piwik-script

Intern
    Rechenzentrum

    Microsoft

    Microsoft 365 ein Lösungsangebot

    Mit Microsoft 365 ist der Lösungsansatz von Microsoft Windows 10, Office 365 und Sicherheitslösungen und Gerätemanagement in einem Paket anzubieten.

    Die Aussagen zu Microsoft 365 treffen auch den aktuellen Bundesvertrag (der den Einsatz von Windows 10 und Office 365 ermöglicht) wie den geplanten neuen Bundesvertrag (Wechsel zu Microsoft 365) für die die Hochschulen in Deutschland.

    Es gibt auch weitere Volumenlizenzprogramme etwa Microsoft Select Plus (ohne Cloudprodukte). Zudem ist dieses Programm im Hinblick auf die gestiegene Lizenzkomplexität bei Microsoftprodukten und -diensten nicht zu empfehlen, da hohe Compliance-Risiken drohen. Soweit nur noch wenig interne Infrastruktur vorhanden ist, kann sich auch ein Blick in die CSP-Programme lohnen.

    Alternative Lösungen

    Auch wenn der Einsatz von Microsoftprodukten und -diensten weltweit üblich und bewährt ist, sollte dieser immer hinterfragt werden und Alternativen in Betracht gezogen werden.

    Die zahlenreichen Kooperationen und mitversorgten Einrichtungen führen fast immer in einen Graubereich der Lizenzierung, abseits von Open Source.

    Einen guten Überblick über Alternativen gibt das MALT-Projekt von CERN.


     

    Aktuelles

    Die Stabsstelle analysiert derzeit das Urteil des EuGH in der Rechtssache C-311/18 vom 16. Juli 2020.

    Sollte sich zeigen, dass die Garantien von Microsoft für den internationalen Datentransfer nicht den rechtlichen Anforderungen genügen, ist ein Austausch mit der für die bayerischen Hochschulen zuständigen Datenschutzaufsicht geplant.

    Um den bereits geäußerten Bedenken Rechnung zu tragen, sind unter anderem präventive folgende Maßnahmen zur Datenminimierung empfehlenswert.

    AzureAD

    Das zur Aktivierung von Lizenzen und zur Rechte- und Gruppenverwaltung erforderliche AzureAD sollte keine Passwort-Synchronisation  ins lokale AD aufweisen. Sofern möglich sollte der Login über ein eigenes System der Hochschule erfolgen, etwa mittels Shibboleth.

    Microsoft Teams

    Microsoft Teams sollte nur als Videokonferenzplattform genutzt werden.

    Speicherdienste (OneDrive Business und SharepointOnline)

    Daten sollten nur verschlüsselt (etwa mit Boxycryptor, Cryptomator oder Veracrypt) in das Angebot übergeben werden. Ein eigenenes Schlüsselmanagement und Kontrolle dieser sollte evaluiert werden (etwa DKE, HYOK oder KeyVault)

    Telemetrie- bzw. Diagnosedaten

     Eine Übermittlung von Telemetrie- bzw. Diagnosedaten ist sowohl für Windows als auch für Office 365 im größtmöglichen Umfang zu deaktivieren.

    Verbundene Erfahrungen und Drittdienste

    Dienste, die von Microsoft (z.B. Bing Übersetzer) oder Dritten (z.B. Gifs) nicht im Rahmen der Auftragsverarbeitung angeboten werden, sollten nach Möglichkeit deaktiviert werden.

    Aktivierung der neuen Auftragsverarbeitung

    Über den zuständigen Accountmanger bei Microsoft sollte die neue Auftragsverarbeitung  von Juli 2020 aktiviert werden.

    Feedback

    Ich freue mich über Hinweise für Verbesserungen, gefundenene Vertipper oder auch über ein Danke.

    Meine Kontaktinformationen finden Sie auf dieser Seite oder schreiben Sie direkt eine E-Mail an rz-stabsstelle-it-recht@uni-wuerzburg.de.

