Data protection (in German)

Datenschutzkonformität

Die Überprüfung der von Microsoft zur Verfügung gestellten Dokumente durch den Datenschutzbeauftragten der Universität Wien hat ergeben, dass Microsoft die formalen Anforderungen im Hinblick auf die DSGVO erfüllt. In weiterer Folge wurden

• Datenschutz-Folgenabschätzungen (DSFA) durchgeführt,
• ein Auftragsverarbeitungsvertrag (DPA) unterfertigt sowie
• die Verarbeitung im Verarbeitungsverzeichnis der Universität Wien erfasst.

Bei Microsoft 365 handelt es sich nach Ansicht des Datenschutzbeauftragten der Universität Wien um ein Betriebsmittel. Als Grundlage zur Datenverarbeitung ist daher immer jene Rechtsgrundlage heranzuziehen, für die die ursprüngliche Datenverarbeitung angedacht ist (beispielsweise Studierendendaten nach Abschluss des Studiums gemäß § 53 Universitätsgesetz, wenn Studierendendaten über Microsoft 365 gespeichert werden).

Lediglich Datenverarbeitungen, die ausnahmslos aufgrund der Verwendung von Microsoft 365 erfolgen müssen, bedürfen einer gesonderten Rechtsgrundlage. Dies ist aus Sicht des Datenschutzbeauftragten äußerst selten. Diese Rechtsgrundlage zur Verarbeitung personenbezogener Daten ist für Microsoft 365 gemäß Art. 6 Abs. 1 lit. f DSGVO das überwiegende Interesse der Universität Wien (siehe Verarbeitungsverzeichnis DSGVO-Nummer DSG-2020-01261 bzw. Allgemeine Datenschutzerklärung der Universität Wien sowie Datenschutzerklärung der Universität Wien für Cloud-Services und andere IT-Anwendungen, § 4 Allgemeines zur Datenverarbeitung). Besondere Kategorien personenbezogener Daten (sensible Daten) werden in diesem Zusammenhang nicht verarbeitet.

Beachten Sie auch die Microsoft-Datenschutzbestimmungen.

Verarbeitung besonderer Kategorien personenbezogener Daten

Bei Microsoft 365 handelt es sich um ein Betriebsmittel. Als Rechtsgrundlage ist daher immer jene heranzuziehen, für die die ursprüngliche Datenverarbeitung angedacht ist (beispielsweise Studierendendaten nach Abschluss des Studiums gemäß § 53 Universitätsgesetz).

Da Microsoft 365 aus der Sicht des Datenschutzbeauftragten der Universität Wien datenschutzkonform den Mitarbeiter*innen und Studierenden zur Verfügung gestellt werden kann, macht es grundsätzlich keinen Unterschied, ob es sich um sensible oder nicht sensible personenbezogene Daten handelt. Entscheidend ist dann immer die jeweilige Rechtsgrundlage, mit der beispielsweise sensible Daten verarbeitet werden können. Hier ist ausnahmslos Art. 9 DSGVO heranzuziehen. Die jeweilige Rechtsgrundlage für die Verarbeitung von sensiblen Daten findet man in Art. 9 DSGVO in einer taxativen Aufzählung.

Microsoft 365 ist als reines Speichermedium für beispielsweise Textdokumente mit sensiblen Daten zu sehen. Die Rechtsgrundlage ist, so wie bereits oben angeführt, nicht für Microsoft 365 selbst zu suchen, sondern für die eigentliche Datenverarbeitung. Existiert eine Rechtsgrundlage für die Verarbeitung von sensiblen Daten im Sinne von Art. 9 DSGVO, können diese sensiblen Daten auch bei Microsoft 365 verarbeitet (gespeichert) werden.

Personengebundene Lizenz

Um Microsoft 365 nutzen zu können, benötigen Sie ein Microsoft-Konto, dem eine personengebundene Lizenz (Named-User-Lizenz) zugeordnet wird. Wenn man als Mitarbeiter*in ein Microsoft-365-Abonnement über das Selfservice-Portal bzw. als Studierende*r über die AcadCloud bestellt, werden automatisch ein Microsoft-Konto sowie eine personenbezogene Lizenz erstellt.

