Deutsch Intern
  • 50-jähriges Jubiläum des Rechenzentrums
Information Technology Centre

Microsoft

Allgemeine Informationen zum Lösungsangebot Microsoft 365

Mit Microsoft 365 ist der Lösungsansatz von Microsoft Windows 10, Office 365 und Sicherheitslösungen und Gerätemanagement in einem Paket anzubieten.

Die Aussagen zu Microsoft 365 treffen auch den aktuellen Bundesvertrag (der den Einsatz von Windows 10 und Office 365 ermöglicht) wie den geplanten neuen Bundesvertrag (Wechsel zu Microsoft 365) für die die Hochschulen in Deutschland.

Es gibt auch weitere Volumenlizenzprogramme etwa Microsoft Select Plus (ohne Cloudprodukte). Zudem ist dieses Programm im Hinblick auf die gestiegene Lizenzkomplexität bei Microsoftprodukten und -diensten nicht zu empfehlen, da hohe Compliance-Risiken drohen. Soweit nur noch wenig interne Infrastruktur vorhanden ist, kann sich auch ein Blick in die CSP-Programme lohnen.

Alternative Lösungen

Auch wenn der Einsatz von Microsoftprodukten und -diensten weltweit üblich und bewährt ist, sollte dieser immer hinterfragt werden und Alternativen in Betracht gezogen werden.

Die zahlenreichen Kooperationen und mitversorgten Einrichtungen führen fast immer in einen Graubereich der Lizenzierung, abseits von Open Source.

Einen guten Überblick über Alternativen gibt das MALT-Projekt von CERN.

 

Nutzungsszenarien und rechtliche Anforderungen

Zusammenfassung
Anwendungsszenario Rechtliche Anforderung Umsetzung bei Microsoft Anmerkung und Herausforderungen
Auftragsverarbeitung Art. 28 DSGVO DPA Microsoft nutzt die Daten auch zu eigenen Zwecken; Informationen zu Unterauftragsverarbeitern müssen vom Kunden gesucht worden.
Internationaler Datentransfer Art. 46 DSGVO Standardvertragsklauseln Rechtliche Unklarheiten, welche zusätzlichen Maßnahmen neben den Standardvertragsklauseln erferodlich sind für eine ausreichende Absicherung.  
Vertragliche Vorgaben zum Internationalen Datentransfer Klausel 5b der Standardvertragsklauseln Law Enforcement Requests ReportU.S. National Security Orders Report Die Standardvertragsklauseln erfordern, dass der Kunde die Unvereinbarkeiterklärung hinsichtlich der Garantien für den internationalen Datentransfer seiner zuständigen Aufsichtsbehörde gemäß Klausel 4g mitteilt.
Internationale Verfügbarkeit US-Export-Recht Vertragliche Pflicht für den Kunden US-Export-Recht zu beachten.

Beschränkte internationale Verfügbarkeit.		 In den Ländern Demokratischen Volksrepublik Korea, im Iran und in Kuba, Sudan und Syrien werden Forscherinnen und Forscher mit Papier und Bleistift arbeiten müssen.
Geheimnisse, die Berufsgeheimnisträgern anvertraut werden § 203 Abs. 1 StGB Zusatzvereinbarung zum Microsoft Customer Agreement Vereinbarung verwendet nicht den Begriff Geheimnis, unklare Gültigkeitsdauer,  Nutzung der Kundendaten durch Microsoft für eigene Zwecke widerspricht dem Erforderlichkeitsgrundsatz, Lücken beim Einsatz von KI. Microsoft hält die Vereinbarung für ausreichend.
Geheimnisse, die Amtsträgern anvertraut werden § 203 Abs. 2 StGB Den Hochschulen wird eine der Zusatzvereinbarung zum Microsoft Customer Agreement ähnliche Vereinbarung angeboten. Vereinbarung verwendet nicht den Begriff Geheimnis, unklare Gültigkeitsdauer,  Nutzung der Kundendaten durch Microsoft für eigene Zwecke widerspricht dem Erforderlichkeitsgrundsatz, Lücken beim Einsatz von KI. Microsoft hält die Vereinbarung für ausreichend.
Finanzdaten § 146 AO Über die Grundeinstellungen bei Microsoft gewährleistet. Erfolgt keine Speicherung in der EU, muss eine Ausnahme bei der zuständigen Finanzbehörde zu beantragen.
Personalakten Art. 108 BayBG Nicht vorgesehen, insoweit keine Cloudnutzung möglich. Die erforderliche Verpflichtung nach Verpflichtungsgesetz kann aktuell nicht umgesetzt werden.
Sachakten
(neben den Personalakten)		 Keine Anwendung von Art. 108 BayBG,
nur § 203 Abs. 2 StGB		 Regelmäßig ist § 203 Abs. 2 StGB zu beachten. Nach Informationen einiger Hochschulen wird Geheimhaltungsvereinbarung derzeit von Microsoft überarbeitet. Vereinbarung verwendet nicht den Begriff Geheimnis, unklare Gültigkeitsdauer,  Nutzung der Kundendaten durch Microsoft für eigene Zwecke widerspricht dem Erforderlichkeitsgrundsatz, Lücken beim Einsatz von KI. Microsoft hält die Vereinbarung für ausreichend.
Sozialdaten § 80 SGB X Höchstens Ablage von zuvor verschlüsselten Daten möglich. Verarbeitung erfolgt ohne Angemessenheitsbeschluss gemäß Art. 45 DSGVO