    Vertrag, Datenschutz, Informationssicherheit, Barrierefreiheit

    Allgemeine Hinweise

    Informationen zum Microsoft Campus- und School-Vertrag

    • Viele Einrichtungen sind dem Microsoft Campus- und School-Vertrag beigetreten mit einer Laufzeit bis 30. April 2021.
    • Die Verwendung Produkte und Services aus diesem Vertrag unterliegt den Bestimmungen aus diesem Vertrag, einschließlich, aber nicht beschränkt auf Haftungsbeschränkungen, Ausschluss von Gewährleistungen sowie den Ausschluss von Rechtsmitteln und Ansprüchen.
    • Die Produkte unterliegen auch Product Terms und Online Service Terms von Microsoft.
    • Die Nutzungsberechtigung ist auf den lizenzierten Zeitraum beschränkt.
    • Wenn der Vertrag gekündigt wird oder wenn der Beitritt ausläuft und wir für die unter dem Beitritt bestellten Produkte keine unbeschränkten Lizenzen erwerben, müssen sämtliche Produkte, die unter diesem Vertrag genutzt werden, gelöscht werden, wenn der lizenzierte Zeitraum abläuft oder anderweitig vorzeitig gekündigt wird, je nachdem, welcher Zeitpunkt zuerst eintritt.
    • Bei der Nutzung einiger Produkte und  Onlinedienste können auch die Bestimmung des Servicevertrages gelten, ebenso weitere Datenschutzbestimmungen.

    Es ist nicht Aufgabe der IT, des Rechenzentrums oder einzelner Personen, über den Einsatz von Microsoft 365 zu entscheiden. Vielmehr ist dies Aufgabe der Leitung der Hochschule, in Bayern etwa die Hochschulleitung.


    Hochschul-Forums Digitalisierung

    Die Aussage des Hochschul-Forums Digitalisierung zu Microsoft Teams lautet:

    "Microsoft garantiert eine Speicherung auf in Deutschland stehenden Servern. Entsprechend bestehen keine Datenschutzbedenken."

    Zu diese Einschätzung ist von Seiten der Stabsstelle anzumerken:

    Die bestehenden (datenschutzrechtlichen) Risiken, werden bei dieser Aussage nicht berücksichtigt.

    • Der Serverstandort ist für die datenschutzrechtliche Beurteilung nicht maßgeblich, wenn Support und Wartung für diese aus den USA / der ganzen Welt kommen.

    Beispiele für die Risiken Public Cloud

    • Die Daten werden von Microsoft auch für eigene Zwecke verarbeitet, wenn dies erforderlich ist zwecks Abrechnung- und Kontoverwaltung, Vergütung, interner Berichterstattung und Modellierung, Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz sowie Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen.
    • Letzteres gilt für Ermittlungen durch Polizei und Geheimdienste etwa aus den USA, etwas beschränkt durch interne Vorgaben von Microsoft selbst. Solche Ermittlung sind jedoch extrem selten und werden Hochschulen kaum treffen.
    • Mit dem Dienst wird vertraglich nur Ausfallsicherheit gewährleistet, d.h. die Nutzer müssen sich eigenverantwortlich um Backups und Archivierung kümmern.
    • Daten aus Personalakten dürfen nicht in Office 365 abgelegt werden (z.B. Art. 108 Abs. 3 BayBG)
    • Informationssicherheit für die Public Cloud Lösung ist formal durch das BSI C5 Testat auch für Bundesbehörden gegeben. Office 365 muss jedoch sicher konfiguriert werden, etwa Multi-Faktor-Login für alle administrativen Accounts.
    • Vorzuziehen ist, dass eine Multi-Vendor-Strategie gewählt wird und auch eigene Lösungen angeboten werden, etwa jitsi-meet, RocketChat oder Nextcloud Talk in Ergänzung zu Lernplattformen.

    Interne Prozesse

    • Dienstvereinbarung
    • Datenschutzdokumentation
    • Datenschutzinformation
    • Prüfung der Informationssicherheit
    • Bereitstellen der notwendigen Ressourcen für die Administration 

    Typische Gliederung

    • Geltungsbereich
    • Funktionsumfang
    • Nutzungskonzept
    • Datenschutz und Datensicherheit
    • Informationssicherheit
    • Protokollierung
    • Löschung der Benutzerkonten
    • Verhalts- und Leistungskontrolle
      => Verzichts auf diese (soweit nicht gesetzlich vorgeschrieben)
    • Information und Schulung der Beschäftigten
    • Beteiligung und Rechte des Personalrats
      => Festlegen, welche Rolle mit Lesendem Zugriff auf Office 365 für den Personalrat bereitgestellt wird.
    • Schlussbestimmungen
    • Anlage der zugelassen Dienste

