Datenschutz und Informationssicherheit MS365

Fragen zum Datenschutz und zur Informationssicherheit

Weswegen setzt die HWR-Berlin MS Teams ein?

Neben dem Betrieb der Videokonferenzsystem BBB und Jitsi besteht, das Problem eine Plattform zu betreiben, die sicher gegen Ausfall und hochverfügbar ist bzw. den Anforderungen an die IT-Sicherheit genügt. Dies komplett durch eigene Infrastruktur zu gewährleisten, ist praktisch und wirtschaftlich nur schwer umsetzbar.

Muss ich als HWR Mitglied MS Teams in meiner täglichen Arbeit nutzen.

Nein, es besteht aus dem Datenschutrecht her  keine aktive Pflicht die Technologie zu nutzen. Alternative Kommunikationstechnologien (Telefon, BigBlueButton) bringen ähnliche Funktionalitäten.

Welche Informationssicherheitsrisiken birgt MS 365 für mich als Anwender?

Microsoft hat umfassende Sicherheitszertifizierungen (ISO27001, C5, ISO 27017, SOC 1-3, PCI DSS, etc.) und rangiert auf einem der höchsten erreichbaren Level. Aus sicht der Informationssicherheit bestehen dementsprechend tolerierbare Risiken.

Welche Datenschutzrisiken bestehen bei der Nutzung von MS 365 für mich als Anwender?

Microsoft 365 ist eine Cloud-Anwendung, für welches ein Nutzerkonto erstellt werden muss. Bei Datenverarbeitungen auf externen Cloudservern liegt die Hoheit über die Daten nicht bei der HWR Berlin, sondern bei Microsoft. Mit dem Unternehmen hat die HWR einen Vertrag zur Auftragsverarbeitung geschlossen bzw. EU-Standard-Vertragsklauseln vereinbart. Microsoft garantiert der HWR, dass sich der Standort der Server in Europa befindet. Allerdings behält sich Microsoft vor, Ihre personenbezogenen Daten an weltweit agierende Unterauftragsverarbeiter zu übermitteln. Microsoft schließt seinerseits mit den Unterauftragsverarbeitern Verträge, die ein angemessenes Datenschutzniveau garantieren sollen. Gleichfalls behält sich Microsoft vor Kundendaten zu eigenen Geschäftszwecken zu verarbeiten.

Microsoft behält sich vor, personenbezogenen Daten in ca. 35 Länder weltweit an ca. 150 Unterauftragsverarbeiter zu übermitteln und dort verarbeiten zu lassen. Dies sollte i.d.R. jedoch nicht der Fall sein, da die Serverstandorte vertraglich in Europa zugesichert sind. Sämtliche Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen laut Microsoft angemessenen Absicherungen, wie sie in Art. 46 DSGVO beschrieben sind.

Microsoft unterliegt dem US Cloud Act, welcher amerikanischen Strafverfolgungsbehörden die Möglichkeit eröffnet, auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. Microsoft sichert der HWR Berlin vertraglich zu, diese Zugriffe soweit als möglich gerichtlich abzuwehren.

Dürfen personenbezogene Daten überhaupt durch Microsoft verarbeitet werden?

Die Kundendaten liegen im ruhenden Zustand in der EU und Microsoft hat ein Testat gemäß BSI C5, welches sogar Bundesbehörden die Nutzung in ähnlichen Fällen erlauben würde. Daneben hat die HWR Berlin eine Datenschutzfolgenabschätzung gemäß Artikel 33 DSGVO durchgeführt. Im Zuge dessen wurden dem Datenschutz-Risiko entsprechende technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung entgegen gestellt. Die verbleibenden Risiken sind auf einem tragbaren Niveau und werden von der Hochschulleitung akzeptiert.

Dürfen personenbezogene Daten überhaupt durch einen US-Konzern verarbeitet werden?

Ja, solange Microsoft rechtlich geeignete Garantien gemäß Art. 44 DSGVO anbietet. Microsoft verarbeitet Daten der HWR Berlin als Auftragsverarbeiter weisungsgebunden für die Bereitstellung des Dienstes einschließlich Weiterentwicklung und Support. Die Garantien liegen mit den EU-Standardvertragsklauseln und obig genannten zusätzlichen Maßnahmen vor.

Kann der Microsoft Account der Hochschule gelöscht werden?

Persönliche Accounts werden nach 30 Tagen (Beschäftigte, Lehrende) bzw. 150 Tage (Studierende) gelöscht, nachdem die entsprechende Person die Hochschule verlassen hat. Näheres siehe Datenschutzerklärung zu MS365.

Auf was muss ich beim Aufzeichnen von Teams-Videokonferenzen beachten?

Für Aufzeichnungen von Teams-Videokonferenzen muss immer eine dokumentierte Einwilligung aller Teilnehmer vorliegen, sofern deren Namen, Gesichter, Tonaufnahmen oder Chatbeiträge im Video zu erkennen sind. Hierfür gibt es eine Handlunsanweisung inkl. entsprechender Vorlagen für Einwilligungen und Datenschutzerklärungen auf der Datenschutzwebseite.

Warum kann für den dienstlichen Einsatz nicht das kostenlose persönliche Microsoft-Konto eingesetzt werden?

Für dienstliche Daten liegt die Verantwortung bei der HWR Berlin. Diese muss zahlreiche Vorschriften etwa aus dem Datenschutzrecht, Haushaltsrecht und Steuerrecht beachten. Die dafür erforderliche Kontrolle ist nur mit den durch die HWR Berlin lizensierten bzw. dienstlichen Microsoftaccounts und dem Campus and School Agreement von Microsoft möglich.

Welche Maßnahmen wurden u.a. für noch mehr Datenschutz ergriffen?

Login

Das Passwort wird bei einem Login mit einem Microsoftkonto der HWR Berlin nicht bei Microsoft gespeichert.

Windows

Wenn Sie ein von der Hochschule verwaltetes Endgerät nutzen, dann sind die Diagnosedaten unter Windows 10 auf das Level „Security“ reduziert. Demenstprechend gelangen nur geringste Mengen an Diagnosedaten an Microsoft.

Office

Für die Microsoft Office Anwendungen wurden das Level ebenfalls auf das datensparsame Level „erforderlich“ bzw. „weder noch“ eingestellt. Zudem können die Nutzerinnen und Nutzer über den Microsoft Store for Education dein Diagonsedatenviewer herunterladen.
Zudem sind die optional verbundenen Erfahrungen in den Microsoft 365 App for Enterprise, Office for the web, Teams und Whiteboard deaktiviert.

Reduktion von Diensten

Auf einige Dienste aus Microsoft 365, wie etwa Exchange Online oder Yammer wurde verzichtet. Daneben können keine Drittanbieter Apps genutzt werden. Es können ausschließlich Apps von Microsoft verwendet werden.

Auswertungen

Dienste wie MyAnalytics, die Produktivitätsbewertung werden nicht bereit gestellt. Die Verwendungsberichte zur Nutzung der Dienste werden nur aggregiert erstellt und können keiner Einzelperson zugeordnet werden. Der Zugriff auf die Nutzungsberichte ist auf die IT-Admins beschränkt, die ausschließlich für Wartunsgzwecke auf die Berichte zugreifen dürfen. Daneben wurde die Statusanzeigen-Integration für Outlook deaktiviert.

Diese Webseite verwendet ausschließlich technisch notwendige Cookies. Eine Einwilligung des Nutzers ist demnach nicht erforderlich. This website only uses technically necessary cookies. The consent of the user is therefore not required Datenschutzerklärung.