{"id":633,"date":"2025-02-12T16:57:21","date_gmt":"2025-02-12T15:57:21","guid":{"rendered":"https:\/\/home.g-lorenzen.de\/?p=633"},"modified":"2025-02-12T16:57:21","modified_gmt":"2025-02-12T15:57:21","slug":"welche-datenschutzrisiken-birgt-microsoft-365-und-wie-lassen-sie-sich-minimieren","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/02\/12\/welche-datenschutzrisiken-birgt-microsoft-365-und-wie-lassen-sie-sich-minimieren\/","title":{"rendered":"Welche Datenschutzrisiken birgt Microsoft 365, und wie lassen sie sich minimieren?"},"content":{"rendered":"\n<p>Microsoft 365 birgt verschiedene Datenschutzrisiken, die sich jedoch durch technische und organisatorische Ma\u00dfnahmen minimieren lassen.<\/p>\n\n\n\n<p><strong>Datenschutzrisiken:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mangelnde Transparenz:<\/strong> Die Datenschutzkonferenz (DSK) bem\u00e4ngelt, dass der von Microsoft bereitgestellte Standard-Auftragsverarbeitungsvertrag die Anforderungen des Art. 28 Abs. 3 DS-GVO nicht erf\u00fcllt, insbesondere hinsichtlich der Verarbeitung personenbezogener Daten durch Microsoft f\u00fcr eigene Zwecke. Es bleibt unklar, ob diese Bewertung eine grunds\u00e4tzliche Einordnung in Bezug auf Microsoft 365 darstellt oder ob sie sich konkret auf den &#8222;Datenschutznachtrag vom 15.09.2022&#8220; bezieht.<\/li>\n\n\n\n<li><strong>Daten\u00fcbermittlung in Drittstaaten:<\/strong> Das Mutterunternehmen von Microsoft, die Microsoft Corporation Inc., ist ein US-amerikanisches Unternehmen, das dem CLOUD Act sowie Section 702 FISA unterliegt. US-Beh\u00f6rden haben dadurch die M\u00f6glichkeit, auf au\u00dferhalb der USA gespeicherte Daten zuzugreifen.<\/li>\n\n\n\n<li><strong>\u00dcbermittlung von Telemetrie- und Diagnosedaten:<\/strong> Microsoft erhebt aus den Onlinediensten oder Windows Diagnose- und Telemetriedaten, die Aufschluss \u00fcber die individuelle Nutzung der Anwendungen geben k\u00f6nnen. Diese Daten k\u00f6nnen auch personenbezogene Daten enthalten, wie z. B. aus E-Mail-Betreffzeilen.<\/li>\n\n\n\n<li><strong>Risiken durch Cloud-Anbindung:<\/strong> Die Cloud-Anbindung erh\u00f6ht die Zugriffspunkte und damit die Risiken eines unberechtigten Datenzugriffs. Zudem f\u00fchrt sie zur Abh\u00e4ngigkeit von einer stabilen Internetverbindung.<\/li>\n\n\n\n<li><strong>Unstrukturierte Datenverarbeitung:<\/strong> Die Vielzahl von Tools und Anwendungen mit teilweise \u00fcberlappenden Funktionen kann zu unstrukturierter Datenverarbeitung und -speicherung f\u00fchren, was unbeabsichtigte Datenverluste und eine doppelte Speicherung personenbezogener Daten zur Folge haben kann.<\/li>\n\n\n\n<li><strong>Freigabe von Dokumenten:<\/strong> Das Versenden von &#8222;Freigabelinks&#8220; kann dazu f\u00fchren, dass Unbefugte Kenntnis von den Daten erlangen und diese missbrauchen.<\/li>\n\n\n\n<li><strong>Microsoft Graph:<\/strong> Microsoft Graph sammelt Daten aus verschiedenen Anwendungen wie Outlook, Kalender, OneDrive, Teams usw. und analysiert das Nutzerverhalten. Diese Daten k\u00f6nnen detaillierte Informationen \u00fcber das Nutzungsverhalten der Benutzer liefern. Die Datensch\u00fctzer kritisieren die Vielzahl der gesammelten Nutzerdaten, die in speziellen Anwendungen zusammengef\u00fchrt und aufbereitet werden.<\/li>\n\n\n\n<li><strong>Delve:<\/strong> Delve zeigt den Benutzern die wichtigsten Inhalte basierend auf ihrer Zusammenarbeit und ihren aktuellen Aufgaben. Es verwendet Informationen aus Benutzerprofilen, um zu bestimmen, mit wem Benutzer in ihrer Organisation am engsten zusammenarbeiten. Durch unbedachtes Teilen von Dokumenten k\u00f6nnen Berechtigungsstrukturen umgangen werden.<\/li>\n\n\n\n<li><strong>Viva Insights:<\/strong> Viva Insights analysiert die Arbeitsgewohnheiten der Benutzer und gibt Empfehlungen zur Steigerung der Produktivit\u00e4t. Es werden Informationen aus E-Mail-Elementen, Kalenderelementen, Teams sowie OneDrive und SharePoint verarbeitet.