Der Datenschutzbeauftragte des Kantons Zürich hat letzte Woche eine aktualisierte Version des Leitfadens «Office 365 im Bildungsbereich» veröffentlicht. Dieser Leitfaden ist auf der Webseite www.datenschutz.ch bei den Publikationen abgelegt.

In der neuen Version ist beschrieben, welche Massnahmen für Office 365 ProPlus getroffen werden können bzw. müssen, damit keine Diagnosedaten mehr an Microsoft gesendet werden und die Office 365 Nutzung für Schulen datenschutzkonform ist. Die empfohlenen Konfigurationen stützen sich auf die Verhandlungen, die das niederländische Ministerium für Justiz und Sicherheit mit Microsoft geführt hat, nachdem bekannt wurde, dass die Office Applikationen wie Word, Excel und PowerPoint unerlaubterweise Diagnosedaten erfassen und versenden.

Folgende Punkte werden im Leitfaden erwähnt:

  • Die Office 365 ProPlus Applikationen müssen auf einem aktuellen Stand gehalten werden.
  • Die Erfassung von Diagnosedaten muss deaktiviert werden.
  • Die «optionalen verbundenen Dienste» sollten konfiguriert und wenn möglich deaktiviert werden.
  • Die Teilnahme am «Programm zur Verbesserung der Benutzerfreundlichkeit» ist zu deaktivieren.

Normalerweise sind die Office 365 ProPlus Applikationen zumindest auf privaten Geräten auf einem aktuellen Stand. Je nach Konfiguration durch einen Administrator werden die Apps monatlich oder halbjährlich automatisch aktualisiert. Hier benötigt es meistens keine Anpassungen.

Die Office Apps beinhalten mehrere verbundene Dienste, die Inhalte aus unter anderem Word oder PowerPoint analysieren oder herunterladen. Beispiele dafür sind z.B. die neue Diktierfunktion in Word, Live Untertitel in PowerPoint, Übersetzungsdienste, Vorlagen aus dem Web oder Online Bilder. Eine vollständige Liste gibt es unter folgendem Link: https://docs.microsoft.com/de-de/deployoffice/privacy/connected-experiences

Nebst diesen verbundenen Diensten gibt es aber auch optional verbundene Dienste, die den Benutzern direkt unter dem Microsoft Services Agreement angeboten werden. Diese Funktionen basieren auf Bing, LinkedIn oder anderen Online Services. Die vollständige Liste gibt es unter diesem Link: https://docs.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences
Die Benutzer werden seit der Office 365 ProPlus Version 1904 oder auch in Office online beim ersten Start über diese Service aufmerksam gemacht und müssen sie bestätigen.

Alle diese Dienste können über den Office cloud policy service zentral für die Benutzer deaktiviert werden, auch wenn das Endgerät der Benutzer nicht Mitglied einer Active Directory Domäne oder Azure AD Joined ist und somit nicht verwaltet wird. Über den Office cloud policy service können ähnlich zu den Group Policies Benutzerrichtlinien für Office 365 ProPlus und Office online konfiguriert werden. Die Richtlinien werden regelmässig über den Click2Run-Dienst auf die Endgeräte übertragen:

  • Neuinstallation von Office 365 ProPlus
  • Falls noch keine Richtlinie zugewiesen ist, erneute Kontrolle alle 24 Stunden
  • Falls eine Richtlinie zugewiesen ist, Überprüfung der Richtlinie alle 90 Minuten

Eine neue oder geänderte Richtlinie wird erst nach dem Neustart der Office Applikationen aktiv.

Die Konfiguration dieser Richtlinien erfolgt über https://config.office.com.

Ein Office 365 Administrator kann sich an dieser Seite anmelden. Nach der Anmeldung können Sie auf die Seite «Richtlinienverwaltung» wechseln und dort eine neue Richtlinie erstellen.

Tragen Sie einen Namen für Ihre neue Richtlinie ein und bei Bedarf eine Beschreibung. Klicken Sie auf «Zuweisung», damit Sie auswählen können, dass diese Regel für alle Benutzer gilt. Das heisst, dass diese Regelung sowohl für angemeldete Benutzer Ihrer Schule als auch für anonyme Benutzer, die ein geteiltes Dokument Ihrer Schule über Office online anschauen angewendet wird.

Wählen Sie die gewünschte Sicherheitsgruppe aus, für die diese Richtlinie gültig ist. Beachten Sie, dass eine Richtlinie immer nur einer Gruppe zugeteilt werden kann und jede Gruppe nur eine Richtlinie zugeteilt haben kann.

Anschliessend können Sie nach den einzelnen Regeln suchen. Die Regel für die Diagnosedaten lautet «Stufe der von Office an Microsoft gesendeten Clientsoftware-Diagnosedaten konfigurieren». Aktivieren Sie diese Regel und setzen Sie die Stufe auf «Weder noch».

Die optional verbundenen Dienste finden Sie über «Die Verwendung zusätzlicher optionaler verbundener Erfahrungen in Office zulassen». Deaktivieren Sie diese Regel.

Und zuletzt können Sie noch nach dem «Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren» deaktivieren.

Beachten Sie, dass die letzte Regel nur für Windows über Office cloud policy service verwalten können. Die anderen beiden Regeln sind nebst Windows für macOS, iOS und Android gültig. Die optional verbundenen Dienste auch für Office online.

Auch wenn dieser Leitfaden nur für Schulen im Kanton Zürich gültig ist, die Office 365 nutzen, lohnt es sich trotzdem diese neuen Empfehlungen auch in anderen Kanton umzusetzen.

Weitere Links:

https://docs.microsoft.com/de-de/deployoffice/privacy/overview-privacy-controls
https://docs.microsoft.com/de-de/deployoffice/privacy/optional-connected-experiences
https://docs.microsoft.com/de-de/deployoffice/privacy/manage-privacy-controls
https://docs.microsoft.com/de-de/deployoffice/overview-office-cloud-policy-service
https://dsb.zh.ch/internet/datenschutzbeauftragter/de/home.html