Focus: Ökosystem Microsoft

So richten KMUs Microsoft 365 datenschutzfreundlich ein

Uhr
von Dimitri ­Korostylev, Rechtsanwalt, Senior Consultant, Swiss ­Infosec

Der Einsatz von Microsoft 365 bringt datenschutzrechtliche Herausforderungen mit sich. KMUs sollten nicht nur auf die richtigen Einstellungen, sondern mitunter auch auf den Servicevertrag achten.

Dimitri ­Korostylev, Rechtsanwalt, Senior Consultant, Swiss ­Infosec. (Source: zVg)
Dimitri ­Korostylev, Rechtsanwalt, Senior Consultant, Swiss ­Infosec. (Source: zVg)

Das Microsoft-Office-Paket gehört in fast allen Unternehmen zur digitalen Grundausstattung und bildet das Rückgrat der digitalen Arbeitswelt. Microsoft Office ist seit mehr als 30 Jahren etabliert, fast alle Mitarbeitenden sind mit seinem Umgang vertraut. 

Aufgrund der stets wachsenden Verfügbarkeit von Cloud-Diensten bietet Microsoft verstärkt auch Office-Anwendungen in der Cloud an. Das Paket heisst «Micro­soft 365» und kombiniert Office-Anwendungen mit zusätzlichen Onlinediensten. 

Die Cloud-Fokussierung aus Unternehmenssicht bietet vielerlei Vorteile: Dateien, E-Mails oder Kontakte können jederzeit und überall von allen Endgeräten aus abgerufen werden. Dies ist von Vorteil, gerade bei der Arbeit aus dem Homeoffice. Des Weiteren werden Infrastrukturkosten gespart, da die Anwendungen und Dienste vollständig über die Infrastruktur von Microsoft bereitgestellt werden können. 

Mit dem Einsatz von Microsoft 365 sind einige datenschutzrechtliche Herausforderungen für KMUs verbunden. Microsoft 365 sollte «datenschutzfreundlich» eingestellt sein. Hierzu dienen einige Massnahmen:

  • «Connected Experiences» deaktivieren 
  • «Optional Connected Experiences» deaktivieren  
  • Einstellung «Diagnosedaten» auf «weder noch»
  • Senden von Daten für das «Customer Experience Improvement Program» (CEIP) deaktivieren
  • «Linkedin-Integration» deaktivieren 
  • «Activity Reports» deaktivieren bzw. Benutzerdetails ausblenden
  • Nutzen Sie das Microsoft 365 Compliance Center, das die Konfiguration von Datenschutz- und Sicherheitsfunktionen innerhalb der Office 365 Suite ermöglicht 
  • «Teilen von Links» deaktivieren (Option «neue und vorhandene Gäste»)    
  • «Microsoft Viva Insights» deaktivieren   
  • Implementierung der «Ende-zu-Ende-­Verschlüsselung» bei Eins-zu-eins-VoIP-Anrufen in Teams 
  • Option «EU Data Boundary for the Microsoft Cloud» nutzen  
  • Einsatz der «Customer Lockbox» prüfen  
  • Einsatz von «Azure Information Protection» ­prüfen

Ferner können beim Einsatz von Microsoft 365 standesrechtliche Sonderbestimmungen für Berufsgeheimnisträger relevant werden. Die standesrechtlichen Vorschriften sehen für Rechtsanwälte etwa vor, dass Datenbearbeitungen im Ausland nur unter zusätzlichen Voraussetzungen und Sicherungsmassnahmen zulässig sind; dies gilt auch für Cloud-Lösungen. Strengere Anforderungen gelten zudem auch im Gesundheitsbereich für Ärzte, Spitäler etc.

Eine Datenbearbeitung sollte, wenn möglich, in der Cloud ausserhalb der Schweiz beziehungsweise des EWR ausgeschlossen werden. Hierfür sollten die entsprechenden Verträge mit Microsoft Schweiz abgeschlossen und als Serverstandort die Schweiz ausgewählt werden. Das Data Privacy Framework dürfte künftig das eine und andere «Problem» lösen.

Fazit

Die Herausforderungen beim Einsatz von Microsoft 365 in Unternehmen sind gestiegen. Nicht zuletzt die verstärkte Cloud-Fokussierung mit der damit verbundenen Möglichkeit der Datenbearbeitung ausserhalb der Schweiz beziehungsweise des EWR, aber auch die Bereitstellung von Analysetools verursachen datenschutzrechtlich einen erhöhten Begründungs-, Dokumentations- und Gestaltungsaufwand. KMUs sollten zudem eine Cloud-Exit-Strategie in der Hinterhand haben. Es ist künftig zu beachten, dass Microsoft ab 2025 ausschliesslich cloudbasierte Bereitstellungsmodelle anbieten möchte.

Webcode
UUm47oxr