Für Mitarbeiter*innen ist die Lizenz gültig, so lange ein aktives Dienstverhältnis besteht oder die Lizenz zurückgegeben wird.  Für Studierende kann eine Verlängerung der Lizenz  alle 12 Monate über AcadCloud vorgenommen werden, solange sie zum Studium an der Universität Wien zugelassen sind. 

Mindestens einmal alle 30 Tage muss eine Verbindung mit dem Internet hergestellt werden, um den Status des Abonnements zu prüfen. Wenn das Gerät mehr als 30 Tage offline ist, wechselt Microsoft 365 in den Modus mit eingeschränkter Funktionalität, bis wieder eine Verbindung mit dem Internet hergestellt wird. Im Modus mit eingeschränkter Funktionalität bleibt Microsoft 365 weiterhin installiert, jedoch können Dokumente nur angezeigt und gedruckt werden. Alle Funktionen zur Bearbeitung oder Neuerstellung von Dokumenten sind deaktiviert.

Technische und organisatorische Maßnahmen

Im Zuge der Datenschutz-Folgenabschätzung zu Microsoft 365 wurden technisch-organisatorische Restrisiken festgestellt, die jedoch im Wesentlichen durch 2 Maßnahmen deutlich reduziert werden können:

• Einführung von Multi-Faktor-Authentifizierung
• Einführung einer Protokollierung administrativer Aktivitäten (Audit-Log).

Seitens des Datenschutzbeauftragten ist ein Konzept zur regelmäßigen Schulung der Mitarbeiter*innen zu Datenschutz und Datensicherheit in Erarbeitung.

Die datenschutzrechtlichen Vorgaben wurden seitens der Universität Wien für Microsoft 365 wie folgt konfiguriert:

• Zwei-Faktor-Authentifizierung für alle Nutzer*innen (gemäß Vorgabe TOMs)
• Audit-Log aktiviert
• Aktivierung der End-to-End-Verschlüsselung in Teams für alle Nutzer*innen (derzeit nur für 1:1-Anrufe und in der Desktop-App und mobilen Apps verfügbar)
• Optionale Verbundene Erfahrung sind deaktiviert
• Drittanbieter-Apps sind in den Stores gesperrt (Office-Anwendungen, Teams)
• Übertragung von Diagnosedaten ist per Policy auf die minimal notwendigen Daten ("weder noch") konfiguriert
• Reports im Teams Admin Center und im Microsoft 365 Admin Center werden pseudonymisiert dargestellt
• Microsoft 365 Adoption Score und Microsoft Viva Insights, ehemals MyAnalytics), sind deaktiviert (Funktionen, die Leistungs- und Anwesenheitskontrolle ermöglichen)
• Sofern Aufzeichnungen oder Transkriptionen von Videokonferenzen in der Teams-App erfolgen sollen, ist eine Einwilligung der Teilnehmer*innen einzuholen.
• Die direkte Kommunikation von Microsoft‎ mit Nutzer*innen (Microsoft kann per Default E-Mails an Nutzer*innen direkt senden) ist für Desktop-Apps und mobile Apps nicht erlaubt, in den Web-Apps ist dies möglich.

Login und Passwörter

Beim Login zu den Microsoft-365-Services (inkl. Microsoft Teams) erfolgt wie beim Weblogin-Service ein Redirect auf ein vom ZID (auf eigener Infrastruktur) betriebenes Service zur Überprüfung von u:account-UserID und -Passwort. Die Passwörter bleiben somit auf Servern der Universität Wien.