 

Aktuelles von Microsoft

Neues DPA aus September 2021

Microsoft bietet für seine Dienste seit dem 15. September ein neues DPA an, welches für die Datentransfer von "Microsoft Irland" zu "Microsoft Crop" auf die neun Standdardvertragsklauseln zwischen Auftragsverarbeitern aus Juni 2021 setzt.

Im DPA gibt es es zahlreiche Änderungen, die noch nicht abschließend bewertet werden können. Ein Vergleich der Dokumente steht zur Verfügung.

Interessant ist, dass nun auch Metadaten und Diagnosedaten Gegenstand der Auftragsverarbeitung sind. Dieses Änderung ist aber ggf. nicht von jedem Kunden gewollt, jedoch insbesondere für öffentliche Stellen hilfreich, um eine Rechtsgrundlage für die Offenlegung dieser personenbezogenen Daten vorweisen zu können.

Eine Kopie der Microsoft intern abgeschlossenen Standardvertragsklauseln im Service Trust Portal bereit.

Neues DPA aus Dezember 2020

Microsoft hat im Dezember 2020 neue zusätzliche vertragliche Schutzmaßnahmen in den Vertrag intergiert.

Mitteilungen an den Landesdatenschutzbeauftragten

Die Stabsstelle hat das Urteil des EuGH in der Rechtssache C-311/18 vom 16. Juli 2020 analysiert und in Abstimmung mit den CIOs der bayerischen staatlichen Universitäten und Hochschulen sowie deren Datenschutzschutzbeauftragten gemäß Klausel 4g der Standardvertragklauseln den Bayerischen Landesdatenschutzbeauftragten darauf hingewiesen, dass nicht gänzlich auszuschließen ist, dass die Garantien aus Klausel 5b der Standardvertragsklauseln in wirklich jedem Einzelfall erfüllt werden können. Dies ist erfolgt im Hinblick auf die öffentlich verfügbaren Informationen von Microsoft sowie der Einschätzung von NOYB.

Um den Risiken durch die Fortsetzung der Verarbeitung Rechnung zu tragen, sind unter anderem folgende präventive Maßnahmen zur Datenminimierung empfehlenswert:

AzureAD

Das zur Aktivierung von Lizenzen und zur Rechte- und Gruppenverwaltung erforderliche AzureAD sollte keine Passwort-Synchronisation  ins lokale AD aufweisen. Sofern möglich sollte der Login über ein eigenes System der Hochschule erfolgen, etwa mittels Shibboleth.

Microsoft Teams

Microsoft Teams sollte nur als Videokonferenzplattform genutzt werden.

