Das Urteil des Europäische Gerichtshofs (EuGH) von Juli 2020 (Rechtssache C-311/18), in dem die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt wurde, hat große Wellen geschlagen. Sehr viele Nutzer fragen sich seitdem, ob sie Produkte von amerikanischen Herstellern wie z.B. Microsoft bedenkenlos weiternutzen können.
Wir hatten in unserem Blog im September 2020 einige Lösungsmöglichkeiten vorgestellt.
Weil Fragen rund um Datenschutz auch immer wieder in unseren Schulungen und Seminaren zu Microsoft-Produkten wie Teams und Microsoft 365 gestellt werden, möchten wir an dieser Stelle noch einmal auf die Maßnahmen eingehen, die der Konzern im Nachgang zu dem EuGH-Urteil und zu den Handlungsempfehlungen des Europäischen Datenschutzausschusses (EDSA) vom 11. November 2020 ergriffen hat.
Der EDSA stellte in seinen Handlungsempfehlungen nicht nur zusätzliche technische und organisatorische Maßnahmen vor, sondern auch mögliche vertragliche Vereinbarungen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen. Dies hat Microsoft mit einer vertraglichen Verpflichtung umgesetzt.
Bereits im November 2020 kündigte das Unternehmen in einer offiziellen Verlautbarung “neue Schutzmaßnahmen für Kunden an, die ihre Daten aus der Europäischen Union transferieren müssen”. Diese Schutzmaßnahmen beinhalten die vertragliche Verpflichtung, Anfragen von staatlichen Stellen nach Kundendaten anzufechten, sowie eine finanzielle Verpflichtung, um deren Überzeugung in dieser Sache zu unterstreichen. Microsoft war damit das erste Unternehmen, das mit diesen Verpflichtungen auf die EDSA-Handlungsempfehlungen reagiert hatte.
Konkret erklärt das US-Unternehmen (Zitat):
- Erstens verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht über die vorgeschlagenen Empfehlungen des Europäischen Datenschutzausschusses hinaus.
- Zweitens werden wir die Nutzer*innen unserer Kunden finanziell entschädigen, wenn wir ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Damit zeigen wir unsere Zuversicht, dass wir die Daten unserer Unternehmenskunden und unserer Kunden aus dem öffentlichen Sektor schützen können und sie keiner unangemessenen Offenlegung aussetzen werden.
Die gesamte Presseerklärung können Sie hier nachlesen.
Kurze Zeit später kündigte Microsoft unter dem Begriff „Information Protection“ eine Sammlung an Datenschutzlösungen an, die einen sicheren Umgang mit sensiblen Informationen und die Einhaltung von Compliance-Anforderungen unterstützen.
Ein wichtiger Bereich bei den Datenschutzfunktionen ist die Klassifizierung und Auszeichnung (Labeling) von Dokumenten. Hierzu gehören auch Sensitivity Labels (deutsch Vertraulichkeitsbezeichnungen).
Mit Vertraulichkeitsbezeichnungen können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass Produktivität und Zusammenarbeit der Benutzer nicht beeinträchtigt werden.
Dazu legen die Administratoren Ihrer Organisation eine Klassifizierungstaxonomie für unterschiedliche Vertraulichkeitsstufen von Inhalten an. Dazu eigenen sich allgemeine Namen oder Ausdrücke, die für Ihre Benutzer leicht verständlich sind. Wenn Sie noch nicht über eine festgelegte Taxonomie verfügen, können Sie mit Bezeichnungen wie “Privat”, “Öffentlich”, “Allgemein”, “Vertraulich” und “Hoch vertraulich” beginnen.
Eine detaillierte Einführung in das Thema Vertraulichkeitsbezeichnungen würde an dieser Stelle zu weit führen.
Wir empfehlen hierzu die Internetseite https://docs.microsoft.com/de-de/microsoft-365/compliance/sensitivity-labels?view=o365-worldwide
Erste Schritte mit Vertraulichkeitsbezeichnungen finden Sie unter https://docs.microsoft.com/de-de/microsoft-365/compliance/get-started-with-sensitivity-labels?view=o365-worldwide
Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinie finden Sie unter https://docs.microsoft.com/de-de/microsoft-365/compliance/create-sensitivity-labels?view=o365-worldwide
Wenn die Vertraulichkeitsbezeichnungen zentral eingerichtet sind, können Anwender in Ihrer Organisation für jedes Dokument die Vertraulichkeitsstufe gemäß Ihrer Taxonomie festlegen. Dies gilt auch für E-Mails in Outlook.
Nachdem eine Vertraulichkeitsbezeichnung auf eine E-Mail oder ein Dokument angewendet wurde, werden alle konfigurierten Schutzeinstellungen für diese Bezeichnung auf den Inhalt erzwungen.