Multi-Faktor-Authentifizierung

Das Multi-Faktor Authentifizierungs-Service wird von Microsoft in einem Europäischen Rechenzentrum erbracht. Personenbezogene Informationen auf Nutzer*innen-Ebene wie beispielsweise blockierte oder umgangene Nutzer*innen oder Änderungsanforderungen für Microsoft Authenticator-Gerätetoken werden für 90 Tage gespeichert. Es werden zwar keine personenbezogenen Daten, wie Nutzer*innen-Namen, Telefonnummern oder IP-Adressen protokolliert, allerdings werden anhand von UserObjectId Authentifizierungsversuche von Nutzer*innen erkannt. Protokolldaten werden für 30 Tage gespeichert. Weiterführende Informationen zum Multi-Faktor Authentifizierungsservice von Microsoft finden Sie unter folgendem Link: Azure Active Directory Multifactor Authentication: Datenresidenz - Microsoft Entra | Microsoft Learn

Datenaufbewahrung

Informationen, wie lange Nutzer*innendaten nach dem Löschen in Microsoft 365 aufbewahrt werden, finden sich auf der Microsoft-Webseite Datenaufbewahrung, -löschung und -vernichtung in Microsoft 365.

Verbundene Erfahrungen

Verbundene Erfahrungen sind Funktionen von Office-Anwendungen, die während des Betriebs mit dem Microsoft-Backend kommunizieren und Daten austauschen können. Im Unterschied zu Telemetrie/Sammeln von Diagnosedaten ist das Ziel verbundener Erfahrungen keine Diagnostik, sondern dem Anwender konkrete Funktionen anzubieten, wie z. B. die Verwendung der Diktierfunktion oder das Übersetzen von Text in eine andere Sprache.

Es gibt in der verbundenen Benutzererfahrung in Microsoft 365 folgende 3 Kategorien:

• Verbundene Erfahrung, die Onlineinhalte herunterladen: Verbundene Erfahrungen, die Onlineinhalte herunterladen, sind Erfahrungen, die das Suchen und Herunterladen von Online-Inhalten, einschließlich Vorlagen, Bildern, 3D-Modellen, Videos und Referenzmaterialien, ermöglichen, um Ihre Dokumente zu verbessern. Z. B. Office-Vorlagen oder PowerPoint-Schnellstarter.
• Verbundene Erfahrung, die Ihre Inhalte analysieren: Verbundene Erfahrungen, die Ihre Inhalte analysieren, sind Erfahrungen, die Ihre Office-Inhalte nutzen, um Ihnen Designempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Funktionen bereitzustellen. Beispiel: PowerPoint-Designer oder Übersetzer.
• Weitere verbundene Erfahrung: Zusätzlich zu den verbundenen Erfahrungen, die Inhalte analysieren und Onlineinhalte herunterladen, gibt es auch noch weitere verbundene Erfahrungen in Office (insb. Funktionen unter Einbindung von Drittanbietern)

Eine vollständige Übersicht der Funktionen der verbundenen Benutzererfahrung finden sich unter folgendem Link https://learn.microsoft.com/de-de/deployoffice/privacy/connected-experiences

Seitens der Universität Wien wurden bei MS365 die verbundenen Benutzererfahrung für Mitarbeiter*innen für Desktop und Mobile Anwendungen wie folgt konfiguriert:

• Die Kategorie Verbundene Erfahrung, die Onlineinhalte herunterladen ist standardmäßig aktiviert, da es sich dabei um reinen Download ohne Verarbeitung von Daten in der Cloud handelt.
• Die Kategorie Verbundene Erfahrung, die Ihre Inhalte analysieren kann durch eine Aktivierung mittels separatem Zubuchen über das SAM-Selfserviceportal genutzt werden – z. B. für Funktionen wie die Diktierfunktion Diktat. Der Weg über diese separate Aktivierung wurde in Abstimmung mit dem AID gewählt, da eine Verarbeitung von Nutzerdaten in der Microsoft-Cloud erfolgt.
• Die Kategorie Weitere verbundene Erfahrung ist deaktiviert, da Module von Drittanbietern eingebunden werden können.

