Diese Anleitung soll Ihnen die eine aktuelle Möglichkeit aufzeigen, wie mit Office 365 umgegangen werden kann. Ob diese Vorgehensweise bei uns Bestand haben wird, mal sehen.
Diese Maßnahmen dienen dem DSGVO konformen Einsatz von Office 365 und basieren auf einer in den Niederlanden durchgeführten DSFA (Datenschutzfolgeabschätzung). Werden diese Maßnahmen so umgesetzt, kann in den Niederlanden eine DSFA im eigenen Unternehmen zu diesem Thema vermieden werden.
Folgende Maßnahmen sollten ergriffen werden:
- Sicherstellen das Office 365 ab Version 1905 oder höher eingesetzt wird.
- Mittels „Optionale verbundene Erfahrungen” werden umfangreiche Daten an Microsoft übermittelt. Diese ermöglichen die Nutzung von Services wie z.B. Übersetzung, Designvorschläge usw.
Für eine DSGVO-konformen Einsatz müssen die „Optionale verbundene Erfahrungen“ ausgeschaltet werden, auch wenn damit die die Nutzung der zusätzlichen Services entfällt.
Menu: Datei/Optionen/Einstellungen für das Trust Center/ Datenschutzoptionen/Datenschutzeinstellungen
- Ebenfalls muss in den Einstellungen das Senden der Diagnosedaten abgestellt werden. Hierzu wird die Option „weder noch“ ausgewählt. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht. Sollte kein Zugriff auf diese Einstellung bestehen, wird diese durch den Administrator der Organisation verwaltet.
- Per Registry-Eintrag oder Gruppenrichtlinie muss das Telemetrie-Niveau von Microsoft 365 auf „weder noch“ gestellt werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden.
ACHTUNG: In Windows 10 Home und Professional ist es hingegen nicht möglich, die Übermittlung von Messdaten vollständig abzuschalten.
Der DSGVO konforme Einsatz von Windows 10 kann daher derzeit nur mit der Enterprise bzw. Education-Version erfolgen.
- Ebenfalls muss per Registry-Eintrag oder Gruppenrichtlinie der Versand von Daten im Rahmen des „Customer Experience Improvement Programms“ (CEIP) unterbunden werden.
- Bei Updates muss geprüft werden, ob die LinkedIn-Integration von Mitarbeiterkonten weiterhin deaktiviert ist. Heute ist bei der Standard-Einstellung in Deutschland die LinkedIn-Integration deaktiviert.
- Je nach Sensitivität der Daten sollte die Customer Lockbox* oder der Customer Key verwendet werden. Dies ist mit Zusatzkosten verbunden, da Microsoft für diese Services zusätzliche Gebühren erhebt. Die Alternative wäre, keine sensiblen Daten in Microsoft 365 zu verarbeiten.
* Die Customer Lockbox stellt sicher, dass Microsoft nicht auf Inhalte des Tenants zugreifen kann, um einen Dienstvorgang ohne ausdrückliche Genehmigung des Tenant-Admins/Kunden (bzw. des globalen Admins und Mitglieder der Rolle „Customer Lockbox Admin“) auszuführen. Dies wird durch einen Genehmigungsprozess auf Tenant/Kundenseite gesteuert.
- Sollen die Tools „Activity Reports“, „Workplace Analytics“ oder „MyAnalytics“ eingesetzt werden, muss vor Aktivierung eine DSFA erstellt werden und der Betriebsrat entsprechend informiert werden. Darüber hinaus sollte von der Installation des „Insight“-Plugins abgesehen werden, da hiermit zusätzliche Informationen gesammelt werden.
- Durch Sensibilisierung der Mitarbeiter und durch interne Richtlinien sollte eine Verwendung von der mobilen Office-Apps sowie der Office-Online-Apps möglichst unterbunden werden. Grund: in der DSFA die durch die niederländische Aufsichtsbehörde beauftragt wurde, wurden mehrere Risiken in Bezug auf die Datenschutzrechte der Betroffenen identifiziert, die nur durch Microsoft abgestellt werden können.
Fazit
An der Nutzung von Office 365 werden die Wenigsten vorbeikommen. Die Vorteile einer Integration in die Micorsoft-Welt überwiegen meist.
