben sehe ich Personen mit denen ich zusammenarbeite, aber leider nicht aktuell, da ERGO und Julia nur meine Demoaccounts sind und meine Personen mit denen ich wirklich jeden Tag arbeite hier nicht auftauchen. Ich nutze Boards und Favoriten um Dokumentengruppen über alle Microsoft SharePoint Sites, OneDrive, Microsoft Teams und Yammer hinweg. 

My Analytics ist nur ein Link in ein anderes Produkt, welches für mich aktiviert ist, um mich bei der täglichen Planung zu unterstützen.

Delve und auch My Analytics greifen auf Daten des Microsoft Graph zurück. Ohne den Microsoft Graph funktionieren diese Werkzeuge nicht. 

Delve wurde aber leider seit gut 2 Jahren nicht mehr weiterentwickelt und auch die mobile App wurde eingestellt. Die Funktionen wurden bereits auf die Startseite portal.office.com und OneDrive migriert und zur neuen Produktreihe Viva. Persönlich finde ich dies schade, da Delve meine Startseite ist, denn so sehe ich wo ich gestern aufgehört habe und wo mein Team gerade arbeitet, egal wo die Datei liegt. 

Delve – Datenschutz

“Delve ändert niemals irgendwelche Berechtigungen, daher werden nur die Dokumente angezeigt, auf die Sie bereits Zugriff haben. Ihre privaten Dokumente werden für andere Personen nicht angezeigt. Hier finden Sie weitere Informationen zum Datenschutz.”

Konkret heißt es, dass die Inhalte, die bei Microsoft Delve angezeigt werden, nur dann angezeigt werden, wenn dem Nutzer:in auch die Berechtigung dafür gegeben wurde. So sehe ich alle Dokumente innerhalb meines Tenants, die meiner Kollegen, die mit mir arbeiten und kann Dokumente mit Boards Favorisieren und dies über alle SharePoints, OneDrive for Business und Exchange Postfächer hinweg.

Ich habe die ursprüngliche Datenschutzerklärung für Delve geschrieben und kostenlos Microsoft weitergegeben. Eine aktuelle Version wurde stark angepasst und ist hier abrufbar: https://support.microsoft.com/en-us/office/are-my-documents-safe-in-delve-f5f409a2-37ed-4452-8f61-681e5e1836f3?ui=en-us&rs=en-us&ad=us

Es beantwortet die folgenden Fragen:

• Wer kann meine Dokumente sehen?
• Wer kann meine Anlagen sehen?
• Wer kann die Dokumente auf einer Tafel sehen?
• Wie kann ich meine Dokumente mit anderen teilen?
• Wie sorge ich dafür, dass ein Dokument privat bleibt?
• Kann ich ein Dokument aus Delve löschen?
• Eines meiner privaten Dokumente wurde in Delve sieben Mal aufgerufen. Bedeutet dies, dass es von sieben Personen angezeigt wurde?
• Können andere Personen sehen, welche Dokumente ich angezeigt habe?

• Kann ich Delve deaktivieren?

Datenverarbeitung von Delve

Die in Delve verarbeiteten Daten stammen zu 100% aus dem Microsoft Graph, der wiederum diese Daten über eine API Schnittstelle zur Verfügung stellt. Die Daten werden so für eine Office 365 Umgebung innerhalb von Europa gespeichert und verarbeitet und dann den Nutzer:innen zur Verfügung gestellt.

https://support.microsoft.com/de-de/office/speichern-ihrer-dokumente-an-einem-ort-an-dem-office-delve-darauf-zugreifen-kann-49a0db49-5e6c-4dda-816e-e11dd77de49d?omkt=de-de&ui=de-de&rs=de-de&ad=de

Konfiguration des Nutzers

Es ist möglich, dass der Nutzer:in hier Delve deaktiviert und so Dokumente nicht mehr angezeigt werden. Im Hintergrund werden die Informationen mit Delve immer verarbeitet, nur der Zugang zu den Informationen wird für den Nutzer gesperrt. 

Darüber hinaus ist es möglich seine Daten zu extrahieren.