Für die Web-Anwendungen können seitens der Universität Wien nur die zusätzlichen verbundene Erfahrungen deaktiviert werden bzw. sind Verbundene Erfahrung, die Ihre Inhalte analysieren aktiviert.

Aufzeichnen, Live-Transkription und Live-Untertitel in Teams

In Microsoft Teams werden den Nutzer*innen die Funktionen Aufzeichnen, Live-Transkription und Live-Untertitel zur Verfügung gestellt.

Um dem Web-Zugänglichkeits-Gesetz (WZG) zu entsprechen, ist die Universität Wien verpflichtet, entsprechende technische Vorkehrungen zu treffen, damit alle Studierenden und/oder Mitarbeiter*innen dieselben Voraussetzungen (sofern möglich) haben, Dienste, die von der Universität Wien angeboten werden, verwenden zu können. Somit wurden auch Live-Transkription und Live-Untertitel von Videokonferenzen über die Microsoft-Teams-App aktiviert. In diesem Zusammenhang werden personenbezogene Daten verarbeitet. Die Live-Untertitel werden nur während der Videokonferenzen eingeblendet und nicht weiter gespeichert.

Für die Aufzeichnung der Videokonferenz werden Sie gesondert gefragt, ob Sie zur jeweiligen Aufzeichnung einwilligen. Wird die Funktion Live-Transkription aktiviert, wird der*die Initiator*in automatisiert in Teams aufgefordert, mündlich die Teilnehmer*innen über die Aktivierung der Funktion zu informieren.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit.a DSGVO. Die Speicherung erfolgt bis auf Widerruf bzw. wenn der Zweck der Verarbeitung erfüllt ist.

Microsoft ermöglicht den Teilnehmer*innen, die eigene Identität bei den Funktionen Live-Untertitel und Live-Transkription zu verbergen. Informationen dazu finden Sie auf den Microsoft-Webseiten unter Ausblenden Ihrer Identität in Besprechungsuntertiteln und Transkripten in Microsoft Teams.

Diagnosedaten und erforderliche Dienstdaten

Microsoft 365 Diagnosedaten werden – wie auch schon bei den Betriebssystemen Windows 10/11 – dazu verwendet, Office sicher und auf den neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. In diesen Daten sind weder Namen oder E-Mail-Adresse eines Benutzers noch Inhalte von Dateien des Benutzers oder Informationen über Anwendungen enthalten, die nichts mit Office zu tun haben. Enthalten sind allerdings Identifier. Von Anwendern wird ein pseudonymer PrimaryIdentityHash erfasst, der allerdings vor der Übertragung an Microsoft entfernt wird. Generell werden Diagnosedaten anonymisiert und pseudonymisiert an Microsoft übermittelt. 

Diese Diagnosedaten werden am lokalen Gerät gesammelt und alle 5 bis 30 Minuten an Microsoft übermittelt. Über das kostenlose Microsoft Tool Diagnostic Data Viewer können diese Daten vom Anwender eingesehen werden. Informationen zum Diagnostic Data Viewer finden sich auf der Webseite Verwenden des Diagnosedaten-Viewers mit Office - Microsoft-Support.  

Zur Übermittlung von Diagnosedaten wurde seitens der Universität Wien in Microsoft 365 für Desktop und Mobile Anwendungen global die Richtlinie weder noch konfiguriert. Diese Option weder noch bedeutet: Es werden keine Diagnosedaten über die auf dem Gerät des Benutzers ausgeführte Office-Clientsoftware gesammelt und an Microsoft gesendet. Seitens der Anwender*innen kann diese Einstellung nicht geändert werden. Weitere Informationen dazu finden sich auf der Webseite Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise – Deploy Office | Microsoft Learn – Kapitel Richtlinieneinstellungen für Diagnosedaten.

