Zum Hauptinhalt springen
Kostenlos testen Demo anfordern
Kostenlos testen Demo anfordern

6 Min. Lesezeit

Microsoft Office 365 sicher und DSGVO-konform nutzen

Microsoft Office 365 sicher und DSGVO-konform nutzen
  • Anwendungen von Microsoft Office 365 bergen das Risiko des Datenmissbrauchs und könnten DSGVO-Vorschriften verletzen, da Nutzer die Kontrolle über ihre Daten teilweise an Microsoft abgeben.
  • Der US CLOUD Act erlaubt US-Behörden Zugriff auf Daten, die auf Servern von US-Unternehmen wie Microsoft gespeichert sind, was die Datensouveränität und DSGVO-Konformität gefährdet.
  • Der Europäische Gerichtshof hat das EU-US-Privacy-Shield-Abkommen für ungültig erklärt, was europäische Nutzer von Microsofts Public-Cloud-Anwendungen vor rechtliche Herausforderungen stellt.
  • Eine DSGVO-konforme Lösung ist die Migration zu einer europäischen Public-Cloud-Infrastruktur mit angemessenen Datenschutzmaßnahmen und Datenverschlüsselung.
  • In diesem Artikel erfahren Sie, wie DRACOON eine sichere und DSGVO-konforme Public Cloud für Microsoft Office 365 anbietet, um Compliance-konform eingesetzt zu werden.

Die Arbeit mit Microsoft 365 über eine Public Cloud hat ihren Preis

Kaum ein modernes Unternehmen, das auf Digitalisierung und Vernetzung setzt, kommt heute noch um den Einsatz von Microsoft Office 365-Anwendungen, wie Word, Excel, Teams oder Outlook, herum. Sie ermöglichen die schnelle und unkomplizierte Anlage, Verarbeitung, Speicherung und Kommunikation von Daten – mit Arbeitskollegen, Partnern, Zulieferern und Kunden.

Schon seit geraumer Zeit bietet Microsoft seine Office-365-Anwendungen auch in einer Public Cloud-Variante an – basierend auf Microsoft OneDrive-, SharePoint- oder Azure-Servern.

Für seine Kunden bringt die Datenablage in diesen Public Clouds einige handfeste Vorteile mit sich. Im Vergleich zu On-Premises- oder Private-Cloud-Lösungen, besitzen sie eine höhere Skalierbarkeit und verursachen deutlich geringere Kosten. Vor allem aber: für Betrieb, Datensicherheit und Datenschutz müssen nicht erst umständlich IT-Experten gefunden und angeworben werden. Microsoft übernimmt diese Aufgaben, indem es nicht nur die benötigen Administratoren, sondern auch die hochspezialisierten IT-Sicherheitsexperten stellt.

Doch die Arbeit mit Microsoft über eine Public Cloud hat auch ihren Preis.

☁️  Microsofts Public Cloud-Systeme – Schwachstelle Datensouveränität

Nutzen Unternehmen Microsoft-Anwendungen, die über eine Public Cloud operieren, müssen sie dazu automatisch auch einen Teil der Kontrolle über ihre Daten an Microsoft und dessen Service-Teams abgeben. Microsoft verschlüsselt die eingehenden Daten und hält die Schlüssel. Für den Nutzer entsteht durch diese Regelung ein nicht unerhebliches Sicherheitsrisiko. Besteht damit doch die Möglichkeit, dass Firmengeheimnisse in die falschen Hände geraten oder die Struktur der gespeicherten Daten einer ungewollten Änderung unterzogen wird.

Da es sich hierbei in aller Regel auch um personenbezogene oder personenbeziehbare Daten handelt – von Mitarbeitern, Partnern, externen Auftragnehmern oder Kunden – können Unternehmen bei der Verwendung von Microsoft-Anwendungen über eine Public Cloud auch leicht mit den Vorgaben der DSGVO in Konflikt geraten.