    Weitere Dokumente zur Entscheidungsfindung

    • Interne Dokumentation zur Wirtschaftlichkeit
    • Erwogene Alternativen

    Beispielhafte Auswahl von Diensten

    • Forms (Online Formulare)
    • Planer für die Arbeitsorganisation
    • Office Online (Word, PowerPoint, Excel, OneNote, usw. um online und kooperativ nutzen)
    • Office Lens (zur Digitalisierung von Dokumenten)
    • OneDrive Business
      Teilen eigener Dateien
    • Stream (Interne Videoplattform)
    • Sway (Alternative zu Prezi)
    • Teams (Zusammenarbeit und Kommunikation)
    • To Do (Aufgabenverwaltung)
    • Whiteboard

    Beispiel für nicht aktivere Dienste

    • Dynamics
    • Flow (wegen der Komplexität)
    • MyAnalytics (Persönliche Nutzungsanalyse von Office 365)
    • PowerApps
    • Skype for Business (da Migration zu Teams)
    • Video (da Migration zu Stream)
    • Yammer (da im Kern auch über Teams abgebildet)

    Microsofts eigene Dienstvereinbarungen zu ihren Diensten

    Microsoft Teams sollte für die Kommunikation mit einer Hausordnung oder Netiquette vorsehen.

    Ein gutes Beispiel (auf Englisch) für eine Hausordnung kommt von Storyals.

    Microsoft bietet zudem ein Erfolgs-Kit zur Einführung von Microsoft Teams an.

    Inhalte der Hausordnung

    1. Teams als Zentrum der Kommunikation
    2. Rechtliches
      Teams ersetzt weder die ordnungsgemäße Aktenführung noch die Archivierung. Leider verhindert das Urheberrecht in Deutschland Gifs, Memes oder Sticker zu nutzen. Ferner ist Teams kein Ersatz für die Personalakte und steuerrechtlich relevante Unterlagen werden nicht in Teams abgelegt. Und auch mit Teams gilt deutsches Arbeitszeitrecht. 
    3. Teams aktiv nutzen!
      Kommunikation mit Bild und Ton ist wichtig, insbesondere wenn man sich nicht direkt treffen kann.
    4. Keine Silos bilden!
      Gruppenchats sind geeignet für nicht unmittelbar dienstliche Belange et
      Im Übrigen gehört die Kommunikation in die jeweiligen Teams.
    5. Respektvoll kommunizieren!
    6. Emoji-Bedeutungen festlegen.

    Ein Beispiel könnte sein:

    Umschrift der Reaktionen Festgelegte Bedeutung  Unzutreffende Bedeutung 
    Like Das gefällt mir! Daumen hoch! Ich bin einverstanden. Ich hab's gesehen. Gut gemacht! Ich habe es gesehen. Ich hab's! Danke!  Genehmigt. Machen Sie weiter. Bestätigt. Machen Sie es. Kaufen Sie es. 
    Herz Liebe es! Wunderbar! So süß. Das ist so nett. DANKE!  Alles Unangebrachte. 
    Lachen Das ist lustig. Das macht mich so glücklich.   
    Überrascht Was??!?!?!! Wirklich?! Ich bin überrascht. Oje!   
    Traurig Das ist so traurig. Es tut mir leid, das zu hören. Ich fühle mit Ihnen mit.   
    Wütend Das macht mich so wütend. Das ist verärgernd. Das ist so falsch.   

     

    • Die Software und Dienste sind ausschließlich zu studentischen bzw. dienstlichen Zwecken oder für studentische oder dienstliche Projekte einzusetzen unter Beachtung der gesetzlichen Aufbewahrungsfristen und des Archivrechts.
    • Sicherungen und Archivierung der Daten muss eigenverantwortlich durch die Nutzenden erfolgen.
    • Der Einsatz zu privaten Zwecken ist in den Lizenzbestimmungen nicht vorgesehen. Es werden ausschließlich persönliche nicht übertragbare Lizenzen bereitgestellt.
    • Soweit mit der Anwendung personenbezogene Daten Dritter verarbeiten werden, müssen die Vorschriften des Datenschutzes einhalten und die Erfüllung der Informationspflichten sicherstellt werden.
    • Bestimmungen und Informationen sind bei Bestellungen über WebShop4All an durch die Bestellung begünstigten Personen weiterzugeben.
    • Allgemein gilt: Unveröffentlichte personenbezogene Daten von Personen, die nicht Microsoft 365 bzw. Office 365 nutzen (Fall 1), die nicht im Bezug zu aufgabenbezogene Kommunikation stellen (Fall 2) dürften ebenso wenig wie Daten, die besonderer Geheimhaltung und hohem Schutzbedarf unterliegen (Fall 3), unverschlüsselt in das Speicherangebot des Dienstes übergeben werden.
    • Beispiele für Fall 1 sind etwa Anwesenheitslisten oder Listen von Teilnehmenden einer Veranstaltung, für Fall 2 Mitteilungen von Kontaktinformationen oder Wissenswertem mit dienstlichem Bezug über fachlich zuständige oder Kontaktpersonen bei Dienstleistern und Kooperationspartnern, Kurs-/Veranstaltungsteilnehmer sowie für Fall 3 Krankmeldungen und Forschungsverträge mit Geheimhaltung.
    • Werden Daten verschlüsselt gespeichert, muss der Schlüssel den Passwortvorgaben der Einrichtung entsprechen oder gleichwertig sicher sein. Das genutzte Verschlüsselungsverfahren hat der technischen Richtlinie BSI TR-02102-1 des Bundesamtes für Sicherheit in der Informationstechnik zu entsprechen.
    • Microsoft stellt einige Funktionen seiner Dienste und Software als sogenannte „Optionale verbundene Erfahrungen bereit“. In diesem Fall ist sicherzustellen, dass diese Funktionen ausschließlich mit personenbezogenen Daten der Nutzenden erfolgt und die erforderlichen urheberrechtlichen Nutzungsrechte für eine Weitergabe der Werke an Microsoft bestehen.