Eine vollständige Auflistung sämtlicher in Microsoft 365 genutzter Diagnosedaten ist unter folgendem Link einsehbar: https://learn.microsoft.com/de-de/deployoffice/privacy/required-diagnostic-data

Neben den Diagnosedaten werden auch sogenannte erforderliche Dienstdaten gesammelt und an Microsoft gesendet:

Es gibt eine Reihe von Diensten, die für die Funktionsweise von Office wesentlich sind und daher nicht deaktiviert werden können. Beispielsweise der Lizenzierungsdienst, der bestätigt, dass Sie über eine ordnungsgemäße Lizenz zur Verwendung von Office verfügen. Erforderliche Dienstdaten über diese Dienste werden gesammelt und an Microsoft gesendet, unabhängig von anderen datenschutzbezogenen Richtlinieneinstellungen, die konfiguriert wurden. Ebenso werden im Kontext der Verbundenen Erfahrung, die Ihre Inhalte analysieren, die mittels separatem Zubuchen über das SAM-Selfservice-Portal aktiviert werden können, erforderliche Dienstdaten an Microsoft gesendet.

Weiterführende Informationen zu wesentlichen Diensten sowie die dort verwendeten Ereignisse und Datenfelder finden sich auf der Webseite: Wesentliche Dienste für Office – Deploy Office | Microsoft Learn

Weiterführende Informationen zu wesentlichen Diensten  im Kontext der verbundenen Erfahrungen finden sich auf der Webseite: Für Office erforderliche Dienstdaten – Deploy Office | Microsoft Learn

Fazit: Die Übermittlung von Diagnosedaten wurde zwar seitens der Universität Wien für Desktop und Mobile Anwendungen deaktiviert, jedoch werden erforderliche Dienstdaten vom Gerät des Benutzers an Microsoft gesendet. 

Auf zentral verwalteten PCs (Managed Devices) werden die Privacy Einstellungen für die Betriebssysteme Windows 10 bzw. 11 sowie Microsoft Office per Group Policy durch den ZID so konfiguriert und verwaltet, dass die Privatsphäre unserer User*innen möglichst gewahrt bleibt.

Für selbst verwaltete PCs (Unmanaged Devices) obliegt es den Nutzer*innen die Windows bzw. Office Privacy Settings zu konfigurieren.

Speichern von Daten in Onedrive und SharePoint

Microsoft speichert die Daten, die von den Nutzer*innen in Microsoft 365 eingebracht werden, redundant in 4 Rechenzentren innerhalb der Europäischen Union (Standorte sind Irland, Niederlande, Finnland und Österreich). Dies betrifft unter anderem die in OneDrive bzw. SharePoint online vorhandenen Inhalte aus den Office-Anwendungen.

Microsoft verschlüsselt sowohl den Transport der Daten als auch die ruhenden Daten. Mittels der umfassenden Implementierung von Verschlüsselungsmechanismen – sowie auch durch das Konzept der Datenspeicherung von Microsoft – wird verhindert, dass Dritte Zugang zu den verarbeiteten personenbezogenen Daten sowohl während der Speicherung als auch während der Übertragung erhalten können.

OneDrive entspricht einem persönlichen Home-Verzeichnis, welches auf einem Share, in diesem Fall SharePoint online, angelegt wurde.

OneDrive wird an der Universität Wien mit einer Quota von 1TB zur Verfügung gestellt und kann über den Dateimanager eingebunden werden bzw. über einen Webbrowser darauf zugegriffen werden.

Seitens Microsoft erfolgt keinerlei proaktives Scannen – präventiv und/oder aufgrund von Verdachtsmomenten – von in OneDrive abgelegten Daten. 

Microsoft-365-Apps können ebenfalls direkt auf Onedrive bzw. SharePoint online zugreifen. So werden beispielsweise private Chats und die Dateien in Teams im persönlichen OneDrive vorgehalten. Für die Funktion von Bild- und Videoaufzeichnung (Besprechungen) wird durch Microsoft Stream SharePoint verwendet. Die Chats und Dateien von in Teams angelegten Teams werden in SharePoint online abgelegt, um einen gemeinsamen Zugriff zu ermöglichen.