Schwachstelle Datenschutz

☁️ Daten DSGVO-konform speichern, verarbeiten…

Die Datenschutzgrundverordnung (DSGVO) nimmt die Verantwortlichen personenbezogener und personenbeziehbarer Daten und die Anbieter von IT-Dienstleistungen, die von diesen zur Datenverarbeitung oder -speicherung in Anspruch genommen werden, in die Pflicht, den Schutz dieser Daten sicherzustellen.

Ein juristisch wie technisch anspruchsvolles Unterfangen. Laut den Artikeln 24 und 28 der DSGVO haben Nutzer und Anbieter hierzu geeignete technische und organisatorische Maßnahmen durchzuführen und nachzuweisen.

☁️ …und ins EU-Ausland transferieren

Der Prozess gewinnt nochmals an Komplexität, wenn Dienste von Public Cloud-Anbietern aus dem EU-Ausland – wie Microsoft – in Anspruch genommen werden. Denn dann muss laut DSGVO-Artikel 44 auch der Datentransfer selbst geschützt werden.

Nutzern stehen hierzu zwei Möglichkeiten zur Auswahl: Entweder stützen sie sich – sofern vorhanden – auf einen Angemessenheitsbeschluss der Europäischen Kommission (DSGVO, Artikel 45), der die Unbedenklichkeit der Datenübertragung in das jeweilige Drittland feststellt. Oder sie stellen, gemeinsam mit ihrem Anbieter, sicher, dass sowohl der Transfer als auch die Speicherung und Verarbeitung ausreichend geschützt sind – durch Standarddatenschutzklauseln, Garantien und zusätzliche technische Maßnahmen (DSGVO, Artikel 46).

Nutzer von Microsofts Public Cloud-Anwendungen hatten es dank dieser Regelung lange Zeit leicht, den DSGVO-Vorgaben gerecht zu werden.

☁️  Vom europäischen Safe Harbour-Beschluss…

Denn um europäischen Unternehmen die Nutzung von als notwendig erachteten US-amerikanischen IT-Anwendungen zu erleichtern, hatte die Europäische Kommission bereits im Jahr 2000 den Safe Harbour-Beschluss verabschiedet. Dieser ermöglichte es europäischen Unternehmen, personenbezogene und personenbeziehbare Daten in Übereinstimmung mit der DSGVO aus der Europäischen Union in die USA zu transferieren, wo sie gespeichert und verarbeitet werden konnten.

Bestand hatte dieser Beschluss jedoch nur bis zum 6. Oktober 2015. Im Zuge der Enthüllungen über die Datenzugriffsmöglichkeiten amerikanischer Behörden durch Edward Snowden hatte ein Datenrechtsaktivist vor dem EUGH geklagt und Recht bekommen.

☁️ ...zum EU-US-Privacy Shield-Abkommen

Den Unternehmen entstanden durch diese Entscheidung jedoch kaum nennenswerte Komplikationen. Denn mittlerweile hatte das Privacy Shield-Abkommen gegriffen. Hierbei handelte es sich um eine informelle datenschutzrechtliche Absprache zwischen der Europäischen Kommission und der US-amerikanischen Regierung. Das Abkommen hielt fest, dass dank eines grundlegenden Entgegenkommens der US-Regierung das Datenschutzniveau der Europäischen Union für europäische Daten auch in den USA als gesichert betrachtet werden könne.

Schon bald sollte das von der Kommission postulierte Entgegenkommen der US-Regierung jedoch in Frage gestellt werden.

Privacy Policy

☁️ US-CLOUD Act contra EU-Datenschutz

Denn am 23. März 2018 verabschiedete der US-Kongress den Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Das Gesetz gestattet es US-Behörden, auf die gespeicherten Daten von Unternehmen, deren Hauptsitz in den USA liegt oder die eine Tochtergesellschaft in den USA unterhalten, zuzugreifen.

Letztlich handelt es sich um eine Ergänzung des älteren Patriot Acts, der alleine es US-Behörden noch nicht gestattet hatte, auf Daten zuzugreifen, die sich auf Servern außerhalb der USA befinden. Der CLOUD Act nun, verpflichtet US-Unternehmen – wozu selbstverständlich auch Microsoft zählt – US-Behörden den Zugriff auf alle auf ihren Servern gespeicherten Daten zu erlauben – unabhängig davon, ob diese Server sich nun inner- oder außerhalb der USA befinden, ob es sich um ihre oder die Daten ihrer Kunden handelt – und dies alles unter Umgehung jeglicher richterlichen Kontrolle.

   CLOUD Act
  A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

☁️ EUGH sieht Datensouveränität bedroht

Am 16. Juli 2020 erklärte der EUGH deshalb im Schrems-II-Urteil das zwischen EU und USA ausgehandelte Privacy Shield-Abkommen für ungültig. In seinem Urteil traf der EUGH, gestützt auf Artikel 46 der DSGVO, sechs Feststellungen:

  • Das Privacy Shield-Abkommen ist unwirksam (Rn. 201) aber:
  • Standardvertragsklauseln können auch weiterhin zur Anwendung gebracht werden (Rn. 149). Jedoch nur unter folgenden Bedingungen:
  • Der Datenexporteur steht in der Verantwortung, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen (Rn. 134) und
  • geeignete Garantien für den Schutz der in ein Drittland übermittelten Daten vorzusehen (Rn. 131).
  • Dabei kann es erforderlich sein, über die Standardvertragsklauseln hinaus ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen (Rn.133 f.).
  • Der Datenexporteur ist verpflichtet, die Datenübermittlung auszusetzen oder zu
    beenden, wenn der Schutz der übermittelten Daten auch durch zusätzliche Maßnahmen nicht hinreichend sichergestellt werden kann
    (Rn. 135).

Europäische Unternehmen, die Public Cloud-basierte Microsoft-Anwendungen nutzten, gerieten und geraten durch das Urteil in ein Dilemma. Denn wie sollen sie diesen Vorgaben praktisch gerecht werden können?

Europa

☁️  Microsoft aus der Public Cloud – der einzig praktikable Ausweg

Der Cloud Act macht es Microsoft praktisch unmöglich, seinen Nutzern Garantien dafür zu geben, dass sie bei der Nutzung seiner Public Clouds eine ausreichende Kontrolle über ihre Daten behalten. Microsoft kann durch das Gesetz sogar dazu verpflichtet werden, gegenüber seinen Kunden über eine etwaige behördliche Anfrage Stillschweigen zu wahren.

Nicht ohne Grund hat der Landesbeauftragte für Datenschutz von Mecklenburg-Vorpommern Anfang 2021 erklärt, dass ein DSGVO-konformer Public Cloud-basierter Einsatz von Microsoft Office 365-Anwendungen praktisch nicht mehr möglich ist. Er riet zum Einsatz von alternativen Produkten.

Nun einfach von einer Public Cloud-Lösung ihrer Microsoft-Anwendungen abzurücken ist für die meisten der betroffenen Unternehmen aber keine Option. Denn On-Premises- und Private Cloud-Lösungen erfordern, wie eingangs erwähnt, hochspezialisierte IT-Experten – zum Betrieb der Infrastruktur und zum Schutz der Daten. Diese Experten sind rar gesät. Gerade kleinen und mittleren Unternehmen mangelt es häufig an den erforderlichen Ressourcen, sich hier – auf die Schnelle – ein geeignetes Team zusammenzustellen.

Der einzig gangbare Ausweg, in juristischer wie technischer Hinsicht, dürfte für die meisten Unternehmen deshalb in der Migration in eine DSGVO-konforme Public Cloud-Infrastruktur innerhalb Europas liegen.

Doch wie hat eine solche europäische Lösung auszusehen? Wie schon erwähnt, müssen auch europäische Service-Anbieter garantieren, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, um einen ausreichenden Schutz der eingespeisten Daten sicherzustellen.

Eine von der DSGVO explizit angesprochene Maßnahme stellt die Datenverschlüsselung dar (Rn. 83). Sie soll möglichst schon beim Transport der Daten zum Verarbeiter greifen.

Devices_neu-Mail

🌍 DRACOON – eine sichere und DSGVO-konforme Public Cloud für Microsoft Office 365-Anwendungen

Wie eine DSGVO-konforme Lösung konkret aussehen kann, zeigt der File Service des deutschen Anbieters DRACOON. Das Unternehmen hat seinen Hauptsitz in Regensburg, verfügt über keine Niederlassung oder Tochtergesellschaft in den USA und stellt seinen Nutzern ausschließlich Server in ISO27001-zertifizierten Rechenzentren an europäischen Standorten zur Verfügung.

Eine automatisierte Ende-zu-Ende-Verschlüsselung inklusive einer clientseitigen Verschlüsselung ist integriert und verhindert Datenzugriffe und -manipulationen durch DRACOON oder seine Administratoren. Die Schlüssel zum Ver- und Entschlüsseln der Daten verbleiben stets und ausschließlich beim Kunden. Keine Berechtigungsstrukturen oder Klassifizierungen werden aufgebrochen. Die ursprünglich vom Nutzer in die Cloud exportierte Datenstruktur bleibt immer vollständig gewahrt.api-dracoon-bankEin weiteres Plus: Dank Privacy by Default und Privacy by Design ist der File Service von Beginn an vollständig DSGVO-konform eingerichtet.

Ein offenes JSON/REST-API und SDKs ermöglichen eine unkomplizierte Integration des File Service in Prozesse und Anwendungen des Nutzers. Daten aus Microsoft Office 365 können direkt in der Cloud abgespeichert werden.

Nutzern von Microsoft Teams und Microsoft Outlook stehen darüber hinaus Ad-Inns zur Verfügung, die es ihnen erlauben, Daten, die über diese Anwendungen versendet werden, direkt und DSGVO-konform in der DRACOON-Cloud abzuspeichern und diese bei Bedarf auf sicherem Wege mit Kollegen zu teilen bzw. an diese weiterzuleiten – ohne auch nur einmal von Microsoft betriebene Cloud-Server genutzt zu haben.

Ausgerüstet mit DRACOONS File Service können Unternehmen so auch weiterhin von den Vorzügen ihrer Microsoft-Anwendungen profitieren – ohne auf die Vorteile einer Public Cloud-Lösung verzichten zu müssen und ohne mit den Vorgaben der DSGVO in Konflikt zu geraten.

E-Mail-Verschlüsselung - so können Sie Dateien sicher und DSGVO-konform versenden und empfangen

1 Min. Lesezeit

E-Mail-Verschlüsselung - so können Sie Dateien sicher und DSGVO-konform versenden und empfangen

E-Mail-Verschlüsselung ist für den sicheren und DSGVO-konformen Datenaustausch unerlässlich, um sensible Informationen und personenbezogene Daten...

Read More
Von digitaler Signatur und Dokument-Versiegelung bis zu Benutzeraktivitäten und Ereignissen

Von digitaler Signatur und Dokument-Versiegelung bis zu Benutzeraktivitäten und Ereignissen

DRACOON setzt auf erweiterte Compliance-Features Bei DRACOON hat sich einiges getan: Zum Jahreswechsel präsentieren wir zahlreiche neue Features, die...

Read More
Privacy by Design und Privacy by Default verständlich erklärt

Privacy by Design und Privacy by Default verständlich erklärt

Privacy by Default und Privacy by Design sind Datenschutz-Prinzipien, die in Art. 25 DSGVO verankert sind. Privacy by Design bedeutet, dass...

Read More