Datenschutzrechtliche Nutzungshinweise zu Microsoft 365 für Mitarbeitende

Anwendungsbereiche MS365

Bei den Diensten und Applikationen der Microsoft-365-Cloud (MS365) handelt es sich um eine Sammlung umfangreicher und vielfältiger Werkzeuge, die Arbeitsabläufe insbesondere in der täglichen Zusammenarbeit erleichtern soll. Gleichzeitig verarbeiten die Dienste aber immer auch personenbezogene Daten der Nutzer*innen, sowie der in den Diensten eingetragenen und erwähnten Personen. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder auf Grundlage von der Leuphana zur Verfügung stehenden Informationen identifizierbare natürliche Person beziehen. Beispiele für personenbezogene Daten sind: Name, Geburtsdatum, Religion, Adresse, Telefonnummer, Krankheiten, Mitgliedschaften u.v.m.

Datenschutzrechtliche Grundlagen müssen daher immer bei der Arbeit mit dem System bedacht werden. Bitten verwenden Sie die Systeme daher nur zweckentsprechend und ausschließlich zu dienstlichen Zwecken.

Machen Sie sich mit dem datenschutzrechtlichen Rahmen und Rechtsgrundlagen vertraut, der für Ihre Tätigkeiten zu beachten ist.

Die Dienste werden den Beschäftigten der Leuphana als Kooperationsplattform bereitgestellt. Bitte verwenden Sie die Online-Dienste daher z. B. nicht als dauerhaften Datenspeicher oder Archiv, sondern um z. B. zusammen mit anderen Beschäftigten parallel Projekte zu planen, Dokumente zu bearbeiten, oder, um sich effizienter austauschen zu können. Als dauerhaften Speicherort sind die von der Leuphana bereitgestellten Netz- und Gruppenlaufwerke zu nutzen, den denen – im Gegensatz zu den Microsoft-Diensten – regelmäßig Backups erstellt werden. Weitere Informationen zu den Speichermöglichkeiten des MIZ finden Sie im Anleitungs-Wiki des MIZ.

Im Übrigen sind alle datenschutzrechtlichen Ziele der Datensparsamkeit, der Zweckbindung, der Notwendigkeit einer Rechtsgrundlage zur Verarbeitung zu beachten. Im Zweifel wenden Sie sich bitte vor der Verwendung in einem konkreten Projekt an das Datenschutzmanagement (datenschutz@leuphana.de).

Allgemeine Anforderungen

  • Für besonders zu schützende Daten (siehe unten), Daten die der besonderen Geheimhaltung unterliegen oder Daten mit allgemein sehr hohem Schutzbedarf (z. B. Infos zu Krankmeldungen, Nachteilsausgleich, Schwangerschaft oder Forschungsverträge mit Geheimhaltungsvereinbarung) sind die Dienste grundsätzlich nicht vorbereitet und sollten hierfür nicht verwendet werden.
  • Die Dienste können aufgrund von Beschränkungen des US-Export-Rechts, zu dessen Einhaltung auch die Kunden von Microsoft verpflichtet sind [1], nicht in allen Ländern genutzt werden, insbesondere nicht in der Demokratischen Volksrepublik Korea, im Iran und in Kuba, Sudan und Syrien.
  • Sozialdaten (§ 67 Abs. 2 Satz 1 SGB X; § 80 SGB X, z.B. Daten von oder für Krankenkassen, Arbeitsämter, Rentenversicherung o. ä.) dürfen nicht mit den Microsoft-Diensten verarbeitet werden.
  • Eine Nutzung der universitären (dienstlichen) Accounts auf Privatgeräten ist unzulässig (vgl. IT-Richtlinie der Leuphana).

Art. 9 DSGVO, "besondere Kategorien personenbezogener Daten": Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Im Folgenden geben wir Ihnen einige Hilfestellung, wie Sie diese Anforderungen beim Umgang mit den MS365-Diensten im Einzelnen umsetzen.

Verbundene Erfahrungen – Internetdienste innerhalb von MS365

MS365-Dienste und Software verwenden sogenannte "verbundene Erfahrungen". Diese sind Funktionen, die nur mit einer aktiven Internetverbindung funktionieren, weil sie Informationen oder Inhalte aus dem Internet abrufen müssen, oder Inhalte, die Sie eingegeben haben, an die MS365-Server senden. Einige dieser verbundenen Erfahrungen analysieren die von ihnen eingegeben Inhalte, z. B. um Text zu übersetzen oder vorzulesen, um Bildern oder Diktate in Text umzuwandeln, oder um Ihnen Designempfehlungen und Bearbeitungsvorschläge zu geben. Nähere Infos über die analysierenden Dienste finden Sie unter docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences. Bitte berücksichtigen Sie dies, wenn Sie mit diesen Funktionen Daten von konkret identifizierbaren Personen verwenden wollen und ziehen Sie den Verzicht auf die personenbezogenen Daten in Betracht.  

Darüber hinaus sind optionale verbundene Erfahrungen (docs.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences) administrativ abgeschaltet, weil diese Funktionen auch Daten an externe Unternehmen außerhalb von Microsoft weitergeben und damit weiteren Regelungen und Einzel-Verträgen unterliegen würden. Dies führt ggf. zu unerwarteten Einschränkungen. Als plastisches Beispiel sei genannt, dass etwa die Einbindung von Web-Videos (z. B. Youtube) in PowerPoint-Präsentationen mit MS365 nicht möglich ist. Dennoch ist diese Einschränkung datenschutzrechtlich unumgänglich. 

