Warum Microsoft 365 für Anwälte möglicherweise keine gute Wahl ist: Ein genauerer Blick lohnt sich!
Anwälte und Microsoft 365: Passt das zusammen?
Als Rechtsanwältin oder Rechtsanwalt kommt man ohne eine gute Office-Suite, ganz egal von welchem Hersteller, schwer aus. Ein Produkt mit hohem Marktanteil ist Microsoft 365. Doch wie sicher ist Microsoft 365 für Kanzleien?
Microsoft 365 ist eine Software-Komplettlösung von Microsoft. Nachdem Office-Anwendungen in früherer Zeit vor allem lokal auf dem Rechner zur Anwendung kamen, laufen seit Einführung von Office 365 Office-Anwendungen in der Cloud, was gemeinsames Arbeiten erheblich vereinfacht. Von Beginn an gab es auch Datenschutzbedenken, wenn Daten nicht mehr lokal gespeichert werden, sondern auf Servern von Microsoft ausserhalb des Unternehmens, womöglich in den USA.
2023 erhielt Microsoft sogar den BigBrotherAward. Begründung: Das Unternehmen zwinge mit seiner Marktmacht Menschen, Unternehmen und Behörden, „bei deren digitalen Aktivitäten dauernd Daten in die USA zu übermitteln und sich dadurch in Echtzeit überwachbar zu machen“. Nach dem Verdrängen von Alternativen würden Anwender nun auch gezwungen, beim Betrieb der Software die Microsoft-eigene Cloud zu nutzen. Das US-Unternehmen kontrolliere „praktisch die gesamte Datenverarbeitung“. Schon zuvor erhielt Microsoft den Negativaward: Im Jahr 2002 den BigBrother-Lifetime-Award für eine Urheberrechts-Kontrolltechnologie, 2018, „weil Windows 10 sich dauernd mit der Firmenzentrale in den USA austauscht“.
Microsoft spricht hingegen im Zusammenhang mit seinem Produkt Microsoft 365 mit seinen „innovativen Office-Anwendungen“ und „intelligenten Clouddiensten“ von „erstklassiger Sicherheit“.
Welche Microsoft-Dienste wurden gehackt?
Vor kurzem wurde Microsoft allerdings auch Opfer einer Cyberattacke. Im Mai verzeichneten Mitarbeiter einer US-amerikanischen Regierungsbehörde seltsame Zugriffe auf ihre Exchange-Outlook-Konten in der Cloud-Umgebung von Microsoft 365. Eine Sicherheitsanalyse ergab dann, dass mutmasslich Angreifer aus China den Mailservice von Microsoft gehackt hatten. Die Angreifer stahlen einen Sicherheitsschlüssel, mit dem sie sich selbst Zugangstoken für den Exchange-Online-Konten ausstellen konnten. E-Mails von 25 Organisationen, darunter auch europäischen Regierungsbehörden, konnten so mitgelesen werden.
Analysten des Sicherheitsunternehmen Wiz zufolge sind alle Dienste der Microsoft-Cloud betroffen und extrem gefährdet, das heisst unter anderem Outlook, Sharepoint, Office365, Teams, Onedrive und Drittanwendungen, die von der Funktionalität „Login with Microsoft“ Gebrauch machen. Microsoft erklärte, es seien nur die Dienste Outlook.com und Exchange Online zeitweise betroffen gewesen.
Microsoft wirbt mit Sicherheit und EU-Datenschutz
Der BigBrotherAward bemängelt, die Wirtschaft verlasse sich fast ausschliesslich auf Microsoft-Produkte. Allein Windows komme in mehr als drei Viertel aller Unternehmen zum Einsatz. Gleichzeitig bleibe offen, welche Daten Microsoft für eigene Zwecke verwende.
Microsoft wirbt damit, dass man Microsoft 365 DSGVO-konform einsetzen könne. Microsoft habe Musterklauseln der Europäischen Union (EU) implementiert und sei im Rahmen des Privacy Shield-Framework (EU-US-Datenschutzschild) zwischen der EU und den USA zertifiziert. Anwenderinnen und Anwendern in Nicht-EU-Ländern wie der Schweiz, die kein EU-Mitglied ist, bringt dies jedoch wenig.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland hat im November 2022 entschieden, dass Microsoft 365 nicht mit der DSGVO in Einklang zu bringen sei. So würden bei Updates Tausende Software-Änderungen vorgenommen, die weder dokumentiert noch transparent seien. Ausserdem seien die Vertragsbedingungen ebenso unklar, wie die Frage, auf welche Unterauftragnehmer zurückgegriffen wird und welche personenbezogenen Daten an diese übermittelt werden.
Die Informationen zum Datenschutz bei Microsoft 365 verteilen sich auf verschiedene Orte, und zwar das „Microsoft DSGVO E-Book“, einer Orientierungshilfe rund um die DSGO in Bezug auf die Microsoft 365 Services“, die Datenschutzbestimmungen für Microsoft-Onlinedienste, das Microsoft Data Privacy Addendum und weiteren „Informationen über die Notwendigkeit und Kontrollmöglichkeiten von Diagnosedaten“. Im 30-seitigen Microsoft DSGVO E-Book verspricht Microsoft, dass sich mit Office 365 „der Nutzen, personenbezogene Daten ausserhalb der EU zu übermitteln“ reduzieren lasse. Aus dem einstigen Office wurde Microsoft 365. Zu Microsoft 365 gehören sowohl cloudbasierte Produktivitätstools als auch Features, die mit Künstlicher Intelligenz arbeiten.
Einsatz von Künstlicher Intelligenz
Eine Neuigkeit bei Microsoft 365 ist der Microsoft 365 Copilot. Nach Angaben von Microsoft handelt es sich dabei um einen „intelligente[n] Begleiter“, der in die vom Nutzer „täglich genutzten Apps wie z. B. Word, Excel, PowerPoint, Outlook und Teams integriert ist“. Der Microsoft 365 Copilot verbinde „das Potenzial von Sprachmodellen mit … Geschäftsdaten und dem richtigen Kontext – einschliesslich“ aller „Microsoft 365 Apps, Dokumente und Unterhaltungen“. Der Microsoft 365 Copilot arbeitet wie der KI-Chatbot ChatGPT mit sogenannten Large Language Models (LLM). Der Copilot arbeitet nebenher, aber beinhaltet auch den Business Chat, der mit LLM, den Microsoft 365-Apps und „Daten von Nutzer*innen (wie Kalender, E-Mails, Chats, Dokumente und Kontakte)“ arbeitet.
LLMs sind in der Lage, Text automatisiert zu verarbeiten oder zu produzieren. Sie können Texte generieren, bearbeiten, aber auch verarbeiten, zum Beispiel in Form von Wort- und Textklassifikation, Stimmungsanalyse oder sogenannter Entitätenextraktion, also durch Markierung von Begriffen im Text und Zuordnung der Begriffe zu einer Kategorie.
Welche Implikationen der Einsatz eines KI-Tools wie ChatGPT für Rechtsanwältinnen und Rechtsanwälte mit sich bringt, können Sie in unserem Beitrag ChatGPT – neuer Sagen für die Anwaltschaft? nachlesen.
Aus Datenschutzsicht kritisch zu sehen
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich grosse KI-Sprachmodelle wie LLM näher angeschaut. Nach Ansicht der Behörde stellen diese „eine Chance für die Digitalisierung“ dar. Andererseits berge der Einsatz von „grossen KI-Sprachmodellen neuartige IT-Sicherheitsrisiken“ und verstärke „das Bedrohungspotenzial einiger bekannter IT-Sicherheitsbedrohungen“.
Das BSI schreibt zu LLMs, die auch bei Microsoft 365 zum Einsatz kommen: „Unternehmen oder Behörden, die über die Integration von LLMs in ihre Arbeitsabläufe nachdenken“, sollten „eine Risikoanalyse für ihren konkreten Anwendungsfall durchführen“ und Risiken, die in einem Positionspapier des BSI näher ausgeführt werden, „dahingehend evaluieren, ob diese für ihre Arbeitsabläufe eine Gefahr darstellen. Darauf aufbauend sollten existierende Sicherheitsmassnahmen angepasst werden. Grundsätzlich sollten KI-Sprachmodelle aus Sicht des BSI derzeit als Werkzeuge betrachtet werden, deren Ergebnisse, etwa bei der Erstellung von Programmcode oder Texten, durch eine menschliche Intelligenz überprüft werden sollten.“
Rechtsanwältinnen und Rechtsanwälte tragen Verantwortung für die personenbezogenen Daten ihrer Mandantinnen
Wer als Rechtsanwalt oder Rechtsanwältin LLMs einsetzt, muss zuvor die nach Artikel 7 DSGVO erforderliche Einwilligung einholen. Mit einer herkömmlichen, einfachen Anwaltsvollmacht ist es dabei aber nicht getan. Unter Umständen müssen Kanzleien, die LLM einsetzen, ihre Datenschutzerklärungen und Vollmachtdokumente anpassen. In einer „Checkliste zur DSGVO-Bereitschaft“ von Microsoft heisst es denn auch unter „Bedingungen für Datensammlung und -verarbeitung“: „Wann wird Zustimmung eingeholt?“. Microsoft rät dazu, den Zweck der Verarbeitung von Daten identifizieren und zu dokumentieren und eine „Datenschutz-Folgeabschätzung“ vorzunehmen. Weiter heisst es dort, Office 365 sei ein „Produkt, zu dem ein Kunde u. U. ein Verzeichnis mit Informationen zu Verarbeitungstätigkeiten für Datenverarbeiter benötigt“
Eingabe vertraulicher Daten versus Schutz von Daten der Mandantschaft
Eine Speicherung mitunter sensibler Daten in einer Cloud ist potentiell immer riskanter als eine Speicherung von Daten in einer On-Premise-Lösung, auf die Fremde keinen Zugriff haben und die man selbst kontrollieren kann.
