Der Einsatz von amerikanischer Software wird zunehmend schwieriger, denn amerikanische Unternehmen sind verpflichtet, den Sicherheitsbehörden auf Anfrage Zugriff auf personenbezogene Daten zu gewähren - auch wenn diese auf einem Server mit Standort in der EU liegen. Dabei erhebt Microsoft nicht nur Daten zur Funktionalität und zur Lizenzüberprüfung, sondern auch sogenannte Telemetriedaten zur Analyse des Nutzerverhaltens.
Bis die Gesetze (hoffentlich) im Sinne der Datenschutzgrundverordnung (DSGVO) angepasst werden, können Sie einiges tun, um das Risiko zu minimieren:
- Setzen Sie keine Clouddienste ein (z. B. OneDrive), denn damit hat Microsoft Zugriff auf Ihre Dateien und deren Inhalte (die vermutlich voller personenbezogener Daten sind ;-)).
- Nutzen Sie nur die lokale Installation der Office-Apps (Word, Excel etc.). Sobald Sie die Cloud-Version nutzen, wird automatisch auch eine Dateiversion in der Cloud gespeichert und Sie haben das Problem aus dem vorherigen Punkt. Umgehen können Sie das Problem, wenn Sie die Daten so verschlüsseln, dass sie für Microsoft unleserlich sind.
- Ändern Sie den Standard-Speicherort in einen lokalen Ordner. Standardmäßig ist hier die Cloud ausgewählt. Hier geht's zur Anleitung. So verringern Sie das Risiko, dass Dateien versehentlich in der Cloud gespeichert werden.
- Verwenden Sie Nutzer IDs (z. B. User1) statt Namen der Mitarbeiter. Microsoft fragt sogenannte Telemetrie-Daten ab, bei denen Nutzerkennungen übermittelt werden können. Auf diese Weise vermeiden Sie die Übermittlung von personenbezogenen Daten.
- Noch besser: Deaktivieren Sie die Übermittlung von Telemetrie-Daten. Microsoft stellt dazu eine Anleitung bereit (Abschnitt "Steuern der Datenschutzeinstellungen durch Bearbeiten der Registrierung").
- Passen Sie die Einstellungen an die BSI-Empfehlungen an. Aber Achtung: Dies sollte nur ein IT-Experte vornehmen und das am besten auf einem Testsystem. So können Sie testen, ob die veränderten Einstellungen Funktionseinschränkungen zur Folge haben.
- Speichern Sie die aktuelle Version der Standardvertragsklauseln, denn diese sind Bestandteil Ihres Nutzungsvertrags. Die Standardvertragsklauseln sind erforderlich, weil es sich bei den USA um ein Drittland handelt, in dem die DSGVO nicht gilt. Die Standardvertragsklauseln sorgen für ein Datenschutzniveau, das in etwa dem entspricht, was die DSGVO für europäische Länder vorgibt.
Rechtlicher Hinweis: Ich beschäftige mich zwar tagtäglich mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.