Office 365 datenschutzkonform einsetzen – klappt das?

Das müssen Sie beim Einsatz von Office 365 beachten

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In unserem internen Programm „GRC@SAVISCON“ stoßen wir in den Themenfeldern Risiko-Management, Compliance-Management, Informationssicherheits-Management und Datenschutz-Management immer wieder auf herausfordernde Themen. Wie wir diese meistern und mit unserer Software, dem GRC-COCKPIT, dokumentieren, das zeigen wir Ihnen in unserer Blog-Serie. Hier können Sie unseren initialen Blog-Beitrag lesen: Practice what you preach: GRC@SAVISCON. Heute ist unser Thema Datenschutz-Management und Office 365.

Microsoft Office 365 wird in fast jedem Unternehmen eingesetzt. So auch bei uns. Doch lässt sich das mit der DSGVO vereinbaren? Diese Frage habe ich mir in den letzten Monaten immer wieder gestellt und so war ich sehr dankbar darüber, dass bei den 15. Praxistage Datenschutz (die ich Mitte Februar 2022 drei Tage online besuchen durfte) die Themen Office 365, Datenübermittlung in Drittländer und noch vieles mehr ganz aktuell besprochen wurden.

Im heutigen Blog-Beitrag möchte ich Ihnen eine Zusammenfassung meiner gesammelten Erkenntnisse und gegen Ende auch eine Antwort auf meine Eingangsfrage, ob sich Office 365 und die DSGVO vereinen lassen, geben.

Datenübermittlung

Wir werden immer digitaler, ob wir wollen oder nicht. Wir können uns nicht dauerhaft auf lokale Systeme stützen, sondern müssen uns damit anfreunden, dass wir zukünftig immer mehr mit cloudbasierten Systemen arbeiten werden und dabei massenhaft Daten übermittelt werden. Deshalb ist es wichtig zu prüfen, welche Daten wohin übermittelt werden und wer darauf Zugriff hat.

Natürlich ist ein selbstgehostetes System immer zu bevorzugen, doch das verursacht meist hohe Kosten. Deshalb ist die beste Lösung, einen Anbieter mit Sitz in der EU bzw. dem europäischen Wirtschaftsraum (EWR) auszuwählen, denn dort sind die Daten nach der EU-Datenschutz-Grundverordnung zu schützen. Was ist aber, wenn aufgrund fehlender Alternativen ein globaler Anbieter (wie z. B. Microsoft) aus einem Drittland ausgewählt werden muss?
Dann werden z. B. Daten in die USA übermittelt und hier gilt US-Recht, nicht die DSGVO. Die Spielräume der US-Gesetze sind sehr breit und die Anwendungsbereiche nicht klar genug definiert. Es gibt keine Einschränkungen des Zugriffs von Behörden, keine Garantien für Nicht-US-Bürger.
Hört sich erstmal nicht gut an. Denn: Wir können die Grundsatzproblematik nicht lösen, trotzdem können wir einiges dafür tun, damit eine Datenübermittlung in Drittländer risikominimiert und unter Berücksichtigung der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) stattfindet. Dazu aber später mehr.

TTDSG

Über das neue Telekommunikation-Telemedien-Datenschutz-Gesetz hatte ich in einem eigenen Blog bereits im November 2021 berichtet. Seit 01.12.2021 ist das Gesetz nun in Kraft und seitdem fester Bestandteil im Arbeitsalltag eines Datenschutzbeauftragten. Im TTDSG sind u. a. die Regelungen zum Fernmeldegeheimnis geregelt, was früher im TKG (Telekommunikationsgesetz) zu finden war. Besonders wichtig ist hier § 25 TTDSG:

Absatz 1:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Absatz 2:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,

    1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
    2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Das TTDSG regelt also das Speichern und Nutzen der Daten in den Endeinrichtungen (auch der nicht personenbezogenen Daten). Als Datenschutzbeauftragter muss hier zukünftig 2-stufig geprüft werden, nämlich erstens aufgrund des TTDSG (Schutz der Privatsphäre) und zweitens aufgrund der DSGVO (Schutz der personenbezogenen Daten).

