Datenschutz

Jede Firma, die Microsoft 365 einführen will, muss sich auch mit dem Thema "Datenschutz in der Cloud" auseinandersetzen. Mit dieser Seite versuche ich aus IT-Sicht das Thema aufzubereiten:

Diese Seite ist keine Rechtsberatung oder gesichertes Wissen sondern eine technische Beschreibung der Problemstellung mit vielen Links zu anderen Quellen.

Schon die unterschiedlichen Einschätzungen der verlinkten Artikel zeigt sehr schnell, dass es bei dem Thema aktuell keine zuverlässige Aussage geben kann, solange weder hohe Gerichte noch Gesetzgeber klare Antworten liefern.

Einführung

Der Schutz privater Informationen und insbesondere personenbezogener Daten wird angeblich besonders in Deutschland sehr hoch gehalten. Das ist im Grunde auch gut, wenn die gleichen Maßstäbe für alle datenverarbeitenden Instanzen gelten würden. Das Internet ist aber international und wir wissen alle, dass Sie bei den meisten "kostenfreien Apps und Webseiten" mit ihren "Daten" bezahlen. Glauben Sie nicht, dass ihre Nutzung von Facebook, Google, Twitter, TikTok, Netflix oder sogar die Nutzung von Fernsehern mit HbbTV-Funktion ohne Tracking erfolgt?

Gehen Sie davon aus, das solange ein Gerät in ihrem Haushalt authentifiziert auf einen Dienst zugreift und der Service damit eine Verbindung von der Person zur einer IP-Adresse herstellen kann, dieses Wissen auch zu Geld gemacht wird. Sichtbar ist dies z.B. an der Veränderung der Werbeeinblendung abhängig vom in ihren vergangenen Käufen oder Suchanfragen. Denken Sie an den Spruch "There is no free lunch" und selbst wenn etwas auf den ersten Blick kostenfrei ist, zahlen Sie mit ihren Daten.

Microsoft 365 ist aber nicht kostenfrei, denn als Firma schließen Sie einen Vertrag ab, in welchem die Pflichten und Rechte des Lieferanten (Service Descriptions, Product Usage Rights, SLAs) und ihre Pflichten und Rechte (z.B. Zahlung)festgelegt sind. Das ist aber noch keine Garantie, dass der Anbieter auch einen zum Datenschutz verträglichen Dienste anbieten kann. Dafür müssen Sie immer eine Datenfolgeabschätzung durchführen.

Datentöpfe

Ein wesentlicher Aspekt sind dabei die gespeicherten und verarbeitete Daten, die sie irgendwie beim Dienstleister ablegen. Ich versuche mich an einer Einordnung:

  • Identitäten und Zugangsdaten
    Fast alle Zugriffe auf Daten in der Microsoft Cloud erfolgen authentifiziert. Microsoft benötigt also zumindest einen Anmeldenamen und eine Möglichkeit zur Verifikation der Anmeldung. Der Anmeldename ist meist mit der Mailadresse identisch und damit "kennt" Microsoft quasi ihre Mitarbeiter und über die Gruppen und Manager auch die Zugehörigkeit und Hierarchie. Mit ADFS-Federation verhindern Sie komplett dass Microsoft ihre Credentials sieht. Mit PTA prüft der lokale DC die Daten und mit PHS werden die Hashwerte der Kennworte in die Cloud synchronisiert.
    Wenn Sie hier schon ein Problem sehen, dann brauchen Sie erst gar nicht daran denken, auch Daten in die Cloud abzulegen
  • Zugriffsprotokolle
    Die Aktivitäten der authentifizierten Benutzer werden natürlich auch meist 30 Tage protokolliert. Dies hilft ihnen beim Betrieb zur Fehlersuche und Missbrauchserkennung aber es sind natürlich auch Daten
  • Eigene Dateien
    Ein Teil der Nutzdaten in der Cloud sind von ihnen selbst geschaffene Daten, die aber noch nichts mit Kunden zu tun haben, z.B. interne Arbeitsabläufe, Personalverwaltung etc. Für diese Informationen ist natürlich eine Risikoabschätzung vorzunehmen.
  • Kundendaten
    Das gilt noch umso mehr für die Verarbeitung und Speicherung von Kundendaten in der Cloud. Der Kunde "weiß" nicht automatisch, dass Informationen über ihn durch ihre Firma in einer Cloud abgelegt werden. Beachten Sie hier die Informationspflichten und ggfls. muss der Kunde sogar zustimmen.
  • "InTransit" Daten
    Neben "gespeicherten" Daten gibt es auch flüchtige Informationen, die über die Infrastruktur der Cloud gehen. Das kann der Mailtransport über Exchange Online Protection sein, obwohl das Postfach weiter On-Premises liegt. Aber auch Audio/Video-Daten in Microsoft Teams werden über die Cloud zu den Teilnehmern verteilt aber ohne Aufzeichnung nicht dauerhaft gespeichert. Dennoch könnte Microsoft natürlich diese Daten aufzeichnen oder mitschneiden.
  • Sonderfälle
    Noch ein Punkt sind besonders zu schützende Personen, die nicht nur Kunde oder Mitarbeiter sind. Dazu zählen u.a. minderjährige Auszubildende oder Schüler, die z.B. keine Wahl haben, wenn die Schule einen Cloud-Service nutzt. Aber auch besonders sensible Daten eines Krankenhauses, einer Versicherung oder Bank ist gesondert zu betrachten und VSNfD/Geheim-Dokumente von Ministerien, Justiz, Forschung, Militär werden wohl besser nicht in eine Cloud abgelegt. Auch Daten aus der eigenen Forschungsabteilung und andere Kronjuwelen einer Firma sind gesondert zu betrachten.

Denken Sie auch daran, dass es nicht immer nur die "böse Microsoft" oder die US-Geheimdienste sind, die vielleicht Zugriff begehren. Es gibt durchaus Umgebungen, die sehr genau bei der Cloud hinschauen aber für die lokale IT deutlich schwächere Maßstäbe anlegen. Wenn Sie einen Microsoft 365 Tenant sicher konfiguriert haben (Starten Sie bei Checkliste Tenant Einrichtung), dann sind die Daten in der Cloud meist deutlich besser geschützt, als lokale Server. Das ist aber für das Thema "Datenschutz" und "Datenschutzfolgeabschätzung" mit dem Blick auf Microsoft 365 kein Freibrief für die Cloud, nur weil es lokal noch unsicherer sein könnte.

Zwischenstand

Ich werde ihnen keine Baupause für das Thema Datenschutz mit Microsoft 365 liefern. Das streifen sich viel mehr Richter, Anwälte, Datenschutzbeauftrage vor unterschiedlichsten Gerichten und letztlich verändern sich die Randbedingungen kontinuierlich. Daher kann ich für sie und mich nur Links zu verschiedenen Quellen sammeln, um sich ein eigenes Bild zu schaffen. Es gibt Anwälte, die sich hier weiter aus dem Fenster lehnen.

Ausgehend von unserer rechtlichen Analyse, einem intensiven Austausch mit Microsoft und den Datenschutzaufsichtsbehörden ist ein datenschutzkonformer Einsatz von Microsoft 365 möglich. Der ungeprüfte oder undokumentierte Einsatz von Microsoft 365 ist jedoch ein Risiko für Unternehmen und kann Bußgelder und Schadensersatzklagen zur Folge haben.
Quelle: DatenschutzCompliance bei Microsoft 365  https://www.reuschlaw.de/wp-content/uploads/2022/09/220831-reuschlaw-Onepager-CS-365-Microsoft.pdf