<\/li>\n<\/ul>\n\n\n\n<p><strong>Minimierung der Risiken:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Anpassung des Auftragsverarbeitungsvertrags:<\/strong> Verantwortliche sollten versuchen, wesentliche \u00c4nderungen des mit Microsoft geschlossenen Auftragsverarbeitungsvertrages zu erreichen.<\/li>\n\n\n\n<li><strong>Technische und organisatorische Ma\u00dfnahmen:<\/strong> Verantwortliche sollten Ma\u00dfnahmen treffen, die unabh\u00e4ngig von den vertraglichen Vereinbarungen mit Microsoft getroffen werden k\u00f6nnen, um den Datenschutz beim Einsatz von Microsoft 365 zu verbessern.<\/li>\n\n\n\n<li><strong>Datenschutz-Folgenabsch\u00e4tzung (DSFA):<\/strong> Vor der Einf\u00fchrung von Microsoft 365 ist zu pr\u00fcfen, ob eine DSFA erforderlich ist. Eine DSFA ist immer dann zwingend vorgeschrieben, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen zur Folge hat.<\/li>\n\n\n\n<li><strong>Technische Ma\u00dfnahmen:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Filterung von Telemetriedaten:<\/strong> Telemetriedaten sollten mit einer Firewall gefiltert werden.<\/li>\n\n\n\n<li><strong>Pseudonymisierung:<\/strong> Es sollten dienstliche, pseudonyme E-Mail-Adressen verwendet und die Nutzung privater Microsoft-Konten verboten werden.<\/li>\n\n\n\n<li><strong>Anonymisierung von Metadaten:<\/strong> Die Verwendung eines vorkonfigurierten und abgesicherten Browsers mit eingebauten Schutzma\u00dfnahmen zur Anonymisierung\/Unkenntlichmachung der Metadaten ist ratsam.<\/li>\n\n\n\n<li><strong>Diagnosedaten:<\/strong> Die \u00dcbertragung von Diagnosedaten sollte auf die niedrigste Stufe eingestellt werden.<\/li>\n\n\n\n<li><strong>Verschl\u00fcsselung:<\/strong> Bei der cloudbasierten Dateiablage ist der Einsatz einer Inhaltsverschl\u00fcsselung zu pr\u00fcfen, wie z. B. \u201eBring your own key\u201c (BYOK) oder \u201eDouble Key Encryption\u201c (DKE).<\/li>\n\n\n\n<li><strong>Deaktivierung nicht ben\u00f6tigter Anwendungen:<\/strong> Nicht ben\u00f6tigte Anwendungen und Funktionen sollten deaktiviert werden, inklusive der &#8222;Connected Experiences&#8220;.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Organisatorische Ma\u00dfnahmen:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Nutzungsrichtlinien:<\/strong> Klare Nutzungs- und Verhaltensrichtlinien f\u00fcr die Mitarbeiter sollten erstellt werden.<\/li>\n\n\n\n<li><strong>Schulungen:<\/strong> Die Mitarbeitenden sind im Umgang mit Microsoft 365 zu schulen und zu sensibilisieren.<\/li>\n\n\n\n<li><strong>Zugriffsrechte:<\/strong> Die Zugriffsrechte auf Metadaten sollten nach dem &#8222;Need-to-know-Prinzip&#8220; beschr\u00e4nkt werden.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Vertragsanpassungen:<\/strong> Es sollten die in der Handreichung der Aufsichtsbeh\u00f6rden empfohlenen Anpassungen in einer Zusatzvereinbarung mit Microsoft getroffen werden.<\/li>\n\n\n\n<li><strong>Regelm\u00e4\u00dfige Evaluierung:<\/strong> Es ist eine regelm\u00e4\u00dfige Evaluierung der eingesetzten Technologien notwendig, um Datenschutz und Rechtssicherheit langfristig zu gew\u00e4hrleisten.<\/li>\n\n\n\n<li><strong>Minimierung der Datensammlung:<\/strong> Die Sammlung von Diagnose- und Telemetriedaten sollte eingeschr\u00e4nkt werden. Die Pseudonymisierung von Benutzerdaten in Berichten ist ebenfalls ratsam.<\/li>\n<\/ul>\n\n\n\n<p>Diese Ma\u00dfnahmen k\u00f6nnen helfen, die Datenschutzrisiken bei der Nutzung von Microsoft 365 zu minimieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft 365 birgt verschiedene Datenschutzrisiken, die sich jedoch durch technische und organisatorische Ma\u00dfnahmen minimieren lassen.&hellip;<\/p>\n","protected":false},"author":1,"featured_media":644,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-633","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/633","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=633"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/633\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/644"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}