… „ besser „UIMCommunic@tion: praxisnah gut informiert“

Niederländisches Justizministerium prüft weitere Komponenten

Wuppertaler Schwebebahn mit UIMC Slogan

Das niederländische Justizministerium hat eine modifizierte Datenschutz-Folgenabschätzung (DSFA) bezüglich einzelner Online-Komponenten von MicrosoftMicrosoft365 veröffentlicht (wir berichteten: www.uimc.de/news/365). In den Fokus der Betrachtung rückten die Bestandteile SharePoint Online, OneDrive for Business und Azure AD, sowie Microsoft Teams in der 117-Seiten starken Untersuchung (ohne Anhänge).

Dieser Vorgang zeigt, dass weiterhin die Ansicht vertreten wird, dass für den Einsatz von Microsoft365 und verschiedenen Bestandteilen der Softwarestruktur eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese Ansicht teilt die UIMC und empfiehlt, eine solche mit dem Mehrwert durchzuführen, im Zuge der Bearbeitung wichtige Einstellungen zur Risikominimierung treffen und einen entsprechenden Nachweis der Durchführung vorhalten zu können.

Das Resultat der Untersuchung ist, dass hinsichtlich der Diagnosedatenverarbeitung keine hohen Risiken mehr bestehen, sofern entsprechende Maßnahmen eingeführt bzw. umgesetzt werden. Dies gilt jedoch nicht, wenn hochsensible Daten über die Dienste ausgetauscht werden. In letzterem Fall verbleibt zusätzlich zu den sechs niedrigen Risiken ein hohes Risiko.

Übersichtlich dargestellt verbleiben folgende niedrigen Risiken nach den Erkenntnissen der Ersteller der Datenschutz-Folgenabschätzung:

  1. Diagnosedatenübermittlung an Microsoft: Microsoft wird eine Datenverarbeitung rein innerhalb der EU bis zum Ende 2022 einführen, sodass solche Datenübertragungen nicht mehr stattfinden. Aufgrund der zeitlichen Bindung wurde dieses Risiko als niedrig eingestuft. Weiterhin sollen eingeschränkte Datentransfers stattfinden, dann aber nur noch aggregiert und pseudonymisiert.
  2. Fehlende Transparenz bei der Datenerhebung: Wie bisher findet auch bei der geringsten Diagnosedatenübertragungseinstellung eine Übermittlung von Daten statt. Genaue Auskünfte hierzu können lt. Microsoft nicht erteilt werden wegen der Dynamik und der Vertraulichkeit dieser Informationen. Microsoft bindet sich jedoch an die reine Zweckbindung, welche vertraglich vereinbart wird.
  3. Schwierigkeiten bei der Auskunftserteilung: Microsoft wird das Tool für Administratoren verbessern, wodurch die Auskunftserteilung an Betroffene ermöglicht und erleichtert werden soll.
  4. Identifizierbare Daten in Diagnosedaten: Die übermittelten Daten enthalten keine der genannten Daten mehr. Nur in Ausnahmefällen unter sehr restriktiven Zugriffsmöglichkeiten von Microsoft kann dies vorkommen, jedoch wurde dies nicht risikoerhöhend bewertet.
  5. Analysetools zur Leistungs- und Verhaltenskontrolle: Microsoft bietet zwei detaillierte Analysetools (Teams Analytics & Reports und Viva Insights). Das erste Tool ist standardmäßig aktiviert. Es besteht jedoch die Möglichkeit, die Mitarbeiterdaten darin zu pseudonymisieren, um keine Rückschlüsse zu eröffnen. Viva Insights ist standardmäßig deaktiviert. Selbst bei Aktivierung durch den Admin kann dieser Dienst von Mitarbeitern selbst deaktiviert werden. Beide Analysetools bieten detaillierte Einsichten in die Nutzung durch Mitarbeiter und die Möglichkeiten zur Risikominimierung müssen genutzt werden.
  6. Datenübermittlung von SharePoint an Bing: Microsoft arbeitet daran, die Verbindung von SharePoint zu Bing (Suchmaschine von Microsoft) zu stoppen. Derzeit werden Daten aus SharePoint an Bing gesendet zur Durchführung von „image queries“ (Bildersuchen).

Das hohe Risiko besteht dann, wenn nicht nur Daten mit einer normalen Sensibilität, sondern Daten mit hoher Sensibilität (z. B. Gesundheitsdaten) über die Dienste verarbeitet werden. Dieses Risiko kann dadurch minimiert werden, indem eigene Verschlüsselungen verwendet werden. In Teams-Besprechungen können aber derzeit Ende-zu-Ende-Verschlüsselungen (E2EE) nur in Einzelgesprächen verwendet werden. Microsoft arbeitet jedoch an einer solchen Verschlüsselungsmöglichkeit auch für Gruppenchats/-konferenzen.

Maßnahmen, die für diese Dienste gesetzt werden können, um die Risiken zu minimieren bzw. das Ergebnis zu erreichen, wie es in der DSFA der Niederländer erzielt wurde, können Sie in einer Darstellung im FAQ-Bereich im eCollege nachlesen (Zugang für registrierte User). Diese sind in dem Kontext zu betrachten, dass sie zusätzlich zu den bereits empfohlenen Maßnahmen aus der DSFA der UIMC gesetzt werden sollen bzw. diese updaten.

Bestimmte Maßnahmen sind bei einer derzeit bereits durchgeführten DSFA mit den empfohlenen Maßnahmen zur Risikominimierung bereits umgesetzt worden; hier sollte deren Aktualität noch geprüft werden. Zusätzliche Maßnahmen sollten letztlich noch umgesetzt werden, um auch die Online-Dienste letztlich mit tragbaren Risiken nutzen zu können.

Gerne unterstützen wir Sie bei der Durchführung einer Datenschutz-Folgenabschätzung oder bei der Aktualisierung Ihrer bereits gesetzten Einstellungen.

Mehr beiträge

Ihr Ansprechpartner

Dr. Jörn Vossbein

Dr. Jörn Voßbein

Telefon: 0202 / 9467726-200

Newsletter:

Der Informationsservice der UIMC-Gruppe

Hierin werden wir über aktuelle und interessante Themen berichten und Ihnen Tipps geben, wie Sie bestimmten Risiken entgegenwirken können. Ferner werden wir Sie über interessante Veranstaltungen, nicht nur UIMC-eigene, und sonstige Termine informieren.
Wenn Sie diesen Service auch nutzen möchten, um regelmäßig aktuelle Informationen proaktiv zu erhalten, dann können Sie den UIMCommunication-Info-Brief auch abonnieren.

Tipps und Infos, die zu Ihnen kommen

Tipps und Infos, die zu Ihnen kommen

Info-Brief:

Der Informationsservice der UIMC-Gruppe

Hierin werden wir über aktuelle und interessante Themen berichten und Ihnen Tipps geben, wie Sie bestimmten Risiken entgegenwirken können. Ferner werden wir Sie über interessante Veranstaltungen, nicht nur UIMC-eigene, und sonstige Termine informieren.
Wenn Sie diesen Service auch nutzen möchten, um regelmäßig aktuelle Informationen proaktiv zu erhalten, dann können Sie den UIMCommunication-Info-Brief auch abonnieren.