Allerdings gibt es natürlich auch das ein wirtschaftliches und werbliches Interesse solcher Aussagen. Am Ende wird es ein Gericht entscheiden, was Kläger und Verteidigung auffahren und wie letztlich ein Richter darüber richtet. Viele Gutachten großer Anwaltskanzleien und de verschiedenen Prüfinstitute machen viel her aber die Urteile Schrems 1 und Schrems 2 zeigen, dass quasi auch David Erfolge vorweisen kann,

BAFIN, KRITIS, VSNfD

Besondere Betrachtungen gelten für Umgebungen, die z.B. von der BAFIN überwacht werden (Banken, Versicherungen etc.) oder zu kritischen Infrastrukturen zählen (Energie, Logistik, Health etc.) oder Verschlusssachen bearbeiten (Verteidigung, Rüstung, Geheimdienste u.a.).

Schulen

Auch Schulung und Bildungseinrichtungen sind hier besonders, denn Schüler sind oft minderjährig und die "Schulpflicht" zwingt quasi zur Nutzung der gestellten Plattform. 

Prüfen Sie auf jeden Fall, ob ihre Umgebung neben den allgemeinen Datenschutz-Belangen noch besondere Randbedingungen zu beachten gilt

Eventuell müssen Sie zur Datenschutzbetrachtung und Datenschutzfolgeabschätzung auch noch eine Risiko-Analyse machen.

Links von Microsoft

Microsoft behauptet natürlich, dass ihr Produkt alle Anforderungen erfüllt und auch die US-Geheimdienste keinen Zugriff hätten. Allerdings hat auch Microsoft die letzten Jahre ihre Dokumente immer weiter aktualisiert. Ob das immer nur juristische Umformulierungen waren oder im Hintergrund tatsächlich Änderungen den Schutz verbessert haben, kann ich nicht beweisen.

Azure IT-Grundschutz
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Azure_IT-Grundschutz_Workbook_DE.pdf
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Azure_IT-Grundschutz_Workbook_EN.pdf

Dynamics 365
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Dynamics-365_IT-Grundschutz_DE.pdf
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Dynamics-365_IT-Grundschutz_EN.pdf

Office 365
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Office365_IT-Grundschutz_Workbook_DE.pdf
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Office365_IT-Grundschutz_Workbook_EN.pdf

Ergänzend gibt es Fachartikel und Meinungen dazu:

Ich denke mir halt auch, dass ein staatlicher Angreifer auch eine On-Premises-Umgebung kompromittieren kann und Microsoft wohl seine Kunden und den Datenschutz mit allen Möglichkeiten verteidigt, da letztlich ihr wirtschaftlicher Erfolg davon abhängt. Das Risiko wäre einfach hoch, dass ein nicht legitimer Zugriff doch bekannt wird und der wirtschaftlicher Schaden immens wäre.

Dokumente anderer Stellen

Auch diverse staatliche Stellen veröffentlichen immer wieder Meldungen, Vorträge und Fachartikel zur Nutzung von Microsoft 365.

Datenschutz in Zeiten von MS Teams, Videoverhandlungen & Home Office
https://www.justiz.bayern.de/media/pdf/veranstaltungen/datenschutz_in_zeiten_von_ms_teams__videoverhandlungen___home_office.pdf

Links zum Datenschutz bei Microsoft 365

Kritisch sehen Datenschützer auch den Messenger-Dienst der landesweiten Lernplattform Logineo NRW. Im August eingeführt, verspricht er laut Landesregierung eine „einfache, schnelle und sichere digitale Kommunikation“ zwischen Lehrern und Schülern. Über 1200 Schulen nutzen das kostenfreie Angebot bereits. Betreut wird es aber vom Subunternehmen Amazon Web Services (AWS) – einer Tochterfirma des US-Internetriesen mit Sitz in Luxemburg. Demnach unterliegt der AWS dem Cloud Act: Ein Gesetz, das es US-Behörden erlaubt, auf personenbezogene Daten im Internet zuzugreifen, also auch auf sensible Schülerdaten wie Noten.
Quelle: Westfalenblatt Nr. 287 vom 8. Dez 2020, Bereich OWL/NRW, Zitiert aus der Antwort der Landesregierung NRW auf eine Anfrage der Grünen-Fraktion. Drucksache 17/11713
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11713.pdf