    User-Accounts

    Es gibt viele Wege, die Accounts der Nutzer anzulegen

    Lizenzen

    Bayerische Hochschulen können Accounts in Azure-AD sowie Lizenzen auch über StudiSoft zuweisen lassen.

    Verantwortliche und deren Datenschutzbeauftrage (neben dem Lizenznehmer)

    Microsoft Ireland Operations Limited 

    One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland, 

    Microsoft Corporation  

    One Microsoft Way Redmond, Washington 98052 

    Datenschutz 

    Themenseite mit FAQ und Kontaktmöglichkeiten von Microsoft 

    Betroffenenrechte 

    Allgemein 

    Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu: 

    • Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG). 

    • Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO). 

    • Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe. Die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO). 

    • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). 

    • Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München. 

    Über Ihr Widerrufsrecht und Ihr Widerspruchsrecht informieren wir Sie gesondert. 

    Widerspruchsrecht 

    Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr. 

    Zweck

    Einrichten und Betreiben von Arbeitsstätten, einschließlich Betreuung, Herstellersupport und kontinuierlichen Verbesserungen und statistischer Nutzungsanalysen 

    Einschließlich Offenlegung für folgende Zwecke von Microsoft 

    1. Abrechnung- und Kontoverwaltung 

    2. Vergütung, 

    3. Interne Berichterstattung und Modellierung 

    4.  Bekämpfung von Betrug 

    5. Cyberkriminalität oder Cyberangriffen 

    6. Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz 

    7. Finanzberichterstattung 

    8. Einhaltung gesetzlicher Verpflichtungen 

    Rechtsgrundlagen 

    • Für die Universität und Personen, die in Kommunikation und Dokumenten identifizierbar sind Art. 6 Abs. 1 lit. e i.V.m. Art. 4 BayDSG (insbesondere § 3a ArbStättV, Art. 13 BayBGG, Art. 11 Abs. 1 BayEGovG, § 13 Abs. 7 TMG, Art. 6 Abs, 1 BayDSG, Art. 10 Abs. 1 BayHSchG, Art. 7 BayHO, Art. 20a GG, Art. 3, 3a, 141 BayVerf) 

    • Für die Personen, die Office 365 nutzen in der Rolle als

      • Beschäftigter zudem Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 4 BayDSG (§ 106 Gewerbeordnung)

      • Beamte zudem Art. 6 Abs. 1 lit. c DSGVO i.V.m. art. 4 BayDSG (Art. 33 Abs. 5 GG)

    Rechtsgrundlagen für die Offenlegung an Microsoft (jenseits der Auftragsverarbeitung) 

    • Für lizenzierte Personen Art. 6 Abs. 1 lit. b DSGVO sowie Art. 49 Abs. 1 lit c (1. und 6.)

    • Für vertraglich nicht erforderliche Zwecke, Art. 5 Abs. 1 S. 1 Nr. 2, Art. 49 Abs. 1 lit. d DSGVO (2.-5.,7.,8.) 

    Datenkategorien 

    1. Dokumente und Dateien 

    1. Aufgaben und Lösungen  

    1. Kommunikationsdaten 

    1. Personenbezogene Basisdaten 

    1. Authentifizierungsdaten 

    1. Kontaktinformationen 

    1. Profilierung 

    1. Logfile mit Zugriffen 

    1. System generierte Protokolldaten 

    Kategorien von betroffenen Personen 

    • Für Datenkategorien 1-9 Personen, die Office 365 nutzen oder administrieren 

    • Für Datenkategorien 3, 8, 9 Personen, die in der Kommunikation und Dokumenten identifizierbar sind 

    Empfänger  

    • Microsoft Ireland Operations Limited, zwecks Auftragsverarbeitung und Vertragserfüllung  

    • Microsoft Corporation, zwecks Auftragsverarbeitung und Vertragserfüllung und eigener Zwecke 

    • Sowie deren Unterauftragsverarbeiter und Supportdienstleister 

    Garantien für den Internationalen Datentransfer 

    Speicherdauer 

    • 90 Tage nach Löschung des Accounts auf Verlangen oder nach Widerspruch (Datenkategorien 4-7) 

    • 90 Tage nach Löschung der Inhaltsdaten, nach Wegfall der Erforderlichkeit (Datenkategorien 1-3) 

    • 180 Tage (Datenkategorien 8, 9) 

    Microsoft 365

    Hochschulen treten in der Regel zum Jahrestag den Campus- und Schoolvertrag bei. Dieser ergänzt die Produktbestimmungen (PT)Bestimmungen der Online Services (OST), den Service Level (SLA) und die Auftragsverarbeitung (Online Services Data Protection Addendum - DPA).

    Die Verträge werden mit Microsoft Ireland Operations Limited geschlossen. Im Datenschutz beauftragt Microsoft Ireland Operations Limited dann Microsoft Corporation. Einige Verarbeitung erfolgen wohl unmittelbar in der Verantwortung von Microsoft Corporation und Microsoft Ireland Operations Limited fungiert als datenschutzrechtlicher Vertreter von im Geltungsbereich des Europäischen Wirtschaftsraumes.

    Azure

    Azure unterliegt dem Online-Abonnement-Vertrag und den Azure Servives SLA setzt aber auf die gleiche Vereinbarungen zur Auftragsverarbeitung wie die Dienste rund um Microsoft 365.

    Microsoft Store for Business

    Dieser unterliegt separaten Bestimmungen seitens Microsofts.

    Optional verbundene Dienste und Drittanbieter Addins

    Diese unterliegen den Bestimmungen des jeweiligen Anbieters.

    Allgemeines

    Verfügbarkeit

    Der Großteil der Dienste von Microsoft hat ein SLA von 99,9% pro Monat. Sollte das SLA nicht einhalten werden und in einem Monat etwa unter 99% fallen, gibt es Gutschriften. Da der Prozess nicht automatisiert ist, muss jede Einrichtung selbst die Verfügbarkeit überwachen.

    Über den aktuellen Stand der Verfügbarkeit informiert Microsoft Administratorinnen und Administratoren im Admincenter und öffentlich auf Twitter  (alternativer Zugriff über Nitter).

    Risikoeinschätzungen

    Compliance

    Durch das BSI C5 Testat der Rechenzentren und Dienste von Microsoft werden die Compliancevorgaben für Bundesbehörden für externe Clouddienste erfüllt.

    Über die Sicherheitszertifikate und Prüfberichte informiert Microsoft in einem Trustcenter.

    Tipps

    Die Sicherheitsmaßnahmen von Microsoft können auch für eigene Sicherheitszertifizierungen geerbt werden.

    Dennoch gilt, die Einrichtung muss auch eigene Maßnahmen ergreifen, etwa die Sicherung administrativer Konten oder Backups.

    Begriffe

    Microsoft nutzt auf Endgeräten gesammelte Informationen für seine eigenen Geschäftsinteressen. Hintergründe dazu erklärt Microsoft etwa zu Windows 10 oder zu Office 365 auf YouTube.

    Dem Kunden stehen vielfältige Möglichkeiten zur Verfügung, den Umfang der Sammlung von Informationen zu begrenzen.

    Für einen Großteil dieser von Microsoft gesammelten Daten wurde der Begriff "Telemetriedaten" verwenden. Inzwischen hat Microsoft diesen Begriff durch die Bezeichnung "Diagnosedaten" ersetzt.

    Windows 10

    Microsoft ermöglicht es, die Übermittlungen der Diagnosedaten zu kontrollieren. Wenn das Betriebssystem zentral verwaltet wird, und die Editionen Enterprise oder Education eingesetzt werden, stehen weitere Optionen zur Einschränkung des Sendeverhaltens zu Diagnosedaten zur Verfügung.