Beispiel des Exportes in einer JASON

Verträge und Delve

Delve gehört in den aktuellen OSTs nicht zu den Core-Diensten und wird nicht in dem Vertragsbündel genannt. Schauen wir in die aktuellen Verträge,

OSTs für EA: https://www.microsoft.com/licensing/terms/product/ForOnlineServices/EAEAS

DPA: https://aka.ms/DPA

Product Terms:  https://www.microsoft.com/licensing/terms/welcome/welcomepage

SLA: https://www.microsoft.com/licensing/docs/view/Service-Level-Agreements-SLA-for-Online-Services

finden wir Delve nicht mehr. Früher war es ein Teil der Microsoft Core Services. 

So fragt man sich, unter welchen Verträgen läuft nun Delve? 

Innerhalb der Anwendung Delve gibt es keinen Hinweis, sondern nur den Hinweis welche Inhalte gesehen werden können. Damit ist Delve zunächst mal in Bezug auf die vertragliche Situation sehr intransparent. 

In der Dokumentation wird “Delve” als Werkzeug aufgelistet (Blog). Damit gelten die DPA und die EU Standardvertragsklauseln auch für Delve. In den Verträgen ist dies nicht sichtbar. 

---

Verbote von Delve und Microsoft Graph

Nun ist fraglich, welche Verbote es geben könnte. Darum schauen wir uns verschiedenste Bereiche an, die Verbote auslösen könnten, wie Entscheidungen der  LDSBs und Gerichte. 

Gesetze

Es gibt kein Gesetz, welches die Nutzung von Microsoft Delve und Microsoft Graph explizit verbietet.

Dazu muss man natürlich sagen, dass Gesetze in der Regel auch nicht speziell für einzelne Produkte gemacht wurden. So stellt sich die Frage, ob indirekt Gesetze den Einsatz von Delve oder Microsoft Graph verbieten. 

Beispiele / Auszüge

§ 80 Abs. 2 SGB X

“(2) Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt werden, wenn die Verarbeitung im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat oder in einer internationalen Organisation erfolgt.”

https://www.gesetze-im-internet.de/sgb_10/__80.html#:~:text=%C2%A7%2080%20Verarbeitung%20von%20Sozialdaten%20im%20Auftrag%20%281%29,Rechts-%20oder%20Fachaufsichtsbeh%C3%B6rde%20rechtzeitig%20vor%20der%20Auftragserteilung%201.

Ergebnis: Auch der § 80 Abs. 2 SGB X in Bezug auf den Sozialdatenschutz setzt gerade auf den Punkt des Drittlandtransfers ab. Dies ist aktuell nach dem technischen Stand bei Delve und Graph nicht der Punkt, da beides nur in Europa verarbeitet und gespeichert wird.

Bundesdatenschutzgesetz (BDSG) 

In einem Bereich des Bundesdatenschutzgesetzes gibt es keine explizites Verbot von Delve oder Microsoft Graph. Eine genauere Betrachtung zeigt dementsprechend auf Art 13/14 den Transparenzpflichten und auch in Richtung der sicheren Gestaltung des IT-Systems. 

 

Verordnungen

Im Bereich der Verordnungen in der Bundesrepublik Deutschland wurde explizit nach Verboten nach Microsoft Graph und Delve gesucht. Hierzu wurde Juris, Beck Online und die jeweiligen Datenbanken der Bundesländer genutzt. 

Es gibt keine Verordnung, die explizit eine Verbot des Einsatzes von Delve und Microsoft Graph verlangt.

Datenschutzgrundverordnung der Europäischen Union (DSGVO)

 

Urteile und Beschlüsse zu Microsoft Graph und Delve

In einer Juris und Beck Online Suche wurden keine Urteile oder Beschlüsse gefunden, die sich konkret auf Microsoft Delve beziehen. 

Bei Microsoft Graph findet man dies:

LAG Köln (9. Kammer), Beschluss vom 21.05.2021 – 9 TaBV 28/20 (Blog) 
Hierbei geht es jedoch um die Mitbestimmung bei Microsoft 365 und speziell auch bei Microsoft Graph. Ein Verbot wurde nicht bestätigt und auch nicht ausgesprochen.

