Entschließung zu Microsoft Cloud-Diensten: Office 365 im Kontext des DSG-EKD datenschutzkonform möglich

Datenschutz

von Danny Sellmann

Microsoft bewirbt immer mehr die eigenen Cloud-Dienste, wie Azure und Office 365. Cloud-Angebote lösen die lokal installierten Programmpakete in vielen Büros ab – unter engen Auflagen zukünftig auch im Umfeld von Ev. Kirche und Diakonie

Die Datenschutzbeauftragten der Evangelischen Kirchen Deutschlands (EKD) haben auf ihrer Konferenz unlängst beschlossen, dass eine Verwendung von Microsoft-Cloud-Diensten datenschutzkonform möglich ist, wenn die folgenden drei Punkte beachtet werden:

  1. Von Microsoft wird eine wirksame Zusatzvereinbarung nach § 30 Abs. 5 DSG-EKD angeboten.
  2. Eine Verschlüsselung der Daten ist ohne Zugriff durch Microsoft möglich (HYOK = Hold Your Own Key).
  3. Die Übermittlung von Telemetriedaten kann durch entsprechende Einstellungen verhindert werden.

Nach Aussagen von Vertretern der Microsoft Deutschland GmbH liegt eine wirksame Zusatzvereinbarung gem. Punkt 1 vor. Für die weiteren Punkte existieren Zusatzangebote wie Microsoft Lockbox, die im jeweiligen Kontext zu prüfen und zu bewerten sind.

Weitere Auflagen beachten

Ein Einsatz von Office 365 & Co. ist dabei jedoch nicht ohne weitere Hürden möglich: Die Datenschutzaufsichtsbehörden gehen davon aus, dass vor Einführung entsprechender Systeme eine Datenschutz-Folgenabschätzung nach § 34 Abs. 1 DSG-EKD durchzuführen ist. Darüber hinaus sind zusätzliche Auflagen wie beispielsweise die Schweigepflicht nach § 203 StGB zu beachten, durch die sich weitergehende Einschränkungen in der jeweiligen Konstellation ergeben können.

Die EKD geht mit dieser Entscheidung den richtigen Weg in Richtung Zukunft. Der Trend in Richtung Digitalisierung und einer weiteren Verbreitung von Cloud-Diensten ist nicht aufzuhalten. Einrichtungen im Umfeld von Diakonie und ev. Kirche sind unter Beachtung der aufgelisteten Punkte datenschutzrechtlich gut aufgestellt. Dennoch gibt es bei Cloud-Diensten in der Praxis noch Optimierungsbedarf.

Tatsächlich ausreichend sicher?

So zeigt etwa eine gerade veröffentlichte Untersuchung des iX-Magazins, dass Microsoft-Entwickler bewährte Sicherheitsvorgaben und aktuelle Datenschutzrichtlinien scheinbar ignorieren.

Eine aufgedeckte Schwachstelle von Office 365 ist, dass es noch vor der Zustimmung zur zugehörigen Einverständniserklärung die Telemetriedaten an Microsoft sendet. Auch Einstellungen des Betriebssystems ignoriert die Software; hierbei handelt es sich auch um personenbezogene Daten wie aufgerufene Programme, geöffnete Dokumente und verwendete Vorlagen. Nach der DSGVO (und dem DSG-EKD) bedarf es hierzu aber der expliziten Zustimmung des Nutzers.

So einfach und angenehm Cloud-Dienste auch sind, müssen dennoch einige Dienstleister hier ihre Hausaufgaben machen und die Schwachstellen im Datenschutz beheben. Andernfalls könnte das Vertrauen der Nutzer in Cloud-Dienste Schaden nehmen.

Zurück