    Die Level gehen von Vollständig, Erweitert, Einfach zu Sicherheit.

    Für mehr Akzeptanz von Windows 10 und um den eigenen digitalen Fußabdruck zu verkleinern, sollte das Level "Sicherheit" gesetzt werden.

    Sofern bereits Windows 10 ab dem Build 1909 eingesetzt wird, gibt es nach dem 9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2019 nur noch eine Kommunikation zu Updateservern und zur Zertifikatsprüfung.

    Noch verbliebene Diagnosedaten können über "Einstellungen" unter "Datenschutz" im Menüpunkt "Diagnose und Feedback" angezeigt (Diagnosedaten anzeigen) und gelöscht (Diagnosedaten löschen) werden.

    Abbildung der Optionen in Windows 10 zum Löschen der Diagnosedaten.

    Microsoft 365 Anwendungen (früher Office 365 Desktop-Anwendung)

    Microsoft ermöglicht die Übermittlungen der Diagnosedaten zu kontrollieren. Dazu empfiehlt es sich Office 365 zentral zu verwalten.

    Als Optionen kann gewählt werden "Erforderlich", "Optional" sowie "Weder noch".

    Für mehr Akzeptanz von Microsoft 365 Anwendungen und um den eigenen digitalen Fußabdruck zu verkleinern, sollte das Level "Weder noch" gesetzt werden, jedoch kann für einige Nutzergruppen für die Zugriff auf bestimmte Funktionen auch das Level "Optional" notwendig sein.

    Frühere Versionen von Office 365 (vor dem Build 1904) und Office 2019 oder früher bieten leider keine Möglichkeit das Senden der Diagnosedaten an Microsoft über Gruppenrichtlinien oder Einstellungen in der Anwendung selbst zu unterbinden. Es können jedoch die übermittelten Diagnosedaten über einen Viewer  einsehen.

    • Anleitung  zu den Datenschutzeinstellungen für Windows, Mac, Web und iOS. Der Weg zu den Einstellungen bei Android ist ähnlich.

    Zentrales Management von Microsoft 365 Anwendungen

    Die Einstellungen für Microsoft 365 Anwendungen können auch zentral für alle Nutzer der Einrichtung ohne ein Management über eine Gruppenrichtlinie aus einem Active Directory über den Cloud Policy Manager eingestellt werden.

    Verbundene Erfahrungen und Dienste

    Im Hinblick auf die Datenschutzbedürfnisse vor Ort sollten Sie entscheiden, ob sie etwa für den Bereich der Verwaltung Funktionen nicht bereitstellen.

    Hintergrundinformationen

    • Studie  zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 des Bundesamtes für Sicherheit in der Informationstechnik
    • Gutachten im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit von Pvacy Company zu Datenschutzrisiken von Microsoft Windows 10 Enterprise, Office 365 ProPlus und Office Online

    Microsoft hat eine umfassende Strategie für die Barrierefreiheit in Produkten und Diensten.

    Es gibt Bedienhilfen wie Sprachausgabe und Tastenkombinationen bei Office-Apps oder für Teams.

    Konformitätsberichte zu den Produkten werden regelmäßig aktualisiert veröffentlicht.

    Mit den Office-Anwendungen können Dokumente barrierefrei erstellt werden.

    Grundsätzlich gilt, dass Sie Barrierefreiheit einfacher und besser durch die Nutzung von Formatvorlagen und Folienmaster erreichen können.

    Informationen stellt Microsoft etwa bereit für

    Ebenso verfügen die Programme über eine Barrierefreiheitsprüfung für die erstellten Dokumente.

    Thema Kontaktpersonen First-Level Kontaktpersonen Secound-Level
    Vertriebsfragen Handelspartner Microsoft
    Bezugsfragen Hochschulintern Handelspartner
    Datenschutzfragen von Betroffenen

    Datenschutzbeauftragte der Teilnehmer sowie von Microsoft

    Microsoft soweit Auftragsverarbeiter
    Allgemeine Datenschutzfragen Datenschutzbeauftragte Stabsstellen IT-Recht
    Rechtsfragen Rahmenvertrag Arbeitskreise Softwarelizenzen Stabsstellen IT-Recht
    Allgemeine Fragen zum Rahmenvertrag Arbeitskreise Softwarelizenzen Stabsstellen IT-Recht
    Lizenzfragen Arbeitskreise Softwarelizenzen Microsoft
    Lizenzgutachter
    Stabsstellen IT-Recht