Weitere Urteile oder Beschlüsse zu Microsoft Graph, MS Graph oder Graph wurden nicht gefunden.

Solltet ihr Beschlüsse, Urteile oder Verfahren kennen, meldet euch: raphael.koellner@rakoellner.com 

 

Landesdatenschützer und Bundesdatenschutz

 

Bremen (Delve, Graph)

Bericht des Landesdatenschutzbeauftragten 2020

https://www.bremische-buergerschaft.de/drs_abo/2020-03-25_Drs-20-330_ab02d.pdf

Umfrage / Auswertung

“Die Auswertung der Rückmeldungen ergab, dass knapp ein Drittel der angefragten Unternehmen diese Software im Einsatz hat; die von der LfDI aufgrund der Auswertungsmöglichkeiten besonders problematischen Module  Microsoft Graph und Delve werden von vier Unternehmen verwendet“

Anmerkung: Es wird nicht angegeben, warum Delve und Graph besonders problematisch sein sollen.

 

Allgemeine Kritik der Landesdatenschütter in der Kurzübersicht

Viele der Landesdatenschützer nehmen deutliche Kritik an verschiedenen Aspekten von Office 365 und Microsoft Teams. So wird Kritik an den Verträgen wie der Microsoft DPA und den OSTs geübt. Darüber hinaus an speziellen Themen wie Diagnose- und Telemetriedaten, wie auch der Intransparenz innerhalb der Dokumentation, also gerade in dem Punkt, was Microsoft genau in die USA sendet. 

Ein Verbot wurde von den Landesdatenschutzbehörden konkret für Delve oder Microsoft Graph nicht ausgesprochen.

Es wurde aber Kritik geäußert, dass für Delve und auch für den Microsoft Graph eine Risikoabwägung bis hin zur DSFA sehr sinnvoll ist. Die Vermischung und Verarbeitung von vielen verschiedenen personenbezogen Daten löst eine kritische Betrachtung aus. Ebenso könnten Daten sichtbar werden, wenn Grundsätze der Berechtigung, Datenminimierung und Art 32 DSGVO nicht eingehalten werden. Eine Einzelfallentscheidung ist heute noch nicht bekannt. 

Beispiele und Auszug der Äußerungen der Landesdatenschutzbehörden:

https://www.rakoellner.de/2021/02/fragebogen-des-landesdatenschutz-hamburg-zu-office-365-nutzung-nach-schrems2-oeffentlich-abrufbar/

Landesdatenschutz Niedersachsen – Der Einsatz von Office 365 ist weiterhin kritisch

Äußerungen der Landesdatenschutzbehörden zu den Neuerungen von Microsoft

 

Datenschutzkonferenz (DSK)

Im Rahmen der DSK laufen nach den ersten Beschlüssen und Äußerungen im September und Oktober 2020 wurde in engere Diskussionen mit der Firma Microsoft sowohl in Deutschland, als auch mit Microsoft USA gegangen. 

Ein Verbot wurde von der DSK konkret für Delve oder Microsoft Graph nicht ausgesprochen.

Auszüge

 

Oktober 2020 – Office 365 in der DSK

Die DSK bewertet Office 365 als nicht datenschutzkonform einsetzbar – Kommentar

Protokoll der DSK Sitzung vom 22. September 2020

“Der Vorsitzende stellt die Ergebnisse der Umlaufverfahren Nr. 23/2020 („Datenschutzrechtliche Bewertung der Auftragsverarbeitung bei Microsoft Office 365) und Nr. 26/2020 (Abbruch des Umlaufverfahrens Nr. 23/2020) dar. Er weist noch einmal darauf hin, dass der vorliegenden Bewertung des Einsatzes des Produktes von Microsoft Office 365 durch den AK Verwaltung vom 15. Juli 2020 die Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) — mit dem jeweiligen Stand: Januar 2020 — zu Grunde liegen.”

https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf