Datenschutzkonforme Nutzung von Microsoft Forms – Eine Guideline für Umfrage-Ersteller

Microsoft Forms bietet eine flexible Plattform für Umfragen und Quizze – sowohl innerhalb von Organisationen als auch extern über Links oder Website-Einbettungen. Doch wie lässt sich Microsoft Forms datenschutzkonform nutzen? Die folgenden Empfehlungen bieten eine Übersicht der wichtigsten Datenschutzaspekte und Maßnahmen.

1. Datenschutzverantwortliche definieren:

Vor jeder Umfrage ist das datenschutzrechtliche Verhältnis zwischen allen beteiligten Parteien festzulegen. Besonders bei der gemeinsamen Nutzung von Microsoft Forms durch Unternehmen oder Institutionen ist zu klären, wer als Verantwortlicher, Auftragsverarbeiter oder Mitverantwortlicher (Joint Controller) nach der DSGVO fungiert:

Verantwortlicher: Wenn ein Unternehmen alleine oder gemeinsam mit anderen die Zwecke und Mittel der Datenverarbeitung festlegt, übernimmt es die datenschutzrechtliche Verantwortung.

Auftragsverarbeiter: Bietet ein Unternehmen z.B. nur technische Unterstützung ohne eigene Interessen an der Datennutzung, bleibt die Verantwortung beim Auftraggeber. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist dann erforderlich.

Joint-Controller: Falls beide Parteien eigene Interessen an der Datenerhebung verfolgen und aktiv an der Umfragegestaltung beteiligt sind, sollte ein Joint-Controller-Vertrag nach Art. 26 DSGVO abgeschlossen werden.

2. Anonymität und Identifizierbarkeit sicherstellen:

Zur Minimierung von Datenschutzrisiken sollten Umfrage-Ersteller darauf achten, dass Microsoft Forms-Umfragen keine identifizierbaren Informationen sammeln. Besondere Aufmerksamkeit verdienen folgende Punkte:

Vermeintliche Anonymität: Selbst bei vermeintlich anonymen Umfragen können bestimmte Antworten Rückschlüsse auf Personen ermöglichen, z. B. bei seltenen Merkmalen in kleinen Personengruppen.

Nutzeridentifikation im Tenant: Umfragen, die im Microsoft-Tenant eines Unternehmens durchgeführt werden, könnten den Namen des eingeloggten Microsoft 365-Nutzers erfassen. Teilnehmer sollten daher darüber informiert werden und die Empfehlung erhalten, sich vor der Teilnahme aus ihrem Microsoft-Konto abzumelden.

3. Handlungsempfehlungen für die datenschutzkonforme Nutzung von Microsoft Forms

Ein klarer organisatorischer Rahmen für die Nutzung von Microsoft Forms im Unternehmen kann helfen, Datenschutzanforderungen konsequent umzusetzen:

Identifizierbare Daten vermeiden: Umfragen sollten, wenn möglich, anonym oder pseudonymisiert gestaltet sein. Bei personenbezogenen Umfragen ist eine Absprache mit dem Datenschutzbeauftragten ratsam, und eine Dokumentation im Verfahrensverzeichnis kann die Nachvollziehbarkeit gewährleisten.

Informationspflichten einhalten: Teilnehmer sollten zu Beginn der Umfrage oder auf einer verlinkten Webseite über die Datenverarbeitung informiert werden, insbesondere zur Anonymität und zur Handhabung von Freitextfeldern.

Anonymität sicherstellen: Teilnehmern sollte empfohlen werden, sich vor der Teilnahme von ihrem Microsoft 365-Konto abzumelden. Um die Rückführbarkeit von Antworten zu verhindern, sollten Administratoren keine Umfragen erstellen oder auf die Antworten zugreifen.

4. Datenschutzfreundliche Voreinstellungen in Microsoft Forms

Einige Einstellungen in Microsoft Forms tragen zur datenschutzkonformen Nutzung bei:

Eingeschränkter Zugriff auf Microsoft Forms: Um die Einhaltung von Datenschutzstandards zu fördern, sollte der Zugriff auf Microsoft Forms auf bestimmte Nutzergruppen oder Abteilungen beschränkt werden.

Deaktivierung der Nutzeridentifikation: In den Admin-Einstellungen kann die automatische Erfassung von Teilnehmernamen abgeschaltet werden, um Anonymität zu gewährleisten.

Drittanbieterinhalte vermeiden: Um Datenübertragungen an Dritte zu vermeiden, sollten eingebettete Inhalte wie YouTube- oder Bing-Elemente deaktiviert werden, solange kein Einwilligungsmanagement eingebunden ist.

Consent-Management einbinden: Da Microsoft Forms selbst kein Consent-Management anbietet, sollte das Einbetten der Umfrage auf einer unternehmenseigenen Webseite mit Einwilligungsmanagement in Betracht gezogen werden.

Fazit: Richtig konfiguriert und eingesetzt, kann Microsoft Forms einigermaßen datenschutzkonform eingesetzt werden.