OneDrive

Zweck und Anwendungsbereich

Der Dienst OneDrive ist ein Speicherdienst, der es ermöglicht, Dateien vom eigenen Rechner aus in die Cloud zu laden und dort zu bearbeiten bzw. zu teilen oder in anderen MS365-Diensten zusammen mit anderen Nutzer*innen zu verwenden.

Die Daten werden nicht bei der Leuphana gespeichert, sondern in einem externen Rechenzentrum von Microsoft. Die Leuphana nimmt keine Backup-Sicherung der dort gespeicherten Daten vor. Theoretisch ist ein Zugriff von Microsoft oder von Support-Dienstleistern auf die Daten in bestimmten Fällen nicht völlig auszuschließen. Verwenden Sie den Dienst daher nicht als Archiv-Dateiablage, hierfür stehen Ihnen persönliche Netzlaufwerke, bzw. Gruppenlaufwerke zur Verfügung, die an der Leuphana zentral verwaltet, gesichert und aufbewahrt werden. Nutzen Sie OneDrive daher nur für die Dauer der Zusammenarbeit.

Verschlüsseltes Speichern

Werden Daten verschlüsselt gespeichert, muss das dafür nötige Passwort den Passwortvorgaben der IT-Richtlinie der Leuphana Universität Lüneburg entsprechen oder gleichwertig sicher sein. Das Passwort darf ausschließlich Personen zugänglich sein, die Beschäftigte der Leuphana sind. Das Passwort darf nur über Kommunikationswege außerhalb von MS365 übermittelt oder gespeichert werden. Das genutzte Verschlüsselungsverfahren hat der technischen Richtlinie BSI TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik zu entsprechen, z. B. AES mit Schlüssellänge von min. 128 Bits (symmetrisch, oder RSA mit Schlüssellänge von min. 2000 Bits). Eine grafische Übersicht über Verschlüsselungsverfahren zur Orientierung findet sich z. B. beim Institut für Internet-Sicherheit der Westfälischen Hochschule hier: www.internet-sicherheit.de/downloads/infografiken/verschluesselungsverfahren.html

Synchronisieren

Bedenken Sie, dass die in OneDrive gespeicherten Daten mit allen Geräten synchronisiert werden, auf denen Sie Ihren Microsoft-Account und OneDrive, z. B. innerhalb von Windows, einrichten. Besonders mobile Geräte müssen daher zugriffsgeschützt und gegen Verlust gesichert transportiert werden (Aktivierung der BitLocker-Laufwerksverschlüsselung) und dürfen keinen externen Personen zugänglich gemacht werden.

Teilen

Vergeben Sie Freigaben ("Teilen") zurückhaltend. Überlegen Sie sich, wer die Daten einsehen und bearbeiten soll, und vergeben Sie die Rechte bei der Freigabe entsprechend. Denke Sie daran, etwaige Freigaben nach Abschluss auch wieder aufzuheben.

Dies gilt insbesondere bei Einbeziehung von Personen, die keine Beschäftigten der Leuphana (Studierende, externe Vertragspartner*innen, usw.) sind. Freigaben, die länger als nötig bestehen, stellen Risiken für die darin erwähnten Personen dar. Stellen Sie sich immer die Frage, wie Sie sich wünschen, dass andere Organisationen mit Ihren personenbezogenen Daten umgehen sollen.

Vermeiden Sie, umfangreiche Sammlungen von personenbezogenen Daten Dritter (Listen von Veranstaltungsanmeldungen, Adressverzeichnisse, Forschungsdaten mit unmittelbarem Personenbezug, etc.) im Dienst vorzuhalten oder mit einer größeren Anzahl an Personen (>10) zu teilen.

Das Teilen mit externen Personen ist über Gastkonten der Externen möglich. Ein Teilen von Links ist nicht möglich, weil dadurch jede Person Zugriff auf die Inhalte hätte, die den Link kennt. Eine beabsichtigte oder unbeabsichtigte Weitergabe wäre dann unkontrolliert möglich.

Bieten Sie externen Personen, die eine Nutzung von Microsoft-Diensten nicht wünschen, frühzeitig alternative Dienste der Leuphana an (z. B. Academic Cloud, myShare, CryptPad (Drive)).

Teams

Zweck und Anwendungsbereich

Das Kommunikationstool Teams dient der kollaborativen Arbeit. Hierüber können verschiedene Mittel der Zusammenarbeit koordiniert werden, z. B. Chat, Videokonferenz, kollaboratives Schreiben, kollaborative Arbeits-Organisation und Dateifreigabe mit Versionsverlauf und personalisierter Änderungsverfolgung.

Teams bietet bisher keine Ende-zu-Ende-Verschlüsselung der Videokonferenzen an (mit Ausnahme von optionalen 1-zu-1-Meetings). Teams ist daher im Kern nicht als Video-Konferenz-Tool nutzbar, um vertrauliche Gespräche zu führen oder sensible Video-Inhalte (Prüfungsinhalte, Notenbesprechungen, Authentifizierungsprüfungen, Austausch zu geheimhaltungsbedürftigen Sachverhalten) auszutauschen.
Hierfür sind Ende-zu-Ende-verschlüsselte Meetings via Zoom zu nutzen, oder die Videokonferenz-Anwendung (BigBlueButton) der Academic Cloud.

Teilen

Es gelten die Vorgaben zu OneDrive.

[1] Vgl. www.microsoft.com/en-us/exporting sowie www.microsoft.com/de-de/microsoft-365/business/international-availability.