Speicherdienste (OneDrive Business und SharepointOnline)

Besonders schützenswerte Daten sollten nur verschlüsselt (etwa mit Boxycryptor, Cryptomator oder Veracrypt) in das Angebot übergeben werden. Ein eigenenes Schlüsselmanagement und Kontrolle dieses sollte evaluiert werden (etwa DKE, HYOK oder KeyVault)

Telemetrie- bzw. Diagnosedaten

Eine Übermittlung von Telemetrie- bzw. Diagnosedaten ist sowohl für Windows als auch für Office 365 im größtmöglichen Umfang zu deaktivieren.

Verbundene Erfahrungen und Drittdienste

Dienste, die von Microsoft oder Dritten (z.B. Gifs in Teams oder die Ähnlichkeitssuche in Office 365) nicht im Rahmen der Auftragsverarbeitung angeboten werden, sollten nach Möglichkeit deaktiviert werden.

Aktivierung der neuen Auftragsverarbeitung

Über den zuständigen Accountmanger bei Microsoft sollte die neue Auftragsverarbeitung  aktiviert werden. Bei CSP-Lizenzen ist dies derzeit leider noch nicht möglich.

Ich freue mich über Hinweise für Verbesserungen, gefundenene Vertipper oder auch über ein Danke.

Meine Kontaktinformationen finden Sie auf dieser Seite oder schreiben Sie direkt eine E-Mail an rz-stabsstelle-it-recht@uni-wuerzburg.de.

Vertrag, Datenschutz, Informationssicherheit, Barrierefreiheit

Diesteübersicht

Aaron Dinnage stellt eine hervorragende Übersicht zu den Diensten in Microsoft 365 bereit.

Allgemeine Hinweise und Informationen zum Microsoft Campus- und School-Vertrag

  • Bei der Nutzung gelten die Geschäftsbedingungen für die Produkte und Onlinedienste, insbesondere die "Acceptable Use Policy" von Microsoft.
  • Die Betriebssysteme sind immer nur Upgrades von sogenannten Qualifizierenden Betriebssystemen.
  • Viele Einrichtungen sind dem Microsoft Campus- und School-Vertrag beigetreten mit einer Laufzeit bis 30. April 2021.
  • Die Verwendung Produkte und Services aus diesem Vertrag unterliegt den Bestimmungen aus diesem Vertrag, einschließlich, aber nicht beschränkt auf Haftungsbeschränkungen, Ausschluss von Gewährleistungen sowie den Ausschluss von Rechtsmitteln und Ansprüchen.
  • Die Nutzungsberechtigung ist auf den lizenzierten Zeitraum beschränkt.
  • Wenn der Vertrag gekündigt wird oder wenn der Beitritt ausläuft und wir für die unter dem Beitritt bestellten Produkte keine unbeschränkten Lizenzen erwerben, müssen sämtliche Produkte, die unter diesem Vertrag genutzt werden, gelöscht werden, wenn der lizenzierte Zeitraum abläuft oder anderweitig vorzeitig gekündigt wird, je nachdem, welcher Zeitpunkt zuerst eintritt.
  • Bei der Nutzung einiger Produkte und Onlinedienste können auch die Bestimmung des Servicevertrages gelten, ebenso weitere Datenschutzbestimmungen.

Es ist nicht Aufgabe der IT, des Rechenzentrums oder einzelner Personen, über den Einsatz von Microsoft 365 zu entscheiden. Vielmehr ist dies Aufgabe der Leitung der Hochschule, in Bayern etwa die Hochschulleitung.

Hochschul-Forums Digitalisierung

Die Aussage des Hochschul-Forums Digitalisierung zu Microsoft Teams lautet:

"Microsoft garantiert eine Speicherung auf in Deutschland stehenden Servern. Entsprechend bestehen keine Datenschutzbedenken."

Zu diese Einschätzung ist von Seiten der Stabsstelle anzumerken:

Die bestehenden (datenschutzrechtlichen) Risiken, werden bei dieser Aussage nicht berücksichtigt.

  • Der Serverstandort ist für die datenschutzrechtliche Beurteilung nicht maßgeblich, wenn Support und Wartung für diese aus den USA / der ganzen Welt kommen.

Beispiele für die Risiken Public Cloud

  • Die Daten werden von Microsoft auch für eigene Zwecke verarbeitet, wenn dies erforderlich ist zwecks Abrechnung- und Kontoverwaltung, Vergütung, interner Berichterstattung und Modellierung, Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz sowie Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen.
  • Letzteres gilt für Ermittlungen durch Polizei und Geheimdienste etwa aus den USA, etwas beschränkt durch interne Vorgaben von Microsoft selbst. Solche Ermittlung sind jedoch extrem selten und werden Hochschulen kaum treffen.
  • Mit dem Dienst wird vertraglich nur Ausfallsicherheit gewährleistet, d.h. die Nutzer müssen sich eigenverantwortlich um Backups und Archivierung kümmern.
  • Daten aus Personalakten dürfen nicht in Office 365 abgelegt werden (z.B. Art. 108 Abs. 3 BayBG)
  • Informationssicherheit für die Public Cloud Lösung ist formal durch das BSI C5 Testat auch für Bundesbehörden gegeben. Office 365 muss jedoch sicher konfiguriert werden, etwa Multi-Faktor-Login für alle administrativen Accounts.
  • Vorzuziehen ist, dass eine Multi-Vendor-Strategie gewählt wird und auch eigene Lösungen angeboten werden, etwa jitsi-meet, RocketChat oder Nextcloud Talk in Ergänzung zu Lernplattformen.

Interne Prozesse

  • Dienstvereinbarung
  • Datenschutzdokumentation
  • Datenschutzinformation
  • Prüfung der Informationssicherheit
  • Bereitstellen der notwendigen Ressourcen für die Administration 

Typische Gliederung

  • Geltungsbereich
  • Funktionsumfang
  • Nutzungskonzept
  • Datenschutz und Datensicherheit
  • Informationssicherheit
  • Protokollierung
  • Löschung der Benutzerkonten
  • Verhalts- und Leistungskontrolle
    => Verzichts auf diese (soweit nicht gesetzlich vorgeschrieben)
  • Information und Schulung der Beschäftigten
  • Beteiligung und Rechte des Personalrats
    => Festlegen, welche Rolle mit Lesendem Zugriff auf Office 365 für den Personalrat bereitgestellt wird.
  • Schlussbestimmungen
  • Anlage der zugelassen Dienste

Weitere Dokumente zur Entscheidungsfindung

  • Interne Dokumentation zur Wirtschaftlichkeit
  • Erwogene Alternativen

Beispielhafte Auswahl von Diensten

  • Forms (Online Formulare)
  • Planer für die Arbeitsorganisation
  • Office Online (Word, PowerPoint, Excel, OneNote, usw. um online und kooperativ nutzen)
  • Office Lens (zur Digitalisierung von Dokumenten)
  • OneDrive Business
    Teilen eigener Dateien
  • Stream (Interne Videoplattform)
  • Sway (Alternative zu Prezi)
  • Teams (Zusammenarbeit und Kommunikation)
  • To Do (Aufgabenverwaltung)
  • Whiteboard

Beispiel für nicht aktivere Dienste

  • Dynamics
  • Flow (wegen der Komplexität)
  • MyAnalytics (Persönliche Nutzungsanalyse von Office 365)
  • PowerApps
  • Skype for Business (da Migration zu Teams)
  • Video (da Migration zu Stream)
  • Yammer (da im Kern auch über Teams abgebildet)

Microsofts eigene Dienstvereinbarungen zu ihren Diensten

Microsoft Teams sollte für die Kommunikation mit einer Hausordnung oder Netiquette vorsehen.

Ein gutes Beispiel (auf Englisch) für eine Hausordnung kommt von Storyals.

Microsoft bietet zudem ein Erfolgs-Kit zur Einführung von Microsoft Teams an.

Inhalte der Hausordnung

  1. Teams als Zentrum der Kommunikation
  2. Rechtliches
    Teams ersetzt weder die ordnungsgemäße Aktenführung noch die Archivierung. Leider verhindert das Urheberrecht in Deutschland Gifs, Memes oder Sticker zu nutzen. Ferner ist Teams kein Ersatz für die Personalakte und steuerrechtlich relevante Unterlagen werden nicht in Teams abgelegt. Und auch mit Teams gilt deutsches Arbeitszeitrecht. 
  3. Teams aktiv nutzen!
    Kommunikation mit Bild und Ton ist wichtig, insbesondere wenn man sich nicht direkt treffen kann.
  4. Keine Silos bilden!
    Gruppenchats sind geeignet für nicht unmittelbar dienstliche Belange et
    Im Übrigen gehört die Kommunikation in die jeweiligen Teams.
  5. Respektvoll kommunizieren!
  6. Emoji-Bedeutungen festlegen.

Ein Beispiel könnte sein:

Umschrift der Reaktionen Festgelegte Bedeutung  Unzutreffende Bedeutung 
Like Das gefällt mir! Daumen hoch! Ich bin einverstanden. Ich hab's gesehen. Gut gemacht! Ich habe es gesehen. Ich hab's! Danke!  Genehmigt. Machen Sie weiter. Bestätigt. Machen Sie es. Kaufen Sie es. 
Herz Liebe es! Wunderbar! So süß. Das ist so nett. DANKE!  Alles Unangebrachte. 
Lachen Das ist lustig. Das macht mich so glücklich.   
Überrascht Was??!?!?!! Wirklich?! Ich bin überrascht. Oje!   
Traurig Das ist so traurig. Es tut mir leid, das zu hören. Ich fühle mit Ihnen mit.   
Wütend Das macht mich so wütend. Das ist verärgernd. Das ist so falsch.   

 

  • Die Software und Dienste sind ausschließlich zu studentischen bzw. dienstlichen Zwecken oder für studentische oder dienstliche Projekte einzusetzen unter Beachtung der gesetzlichen Aufbewahrungsfristen und des Archivrechts.
  • Sicherungen und Archivierung der Daten muss eigenverantwortlich durch die Nutzenden erfolgen.
  • Der Einsatz zu privaten Zwecken ist in den Lizenzbestimmungen nicht vorgesehen. Es werden ausschließlich persönliche nicht übertragbare Lizenzen bereitgestellt.
  • Soweit mit der Anwendung personenbezogene Daten Dritter verarbeiten werden, müssen die Vorschriften des Datenschutzes einhalten und die Erfüllung der Informationspflichten sicherstellt werden.
  • Bestimmungen und Informationen sind bei Bestellungen über WebShop4All an durch die Bestellung begünstigten Personen weiterzugeben.
  • Allgemein gilt: Unveröffentlichte personenbezogene Daten von Personen, die nicht Microsoft 365 bzw. Office 365 nutzen (Fall 1), die nicht im Bezug zu aufgabenbezogene Kommunikation stellen (Fall 2) dürften ebenso wenig wie Daten, die besonderer Geheimhaltung und hohem Schutzbedarf unterliegen (Fall 3), unverschlüsselt in das Speicherangebot des Dienstes übergeben werden.
  • Beispiele für Fall 1 sind etwa Anwesenheitslisten oder Listen von Teilnehmenden einer Veranstaltung, für Fall 2 Mitteilungen von Kontaktinformationen oder Wissenswertem mit dienstlichem Bezug über fachlich zuständige oder Kontaktpersonen bei Dienstleistern und Kooperationspartnern, Kurs-/Veranstaltungsteilnehmer sowie für Fall 3 Krankmeldungen und Forschungsverträge mit Geheimhaltung.
  • Werden Daten verschlüsselt gespeichert, muss der Schlüssel den Passwortvorgaben der Einrichtung entsprechen oder gleichwertig sicher sein. Das genutzte Verschlüsselungsverfahren hat der technischen Richtlinie BSI TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik zu entsprechen.
  • Microsoft stellt einige Funktionen seiner Dienste und Software als sogenannte „Optionale verbundene Erfahrungen bereit“. In diesem Fall ist sicherzustellen, dass diese Funktionen ausschließlich mit personenbezogenen Daten der Nutzenden erfolgt und die erforderlichen urheberrechtlichen Nutzungsrechte für eine Weitergabe der Werke an Microsoft bestehen.

User-Accounts

Es gibt viele Wege, die Accounts der Nutzer anzulegen

Lizenzen

Bayerische Hochschulen können Accounts in Azure-AD sowie Lizenzen auch über StudiSoft zuweisen lassen.

Verantwortliche und deren Datenschutzbeauftrage (neben dem Lizenznehmer)

Microsoft Ireland Operations Limited 

One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland, 

Microsoft Corporation  

One Microsoft Way Redmond, Washington 98052 

Datenschutz 

Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft 

Betroffenenrechte 

Allgemein 

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu: 

  • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG). 

  • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO). 

  • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO). 

  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). 

  • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München. 

Über Ihr Widerrufsrecht und Ihr Widerspruchsrecht informieren wir Sie gesondert. 

Widerspruchsrecht 

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr. 

Zweck

Einrichten und Betreiben von Arbeitsstätten, einschließlich Betreuung, Herstellersupport und kontinuierlichen Verbesserungen und statistischer Nutzungsanalysen 

Einschließlich Offenlegung für folgende Zwecke von Microsoft 

  1. Abrechnung- und Kontoverwaltung 

  2. Vergütung, 

  3. Interne Berichterstattung und Modellierung 

  4.  Bekämpfung von Betrug 

  5. Cyberkriminalität oder Cyberangriffen 

  6. Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz 

  7. Finanzberichterstattung 

  8. Einhaltung gesetzlicher Verpflichtungen 

Rechtsgrundlagen 

  • Für die Universität und Personen, die in Kommunikation und Dokumenten identifizierbar sind Art. 6 Abs. 1 lit. e DSGVO i.V.m. Art. 4 BayDSG (insbesondere § 3a ArbStättV, Art. 13 BayBGG, Art. 11 Abs. 1 BayEGovG, § 13 Abs. 7 TMG, Art. 6 Abs, 1 BayDSG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO, Art. 20a GG, Art. 3, 3a, 141 BayVerf) 

  • Für die Personen, die Office 365 nutzen in der Rolle als

    • Beschäftigter zudem Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)

    • Beamte zudem Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 4 BayDSG (Art. 33 Abs. 5 GG)

Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung) 

  • Für lizenzierte Personen Art. 6 Abs. 1 lit. b DSGVO sowie Art. 49 Abs. 1 lit c DSGVO (1. und 6.)

  • Für vertraglich nicht erforderliche Zwecke, Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG, Art. 49 Abs. 1 lit. d DSGVO (2.-5.,7.,8.) 

Datenkategorien 

  1. Dokumente und Dateien 

  1. Aufgaben und Lösungen  

  1. Kommunikationsdaten 

  1. Personenbezogene Basisdaten 

  1. Authentifizierungsdaten 

  1. Kontaktinformationen 

  1. Profilierung 

  1. Logfile mit Zugriffen 

  1. System generierte Protokolldaten 

Kategorien von betroffenen Personen 

  • Für Datenkategorien 1-9 Personen, die Office 365 nutzen oder administrieren 

  • Für Datenkategorien 3, 8, 9 Personen, die in der Kommunikation und Dokumenten identifizierbar sind 

Empfänger  

  • Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung  

  • Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke 

  • Sowie deren Unterauftragsverarbeiter und Supportdienstleister 

Garantien für den Internationalen Datentransfer 

  • Für die Hochschule
    Rückausnahmen Art. 49 Abs. 1 lit c DSGVO für Zwecke 1. und 6. 
    Rückaufnahmen Art. 49 Abs. 1 lit. d DSGVO für Zwecke 2.-5., 7., 8.

  • Microsoft Corporation  
    Standarddatenschutzklauseln mit zusätzlichen Absicherungen für die Auftragsverarbeitung
    Bei der Verarbeitung für eigene Zwecke gilt die DSGVO unmittelbar für Microsoft.

  • Unterauftragsverarbeiter 
    Standarddatenschutzklauseln 

Speicherdauer 

  • 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch (Datenkategorien 4-7) 

  • 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit (Datenkategorien 1-3) 

  • 180 Tage (Datenkategorien 8, 9) 

Microsoft 365

Hochschulen treten in der Regel zum Jahrestag den Campus- und Schoolvertrag bei. Dieser ergänzt die Geschäftsbedingungen für die Produkte und Onlinedienste, den Service Level (SLA) und die Auftragsverarbeitung (Online Services Data Protection Addendum - DPA).

Die Verträge werden mit Microsoft Ireland Operations Limited geschlossen. Im Datenschutz beauftragt Microsoft Ireland Operations Limited dann Microsoft Corporation als Unterauftragsverarbeiter. Einige Verarbeitung erfolgen u.U. unmittelbar in der Verantwortung von Microsoft Corporation und Microsoft Ireland Operations Limited fungiert als datenschutzrechtlicher Vertreter von im Geltungsbereich des Europäischen Wirtschaftsraumes. Mit den nationalen Umsetzungen des Europäischen Kodex für die elektronische Kommunikation können sich weitere Änderungen in den Verantwortlichkeiten ergeben.

Azure

Azure unterliegt dem Online-Abonnement-Vertrag und den Azure Servives SLA setzt aber auf die gleiche Vereinbarungen zur Auftragsverarbeitung wie die Dienste rund um Microsoft 365.

Microsoft Store for Business

Dieser unterliegt separaten Bestimmungen seitens Microsofts.

Optional verbundene Dienste und Drittanbieter Addins

Diese unterliegen den Bestimmungen des jeweiligen Anbieters und werden regelmäßig nicht in der Rolle als Auftragsverarbeiter erbracht.

Allgemeines

Verfügbarkeit

Der Großteil der Dienste von Microsoft hat ein SLA von 99,9% pro Monat. Sollte das SLA nicht einhalten werden und in einem Monat etwa unter 99% fallen, gibt es Gutschriften. Da der Prozess nicht automatisiert ist, muss jede Einrichtung selbst die Verfügbarkeit überwachen.

Über den aktuellen Stand der Verfügbarkeit informiert Microsoft Administratorinnen und Administratoren im Admincenter und öffentlich auf Twitter (alternativer Zugriff über Nitter).

Zudem gibt es eine Statusseite für Microsoft 365 und Azure (letztere bietet auch Retrospektiven von Vorfällen).

Risikoeinschätzungen

Compliance

Durch das BSI C5 Testat der Rechenzentren und Dienste von Microsoft werden die Compliancevorgaben für Bundesbehörden für externe Clouddienste erfüllt.

Über die Sicherheitszertifikate und Prüfberichte informiert Microsoft in einem Service Trust Portal.

Tipps

Die Sicherheitsmaßnahmen von Microsoft können auch für eigene Sicherheitszertifizierungen geerbt werden.

Dennoch gilt, die Einrichtung muss auch eigene Maßnahmen ergreifen, etwa die Sicherung administrativer Konten oder Backups.

Begriffe

Microsoft nutzt auf Endgeräten gesammelte Informationen für seine eigenen Geschäftsinteressen. Hintergründe dazu erklärt Microsoft etwa zu Windows 10 oder zu Office 365 auf YouTube.

Dem Kunden stehen vielfältige Möglichkeiten zur Verfügung, den Umfang der Sammlung von Informationen zu begrenzen.

Für einen Großteil dieser von Microsoft gesammelten Daten wurde der Begriff "Telemetriedaten" verwenden. Inzwischen hat Microsoft diesen Begriff durch die Bezeichnung "Diagnosedaten" ersetzt.

Windows 10

Microsoft ermöglicht es, die Übermittlungen der Diagnosedaten zu kontrollieren. Wenn das Betriebssystem zentral verwaltet wird, und die Editionen Enterprise oder Education eingesetzt werden, stehen weitere Optionen zur Einschränkung des Sendeverhaltens zu Diagnosedaten zur Verfügung.

Die Level gehen von Vollständig, Erweitert, Einfach zu Sicherheit.

Für mehr Akzeptanz von Windows 10 und um den eigenen digitalen Fußabdruck zu verkleinern, sollte das Level "Sicherheit" gesetzt werden.

Sofern bereits Windows 10 ab dem Build 1909 eingesetzt wird, gibt es nach dem 9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2019 nur noch eine Kommunikation zu Updateservern und zur Zertifikatsprüfung.

Noch verbliebene Diagnosedaten können über "Einstellungen" unter "Datenschutz" im Menüpunkt "Diagnose und Feedback" angezeigt (Diagnosedaten anzeigen) und gelöscht (Diagnosedaten löschen) werden.

Abbildung der Optionen in Windows 10 zum Löschen der Diagnosedaten.

Microsoft 365 Anwendungen (früher Office 365 Desktop-Anwendung)

Microsoft ermöglicht die Übermittlungen der Diagnosedaten zu kontrollieren. Dazu empfiehlt es sich Office 365 zentral zu verwalten.

Als Optionen kann gewählt werden "Erforderlich", "Optional" sowie "Weder noch".

Für mehr Akzeptanz von Microsoft 365 Anwendungen und um den eigenen digitalen Fußabdruck zu verkleinern, sollte das Level "Weder noch" gesetzt werden, jedoch kann für einige Nutzergruppen für die Zugriff auf bestimmte Funktionen auch das Level "Optional" notwendig sein.

Frühere Versionen von Office 365 (vor dem Build 1904) und Office 2019 oder früher bieten leider keine Möglichkeit das Senden der Diagnosedaten an Microsoft über Gruppenrichtlinien oder Einstellungen in der Anwendung selbst zu unterbinden. Es können jedoch die übermittelten Diagnosedaten über einen Viewer  einsehen.

  • Anleitung  zu den Datenschutzeinstellungen für Windows, Mac, Web und iOS. Der Weg zu den Einstellungen bei Android ist ähnlich.

Zentrales Management von Microsoft 365 Anwendungen

Die Einstellungen für Microsoft 365 Anwendungen können auch zentral für alle Nutzer der Einrichtung ohne ein Management über eine Gruppenrichtlinie aus einem Active Directory über den Cloud Policy Manager eingestellt werden.

Verbundene Erfahrungen

Bei den verbundenen Erfahrungen gibt neben Funktionen, wie etwa Icondatenbanken, auch Funktionen mit intensiverer Datenverarbeitung, z.B. Diktieren oder Übersetzen.

Verbundene Erfahrungen, die Inhalte analysieren, können in den Desktopanwendungen deaktivert werden, derzeit jedoch nicht für Office for the Web (und damit auch nicht in den Apps oder im Office im Teamsclient).

Optional verbundene Erfahrungen und Dienste

Im Hinblick auf Ihre Datenschutzbedürfnisse vor Ort sollten Sie entscheiden, ob sie etwa für den Bereich der Verwaltung Funktionen nicht bereitstellen.

Hintergrundinformationen

  • Studie  zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 des Bundesamtes für Sicherheit in der Informationstechnik
  • Gutachten im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit von Pvacy Company zu Datenschutzrisiken von Microsoft Windows 10 Enterprise, Office 365 ProPlus und Office Online

Microsoft hat eine umfassende Strategie für die Barrierefreiheit in Produkten und Diensten.

Es gibt Bedienhilfen wie Sprachausgabe und Tastenkombinationen bei Office-Apps oder für Teams.

Konformitätsberichte zu den Produkten werden regelmäßig aktualisiert veröffentlicht.

Mit den Office-Anwendungen können Dokumente barrierefrei erstellt werden.

Grundsätzlich gilt, dass Sie Barrierefreiheit einfacher und besser durch die Nutzung von Formatvorlagen und Folienmaster erreichen können.

Informationen stellt Microsoft etwa bereit für

Ebenso verfügen die Programme über eine Barrierefreiheitsprüfung für die erstellten Dokumente.

Thema Kontaktpersonen First-Level Kontaktpersonen Secound-Level
Vertriebsfragen Handelspartner Microsoft
Bezugsfragen Hochschulintern Handelspartner
Datenschutzfragen von Betroffenen

Datenschutzbeauftragte der Teilnehmer sowie von Microsoft

 Microsoft soweit Auftragsverarbeiter
Allgemeine Datenschutzfragen Datenschutzbeauftragte Stabsstellen IT-Recht
Rechtsfragen Rahmenvertrag Arbeitskreise Softwarelizenzen Stabsstellen IT-Recht
Allgemeine Fragen zum Rahmenvertrag Arbeitskreise Softwarelizenzen Stabsstellen IT-Recht
Lizenzfragen Arbeitskreise Softwarelizenzen Microsoft
Lizenzgutachter
Stabsstellen IT-Recht