2-stufiger Prüfvorgang

Zur Prüfung aufgrund TTDSG muss ich mir z. B. folgende Fragen stellen:

  • Gilt das Fernmeldegeheimnis gemäß § 3 TTDSG?
  • Erfolgt ein Zugriff/eine Speicherung auf Endeinrichtungen nach § 25 TTDSG?
  • Wer greift auf die Endeinrichtung zu?
  • Aufgrund welcher Rechtsgrundlage findet der Zugriff statt?
  • Liegt eine Einwilligung vor (§ 25 Absatz 1)?
  • Trifft eine der beiden Ausnahmen zu (§ 25 Absatz 2)?

Zur Prüfung aufgrund DSGVO muss ich mir z. B. folgende Fragen stellen:

  • Für welchen Zweck werden Daten verarbeitet?
  • Welche Personen sind betroffen?
  • Welche Art von Daten werden verarbeitet?
  • Wie werden die Daten erhoben?
  • Aufgrund welcher Rechtsgrundlage erfolgt die Verarbeitung?
  • Wann werden die Daten gelöscht?
  • Wer hat Zugriff auf die Daten?

Und ich muss die datenschutzrechtliche Rolle bestimmen, also welchen Hut habe ich bei welcher Art von Verarbeitung auf. Bestimme ich die Antworten der oben genannten Fragen, bin ich Verantwortlicher. Geht es aber z. B. um Diagnosedaten aus Office 365, so ist Microsoft der Verantwortliche, denn Microsoft erhebt die Daten zu eigenen Zwecken, wie z. B. Aktualisierung der Software, Fehlerbehebung, Produktverbesserung, Sicherheit, etc.

Microsoft Office 365

Was gibt es nun konkret zu beachten bzw. zu tun, wenn Office 365 im eigenen Unternehmen genutzt werden soll?
Zuerst einmal sei erwähnt, dass Office 365 keine eigene Verarbeitungstätigkeit darstellt, sie ist lediglich das verwendete Tool, also „Mittel zum Zweck“. In unserem GRC-COCKPIT arbeiten wir mit Assets, d. h. in jeder Verarbeitungstätigkeit können die entsprechenden Assets (z. B. Tools wie Office 365) hinterlegt werden.

Screenshot GRC-COCKPIT

Auf diesem Screenshot aus dem GRC-COCKPIT sehen wir, dass die Verarbeitungstätigkeit „Adressliste Mitarbeiter“ mit dem Asset „Microsoft 365“ verknüpft ist.

Zusätzlich ist bei jeder Verarbeitungstätigkeit verpflichtend anzugeben, ob Daten in ein Drittland übermittelt werden. Bei der Verwendung von Office 365 ist das im Einzelfall (für jede Verarbeitungstätigkeit) zu prüfen. Wo genau Daten von Microsoft bei welcher Anwendung (Dienst) gespeichert werden, lässt sich hier nachlesen:

Auflistung Wo Microsoft 265-Kundendaten gespeichert werden.

Wo Microsoft 365-Kundendaten gespeichert werden.

Es wäre aber zu einfach, wenn man hier herauslesen könnte „Dienst: Microsoft Teams“ -> Daten werden in Deutschland gespeichert -> damit bin ich „safe“ und habe nichts weiter zu tun.

Denn hier muss tatsächlich die genaue Verarbeitungstätigkeit bzw. die Datenkategorien berücksichtigt werden. Nutze ich z. B. Microsoft Teams für eine Videokonferenz mit externen Teilnehmern und zeichne dieses Meeting auf (z. B. aufgrund von Nachweis- oder Dokumentationspflicht), so werden Daten in Microsoft Stream gespeichert und durch die Einladung externer Gäste werden Daten (Name und Mailadresse) über das B2B-Verzeichnis von Microsoft zusätzlich in die USA repliziert.

Es ist also wichtig, jede Verarbeitungstätigkeit einzeln zu prüfen. Eine pauschale Bewertung z. B. zur Verwendung von Office 365 mit JA oder NEIN hilft uns hier nicht weiter. Folgende Vorgehensweise zur Einzelfallprüfung kann angewendet werden:

1. Bestandsaufnahme:

  • Welche Datenkategorien werden in welche Länder übermittelt (innerhalb EU/EWR oder Drittland)?
  • Welche Rechtsgrundlage liegt hinter der Verarbeitung (z. B. Aufzeichnung wg. Nachweispflicht)?
  • Sind Informationspflichten zu beachten (z. B. Mitarbeiter, Kunden bei Aufzeichnungen)?
  • Welche technischen und organisatorischen Maßnahmen werden bereits ergriffen (z. B. Passwortschutz, Verschlüsselung, Pseudonymisierung)?

2. Alternativen prüfen:

Findet eine Übermittlung in ein Drittland statt, sollte geprüft werden, ob es einen alternativen Anbieter innerhalb EU/EWR gibt.

3. Überprüfung Rechtslage:

  • Wie ist die Rechtslage im entsprechenden Drittland?
  • Welche Eingriffsbefugnisse haben die dortigen Behörden?
  • Welche Standardvertragsklausel (SCC) kann zusätzlich zum AV-Vertrag abgeschlossen werden?

4. Risikoanalyse:

  • Welche Risiken bestehen?
  • Wie hoch ist der Schaden, der entstehen kann?
  • Wie hoch ist die Eintrittswahrscheinlichkeit?
  • Wie stufe ich das Risiko ein (geringes Risiko, Risiko, hohes Risiko)?
    Bei einem hohen Risiko ist zwingend eine Datenschutzfolgenabschätzung durchzuführen.

5. Zusätzliche Maßnahmen:

Zur Risikominimierung können weitere vertragliche, technische und organisatorische Maßnahmen ergriffen bzw. vereinbart werden. z. B. Verschlüsselung der Daten, Diagnosedaten in den Einstellungen minimieren, Tools wie MyAnalytics deaktivieren.

Kann man Office 365 DSGVO konform nutzen?

Wenn diese Punkte für jeden Einzelfall berücksichtigt werden, kann meiner Meinung nach Office 365 gut als Tool im Unternehmen eingesetzt werden. Da wir bei der SAVISCON GmbH Office 365 bereits nutzen, habe ich nach dieser ausführlichen Betrachtung nun deutlich weniger Bauchschmerzen, aber noch ein paar offene ToDos:

  • Sind alle Verarbeitungstätigkeiten mit dem Asset „Office 365“ auf dem aktuellen Stand?
  • Prüfen, ob wir (neben dem Hauptvertrag) den aktuellen Datenschutznachtrag von Microsoft dokumentiert haben (letzte Version sollte vom 15. September 2021 sein; Stand: 24.02.2022)
  • Können evtl. weitere Verschlüsselungsmethoden von Microsoft in Anspruch genommen werden?
  • Haben wir die Diagnosedaten soweit möglich eingedämmt?
  • Haben wir die Verwendung von MyAnalytics flächendeckend deaktiviert?

Wie sieht es bei Ihnen aus?

Nutzen Sie Office 365 in Ihrem Unternehmen und wie ist Ihre Einschätzung zum Thema Datenschutz? Lassen Sie uns gerne in den Kommentaren diskutieren.

Die Zukunft bleibt natürlich auch weiter spannend, denn die neue ePrivacy-Verordnung steht immer noch aus. Sobald diese dann in Kraft tritt, werden wahrscheinlich Vorgaben aus dem TTDSG durch die ePrivacy-Verordnung abgelöst. Aber nun bleibt erstmal abzuwarten, wann die EU-Mitgliedsstaaten die neue Verordnung verabschieden werden.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse des heutigen Blog-Beitrages:

  • Wir werden immer digitaler
  • Immer mehr Cloud-Anbieter werden unseren Alltag bestimmen, nicht nur Microsoft
  • Es müssen immer die DSGVO und das TTDSG zur Prüfung herangezogen werden
  • Die Datenübermittlung ist immer im Einzelfall zu prüfen
  • Bestehende Geschäftsmodelle und Geschäftsbeziehungen hinterfragen und ggf. umstellen
  • Wenn keine Alternative innerhalb EU/EWR zu finden ist, sind Standardvertragsklauseln und zusätzliche Maßnahmen notwendig

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

ISO 27001 Statement of Applicability (SoA) / Erklärung zur Anwendbarkeit

Checkliste für ISO 27001 Statement of Applicability

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH
Die Erklärung zur Anwendbarkeit (Englisch: Statement of Applicability) ist ein Schlüsseldokument, welches im Rahmen des Aufbaus und der ständigen Weiterentwicklung Ihres Informationssicherheitsmanagementsystems (ISMS) erstellt und gepflegt wird. Nachdem ich mich in meinen letzten Blog-Beiträgen mit dem IT-Grundschutz beschäftigt habe (BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung und BSI IT-Grundschutz: Kern- und Standard-Absicherung), kehren wir diesmal zurück in die Welt der ISO27001. Diese Norm enthält den Anhang A mit insgesamt 114 Sicherheitsanforderungen (Controls), welche allesamt zu bearbeiten sind. Die Dokumentation als Nachweis der Bearbeitung dieser Anforderungen wird „Statement of Applicability“ (SoA) genannt und ist ein zentraler Bestandteil Ihres ISMS, sowie eine der wichtigsten Voraussetzungen für eine erfolgreiche Zertifizierung nach ISO27001.

Statement of Applicability (SoA)

Der Anhang A der ISO27001 ist „normativ“. Das heißt, Sie müssen alle darin enthaltenden Anforderungen bearbeiten. Bearbeiten heißt aber nicht gleich umsetzen: Wenn Anforderungen nicht zu Ihrer Organisation passen oder Ihr Geltungsbereich bestimmte Aspekte nicht einschließt, dann müssen Sie diese auch nicht umzusetzen. Stattdessen begründen Sie in diesem Fall, warum eine Anforderung nicht bearbeitet wurde. Für Dritte muss an dieser Stelle transparent werden, wieso Controls aus dem Anhang A nicht angewendet werden. Hierbei ist eine nachvollziehbare Argumentation besonders wichtig. Wenn Sie zum Beispiel anfangs einen kleinen Geltungsbereich wählen, um Ihr ISMS erstmals zu initiieren, ist es gut möglich, dass einige Anforderungen für Sie nicht relevant sind. Bedenken Sie aber, dass sich mit einer wachsenden Organisation, oder einem größer gefassten Geltungsbereich, auch die Anforderungen an Ihr ISMS ändern werden und Sie dann Ihre SoA aktualisieren müssen. Die SoA ist ein Teil Ihres ISMS und, genau wie das ISMS an sich, unterliegt auch die SoA einem Lebenszyklus und muss somit fortlaufend verbessert werden.

Alle Anforderungen, die für Sie relevant sind, werden Sie umsetzen müssen. Das bedeutet Sie werden zu jeder, der für Sie relevanten Anforderungen, Maßnahmen planen und umsetzen, um diesen Anforderungen zu genügen und das Sicherheitsniveau Ihrer Organisation zu steigern. Für die SoA ist der Umsetzungsgrad dieser Maßnahmen nur bedingt relevant, gerade am Anfang können Sie auch geplante oder noch in der Umsetzung befindliche Maßnahmen in Ihre SoA eintragen.

Bearbeitung Statement of Applicability

Die schiere Menge der Anforderungen mag auf den ersten Blick überwältigend wirken und es ist tatsächlich eine Menge Arbeit. Aber lassen Sie sich nicht entmutigen, trotz des hohen Arbeitsaufwands ist die SoA meiner Meinung nach ein guter Einstieg, bei der Umsetzung Ihres ISMS. Einige Anforderungen werden Sie vielleicht sogar „nebenbei“ abhaken können, zum Beispiel die Herausgabe der IS-Leitlinie. Auch die Rollenverteilung ist eine Anforderung im Anhang A. Schauen Sie auch, ob es in Ihrer Organisation schon Material gibt, welches Sie für Ihr ISMS nutzen können. Vielleicht wurde schonmal eine Asset-Inventur gemacht, damit hätten Sie ein weiteres Control bearbeitet.

Viele Maßnahmen werden zudem aus Ihrer Risikobetrachtung kommen. Auch hier wurde möglicherweise schon Vorarbeit geleistet, wenn Ihre IT-Abteilung beispielsweise schon Maßnahmen und Arbeitsanweisungen zu kryptographischen Verfahren oder Verschlüsselungen erstellt hat.

Weitere Hilfestellung gibt die ISO27002 „Leitfaden für Informationssicherheitsmaßnahmen“. Hier erhalten Sie Anleitungen und Vorschläge zur Umsetzung für jedes einzelne Control. Die Anschaffung dieser Norm sollten Sie dringend in Betrachtung ziehen, wenn Sie allein nicht weiterkommen. Bedenken Sie aber, dass Sie diesen Leitfaden auf Ihre Organisation und Ihr ISMS anpassen müssen.

Dokumentation der Statement of Applicability

Die SoA muss als Dokument vorliegen. Darin müssen sämtliche Anforderungen aufgelistet werden und zu jeder Anforderung entweder alle getroffenen Maßnahmen oder eine stichhaltige Begründung warum diese Anforderung als nicht relevant betrachtet wird. Es steht Ihnen zudem frei die SoA um Anforderungen und Maßnahmen zu ergänzen, sofern dies sich zum Beispiel aus Ihrer Risikobetrachtung ergibt.

Außerdem müssen Sie die Controls eigentlich für jedes Asset bearbeiten. Dies ist in der Praxis jedoch meist nicht notwendig. Hier können Sie mit Prozessen arbeiten, in denen mehrere Assets enthalten sind. Ebenso können Sie Assets gruppieren und die Anforderungen des Anhang A für jedes Gruppierungselement abarbeiten. In einem solchen Fall müssen Sie dann auf die weiterführende Dokumentation in Ihrer SoA verweisen.

Die Informationssicherheits Leitlinie ist im GRC-COCKPIT mit dem Tag „SoA“ versehen.

Software erleichtert SoA

Eine Excelliste für die Anforderungen aus dem BSI IT-Grundschutz, eine Excelliste für die Anforderungen aus der ISO27001, eine Liste für die SoA – da kann man schonmal den Überblick verlieren. Deshalb ist es ratsam, das ISMS mit einer Software von beginn an digital aufzusetzen. So haben Sie alle Anforderungen an einem Ort und können auf einen Blick sehen, welche noch nicht erfüllt sind. Wenn Sie Maßnahmen ergreifen, können Sie diese in der Software mit allen passenden Anforderungen verknüpfen und sparen Zeit. Auch das Gruppieren von Assets ist in einer Software schnell und übersichtlich umgesetzt. Wir nutzen dazu intern unsere Software, das SAVISCON GRC-COCKPIT  (siehe Screenshots). Durch den Tag „SoA“ ist es möglich alle verknüpften Maßnahmen zu filtern und per Knopfdruck einen Bericht zu erstellen.

Screenshot aus dem GRC-COCKPIT

Die Schnellansicht im GRC-COCKPIT.

Fazit

Dieser Blog-Beitrag soll Ihnen den Einstieg in die Umsetzung Ihres Statements of Applicability erleichtern. Wenn Sie Detailfragen haben, dann können Sie mich auch gerne persönlich kontaktieren: daniel.strassberger@saviscon.de. Wie bereits erwähnt: Die SoA ist ein guter Einstieg in die ISO27001, nachdem Sie ihr ISMS initiiert haben.

Ein Tipp zum Schluss: Falls Sie mal nicht weiterkommen und das Gefühl haben festzustecken, werfen Sie einen Blick in den Anhang A und suchen Sie sich eine Anforderung aus, die Sie noch nicht bearbeitet haben. Ein Fortschritt in der SoA ist ein guter Motivationsschub und die Erkenntnisse bei der Umsetzung eines neuen Controls hilft Ihnen vielleicht an anderer Stelle weiterzumachen.

Checkliste Statement of Applicability

Für meine Arbeit als Informationssicherheitsbeauftragter bei der SAVISCON GmbH habe ich mir eine Checkliste angelegt, um meinen Fortschritt beim Bearbeiten der SoA zu dokumentieren. Die Checkliste können Sie sich als Excel-Arbeitshilfe hier herunterladen:

 

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des ISMS der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:

daniel.strassberger@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel