Microsoft Exchange Online datenschutzkonform nutzen

Derzeit beschäftigen sich viele Unternehmen mit der Umstellung von Microsoft Exchange zu Microsoft Exchange Online, sprich: zur Auslagerung ihrer Mail-Server in die Cloud. Dieser Cloud-Betrieb erscheint als sehr attraktiv, denn Microsoft verspricht mit Exchange Online die Aufwände für das kundeneigene IT-Team signifikant zu reduzieren. Tatsächlich bedarf es viel Zeit und Mühe, die lokale On-Premises-Version von Exchange auf dem neusten Stand zu halten, z. B. durch das Einspielen regelmäßiger Patches und Aktualisierungen. Bei der Cloud-Version Exchange Online verspricht Microsoft eine hohe Verfügbarkeitsgarantie, wie sie die eigene IT-Mannschaft – schon wegen sämtlicher Einflussfaktoren wie Ressourcen, Infrastruktur und Hardware – praktisch gar nicht bieten kann, so das Fachportal computerweekly.

Was Sie bei der Umstellung auf Microsoft Exchange Online unbedingt beachten sollten

Es lohnt sich auf jeden Fall, mögliche Risiken und funktionale Einschränkungen vor der Entscheidung über eine langfristige Cloudstrategie bei den Mailservern intensiver zu betrachten.

Zum Ersten ist festzustellen, dass eine reine Exchange-Online-Archivumgebung aufgrund des fehlenden Journaling-Verfahrens nicht als rechtskonform anerkannt wird. Um dieses Problem zu lösen, muss zwingend ein externes Postfach verwendet werden (Hybrid-Ansatz). Darüber hinaus erfolgt in Exchange Online keine Indizierung der zu archivierenden Dokumente und es erfolgt auch keine OCR-Umsetzung für die nicht maschinenlesbaren Dateianhänge. Dadurch wiederum steht den Anwendern nur eine sehr eingeschränkte Suche zur Verfügung.

Ferner ist eine selbstständige Rückholung durch den Anwender mit Exchange Online nicht möglich. Last but not least, die fehlende Auditfähigkeit: Die Suche über mehrere Mailboxen hinweg ist in Office 365 nicht vorgesehen.

Cloud-Dienste und Compliance – wie sieht's aus beim Datenschutz?

Im Zuge der digitalen Transformation nehmen „as a service“-Modelle an Zahl und Attraktivität zu. Dienstleistungen zu mieten statt Produkte zuzukaufen heißt, Bedarfe flexibel anpassen zu können und somit agil zu bleiben oder zu werden. Unternehmen abonnieren dabei Software-Lösungen über die Cloud und müssen sie nicht mehr lokal auf sämtlichen Rechnern von Mitarbeitern installieren.

Gemäß Definition der DSGVO agieren Cloudanbieter als Auftragsverarbeiter. Hier trifft also deutsches Recht (z. B. DSGVO) mit der US-Rechtsprechung und somit mit dem grundsätzlich anders gefasstem US Corporate Law aufeinander. Die Gemengelage aus komplizierten technischen und rechtlichen Aspekten erfordert eine neutrale Bewertung jeder individuellen Situation.

Nachdem der Europäische Gerichtshof (EuGH) erst Safe Harbor und im Sommer 2020 auch die Nachfolgeregelung Privacy Shield für nichtig erklärt hat, ist die rechtskonforme Nutzung von Cloudservices US-amerikanischer Anbieter mehr als fraglich.

Die zuletzt 2019 überarbeitete Version der GoBD erlaubt zwar ausdrücklich den Einsatz von Cloud-Diensten, doch bieten nach deutschem Recht die großen drei US-Cloud-Provider Microsoft, Amazon und Google bis heute keine überzeugenden Konzepte für das Aufbewahren steuerrelevanter Unterlagen. Schließlich ist es nach US-Recht jederzeit möglich, dass sich US-Ermittlungsbehörden Zugriff auf die Kundendaten der nationalen Cloud-Anbieter verschaffen, selbst dann, wenn diese Daten außerhalb des US-Hoheitsgebiets verwaltet werden (Clarifying Lawful Overseas Use of Data Act).

Die DSK (deutsche Datenschutzkonferenz) warnt über diesen Sachverhalt ausdrücklich in Bezug auf DSGVO-Konformität, denn als deutsches Unternehmen besteht derzeit keine juristische Möglichkeit, sich gegen diese Praxis zu wehren. (Quelle: Dr. Thomas Schwenke / Datenschutz-Generator.de, 07.10.2020

Nach den millionenschweren Bußgeldbescheiden gegen die Unternehmen 1&1 Telecom und Deutsche Wohnen sollte jedem IT-Verantwortlichen klar sein, welche erheblichen finanziellen Risiken bei sorglosem Umgang mit sensiblen personenbezogenen Daten entstehen.

Mit professionellem E-Mail-Management zur Rechtskonformität

Eine ideale Lösung der zuvor beschriebenen Probleme stellt das E-Mail-Management mit der Software dataglobal CS dar. Diese  Software dockt direkt an Microsoft Exchange Online an und holt sämtliche E-Mails samt Anhängen ab. Damit schafft sie Vertraulichkeit, da sie Daten vor potenziellen Zugriffen, beispielsweise durch US-Ermittlungsbehörden, schützt. Darüber hinaus bietet die dataglobal CS weitreichende funktionale Zusatznutzen.

Der deutsche Softwarespezialist dataglobal, mit Sitz in Heilbronn, hat zu diesem Themenbereich ein aktuelles und lesenswertes Whitepaper verfasst, das Sie sich >>> hier kostenlos herunterladen können.