Amt für Informationstechnik spricht bei LLM von „Black Box“
Kanzleien sollten sich gut überlegen, welche Informationen, Betriebs- und Geschäftsgeheimnisse, Überlegungen, Pläne oder Mandantendaten sie in ein KI-System eingeben. Denn auch als User weit verbreiteter Microsoft-Produkte weiss man letztlich nicht genau, was mit diesen Daten am Ende passiert. Das BSI spricht im Zusammenhang mit LLM von einem „Black-Box-Charakter“. Rechtsanwältinnen und Rechtsanwälte gehen in besonderem Masse mit vertraulichen Daten um.
Bei Verschlusssachen besondere Vorkehrungen notwendig
Laut BSI fliessen, wenn ein LLM im Zusammenhang mit einer API eingesetzt wird, „alle Eingaben, die an das LLM getätigt werden, zunächst an den Betreiber des Modells ab.“ Inwiefern der Betreiber, in diesem Fall Microsoft, „auf die Daten zugreift und sie z.B. zum weiteren Training des Modells nutzt und speichert“ sei von Modell zu Modell unterschiedlich geregelt. Einige LLMs böten zudem die Möglichkeit, für eine bessere Funktionalität gegebenenfalls unbemerkt vom Nutzenden auf Plug-Ins zuzugreifen; auch bei Microsoft 365 gibt es sogenannte Add-Ins. Nach Angaben des BSI besteht beim Einsatz von Plug-Ins „zusätzlich die Gefahr, dass eingegebene Daten an unbekannte Dritte weitergegeben werden. Die Nutzung eines LLM via einer externen API ist also insbesondere bei der Verarbeitung von sensiblen und vertraulichen Informationen kritisch zu hinterfragen; die Verarbeitung von eingestuften Informationen ist ohne weitere Massnahmen unzulässig.“ Microsoft klärt zu Add-Ins für Microsoft 365-Programmen auf, dass „Add-Ins von Angreifern verwendet werden können, um Ihrem Computer Schaden zuzufügen“.
Fazit:
Microsoft 365 bietet also die Chance auf Produktivitätssteigerung und Einsparungen. Datenspeicherung in der Cloud, undurchschaubare KI und intransparente Datenverarbeitung – nicht nur aus anwaltlicher Sicht ist Microsoft 365, was den Datenschutz, aber auch Compliance betrifft, jedoch mit allerlei Risiken verbunden. Vor allem Microsofts Kommunikationspolitik im Zusammenhang mit dem jüngsten Hackerangriff weckt Zweifel daran, wie sicher Daten sind, die in der Microsoft-Cloud abgelegt werden. Rechtsanwälte haben nicht nur eigene Betriebs- und Geschäftsgeheimnisse, sondern auch die von Mandanten zu hüten und sollten sich daher gut überlegen, welchen Anwendungen sie vertrauen.
Daniel N. Solenthaler – dank seiner mehr als 30-jährigen Erfahrung in der Softwarebranche, mit Schwerpunkt auf Kanzleisoftware, sowie einem Abschluss in Betriebswirtschaft der Universität St.Gallen ist Daniel N. Solenthaler ein ausgewiesener Experte für die Digitalisierung von Anwaltskanzleien. Durch die Betreuung von Hunderten von Kanzleien verfügt er über ein umfassendes Verständnis für die Bedürfnisse der Branche und erkennt schnell Verbesserungspotenziale. Mit gezielten Prozessoptimierungen hilft er Kanzleien, effizienter, rentabler und dynamischer zu werden.