Die Landesregierung hat dabei keine Bedenken hinsichtlich des Datenschutzes: „Das Risiko einer Herausgabe von Daten nach dem Cloud-Act würde überhaupt nur dann bestehen, wenn gegen Nutzende des Messenger ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet worden ist.“ Zudem verweist die Regierung auf AWS-Referenzprojekte: die Deutsche Bahn, Europol und die TU München.
Quelle: Westfalenblatt Nr. 287 vom 8. Dez 2020, Bereich OWL/NRW, Zitiert aus der Antwort der Landesregierung NRW auf eine Anfrage der Grünen-Fraktion. Drucksache 17/11713
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11713.pdf

Vorträge auf der 2020 RC3
Ein Jahr cyber4EDU: Rückblick und der Versuch eines Ausblicks (Steini & Michael Merz) https://media.ccc.de/v/rc3-189237-cyber4edu_infra_run
Digitales Klassenzimmer so geht freie Schulsoftware (Jessica Wawrzyniak) https://media.ccc.de/v/rc3-11591-digitales_klassenzimmer
Geplante Einführung MS365 an Schulen in BaWü (Leibi and Inga Klas) https://media.ccc.de/v/cccs-rc3-ms365bw
Rückblick auf ein turbulentes Jahr digitale Schule (Thomas ‚advi‘ Brandt) https://media.ccc.de/v/rc3-11343-ruckblick_auf_ein_turbulentes_jahr_digitale_schule

Root Cause

Das grundlegende Problem beim Thema Datenschutz sind die unterschiedliche Interessen des Anbieters, des Käufers, des Nutzers und des Staats gepaart mir einem sehr volatilen Themenumfeld und entsprechend unscharfen Ausdrucksweisen. Als Nutzer finde ich das Tracking von Webseiten und die Cookie-Banner extrem widerwärtig aber natürlich haben Anbieter ein Interesse ein Einkommen zu erzielen. Auf der anderen Seite kann der Gesetzgeber gar nicht schnell genug auf neue Entwicklungen reagieren, deren Auswirkungen erst langsam bekannt werden. Im Jahr 2023 dürfte ChatGPT noch für einige Überraschungen sorgen.

Aber warum sollte das bei der IT anders sein als im Finanzwesen. Nach meiner Auffassung kann ich mir nicht etwas zurückerstatten lassen, was nie bezahlt wurde und dennoch hat das CumEx-System Milliarden Euro umverteilt. Es war sicher nicht "anständig" aber ohne entsprechendes Gesetz wohl nicht strafbar. Die DSGVO enthält anscheinend auch keine klaren Aussagen, was Anbieter von Cloud-Lösungen auf jeden Fall umsetzen müssen und damit bleibt es auch hier bei Einzelentscheidungen.

Was hilft es einem Rektor einer Schule oder Geschäftsführer einer Firma, wenn er auf Teams, Webex, Zoom in Zeiten der Corona-Pandemie in vorauseilendem Gehorsam verzichtet hätte und der Unterricht wäre ausgefallen oder die Firma wäre insolvent gegangen? Das Strafrecht konnte sich über Jahrhunderte entwickeln und Mord, Totschlag, Körperverletzung etc. sind ziemlich gut in Gesetzen definiert. Bei Fahrzeugen gibt es eine Straßenverkehrsordnung, die Zulassungen regelt. Was in den letzten Jahrzehnten an "Lichtdesign" bei Blinkern und Standlicht danke LED alles möglich ist, geht weit über den nicht zugelassenen Ochsenblinker an meinem Mofa um 1983 hinaus. Für IT-Sachverhalte müssten Regelungen viel schnelle aktualisiert werden.

Solange es keine klaren Regeln und allgemein Urteile gibt, werden wir mit Unsicherheiten leben müssen.

Weitere Links