News

Compliance Einstellungen in Microsoft 365: Alle für die Compliance relevanten Aspekte werden berücksichtigt

Kategorie: Datenschutz

Alle für die Compliance relevanten Aspekte werden berücksichtigt

Microsoft 365 hat einen neuen Compliance Manager in öffentlicher Vorschau (Preview) zur Verfügung gestellt, damit Unternehmen die erforderlichen Schritte und notwendigen Maßnahmen identifizieren und verpflichtende Anforderungen der DSGVO umsetzen können. 

Unternehmen, die Microsoft-Cloud-Dienste verwenden und über eine E1, E3 oder E5 Enterprise Lizenz in Office 365 und Microsoft 365 verfügen, können über das Dashboard zentralisiert Sicherheits- und Compliance-Anforderungen erfüllen hinsichtlich der Kontrollimplementierungen von Office 365, DSGVO und Zertifizierungen nach ISO27001 oder ISO 27018 etc. 
Organisationen, die die öffentliche Vorschau verwenden, benötigen eine neue Lizenz ab dem Zeitpunkt, ab dem die Datenschutzverwaltung der Allgemeinheit zur Verfügung stehen wird. 

Es werden alle für die Compliance relevanten Aspekte berücksichtigt wie Echtzeit Risikobewertungen, Status Compliance-Niveau versus Regulierungsanforderungen oder auch Reporting-Auditberichte.
Verantwortliche erhalten durch das Datenschutzmanagement Unterstützung, personenbezogene Daten in Microsoft 365 zu erkennen, zu verstehen und zu verwalten, Datenschutzrisiken zu erfassen und Anträge zu den Betroffenenrechten zu bearbeiten.

Das Konzept der neuen Datenschutzverwaltung beginnt mit dem Erkennen von personenbezogenen Daten im Datenbestand der genutzten Microsoft-365-Umgebung und besteht gemäß des Information Protection und Governance-Zyklus von Microsoft aus den Schritten „Know your data“, „Protect your data“, „Prevent Data Loss“ und „Govern your data“. 


Im Folgenden werden die ersten Schritte beschrieben zum Einrichten der Datenschutzverwaltung mit der kostenlosen Testversion: 

I. Einrichten der Datenschutzverwaltung und Festlegen der Berechtigungen und Rollen für Nutzer

Die kostenlose Testversion dauert einen Monat, kann aber während der öffentlichen Vorschau kostenlos verlängert werden. Nach der Konfiguration müssen mindestens 30 Minuten abgewartet werden, damit alle Funktionen eingespielt sind. Danach werden zusätzlich 24 Stunden benötigt, damit das Datenschutzmanagement vollumfänglich genutzt werden kann.
Im Rahmen der rollenbasierten Zugriffsmöglichkeit (RBAC) können nur Nutzer auf den Compliance Manager zugreifen, denen zuvor eine Rolle zugewiesen wurde. Daher ist es sinnvoll, dass der globale Administrator bei der ersten Verwendung der Daten-schutzverwaltung im Compliance Center Benutzerberechtigungen vergibt. 

II. Verwalten der Datenschutzeinstellungen

Die Datenschutzadministratoren sind befugt, alle Einstellungen für die Datenschutzverwaltung zu konfigurieren über das Zahnrad in der oberen rechten Ecke auf der Hauptseite der Datenschutzverwaltung. Das betrifft u.a. globale Einstellungen für die Anonymisierung, E-Mail-Einstellungen und Zusammenarbeit in Teams.
So können etwa die Benutzernamen anonymisiert werden und im Portal Informationen von diesen in anonymisierter Form eingesehen werden.
E-Mail-Benachrichtigungen können so eingestellt werden, dass die Datenschutzverwaltung eine E-Mail an den betroffenen Benutzer sendet mit entsprechenden Korrekturmaßnahmen und einem Link zur passenden Datenschutzschulung. Bei Erstellung der Richtlinien werden bereits Häufigkeit der E-Mails und URL der Schulung festgelegt.

III. Übersicht der personenbezogenen Daten

Die Seite „Übersicht“ zeigt nach Anmeldung bei der Datenschutzverwaltung die in der Microsoft 365-Umgebung gespeicherten personenbezogenen Daten, anhand derer Risikoszenarien identifiziert und entsprechende Maßnahmen definiert werden können. 

IV. Erstellung von Richtlinien

Standardmäßig werden drei Richtlinien erstellt mit Vorlagen für die Datenminimierung, Datenüberlastung und Datenübertragung, die aktiviert sind, jedoch keine automatischen Wartungsaufforderungen auslösen. Es können auch eigene Richtlinien angepasst werden, indem eine der Vorlagen als Ausgangspunkt verwendet werden.
Sinn der Richtlinien ist, Datenschutzrisiken zu identifizieren und anhand der resultierenden Warnungen Probleme zu beheben. Dazu muss auf die Seite „Warnungen“ zurückgegriffen werden. Hier ist eine filterbare Liste von Warnungen, die von der Richt-linie generiert wurde, überprüfbar.
Mit der Richtlinie Datenübertragung (Policy Datatransfer) ist es beispielsweise möglich zu überwachen, ob Daten z. B. in die USA übertragen werden. Um entsprechende Warnungen über ein hohes Risiko wegen eines Transfers in unsichere Drittländer zu erhalten, werden die Benachrichtigungen entsprechend mit dem security level „hight“ konfiguriert.

V. Verwaltung von Antragstellerrechten

Anfragen zu Betroffenenrechten, bisher auch über das eDiscovery zu verwalten, können im neuen Datenschutzmanagement mit einigen Ergänzungen umgesetzt werden. 
Bei einem neuen Vorgang kann beispielsweise automatisch ein Teams Team angelegt werden, auf das der beteiligte Personenkreis Zugriff hat. Da außer Microsoft 365 auch immer zusätzliche Systeme personenbezogene Daten in diesem Zusammenhang verarbeiten, müssen diese Daten zusammengeführt werden, um die Betroffenen umfänglich informieren zu können. 
Jedes Mal, wenn eine Anfrage für Subjektrechte erstellt wird, wird ein zugehöriges Team erstellt. Benutzer können einem Team über die Registerkarte „Mitarbeiter“ der Anfrage hinzugefügt werden. 
Bei einer konkreten Anfrage eines Betroffenen wird zunächst dieser mit Name und Wohnort registriert. Zusätzlich muss er klassifiziert werden und einer Kategorie wie Kunde, Mitarbeiter, ehemaliger Mitarbeiter zugefügt werden. Anschließend wir die Art der Anfrage, z.B. Wunsch auf Export der Daten ausgewählt und die Beschreibung der Betroffenenfrage eingetragen.  
Nach Fertigstellung kann in die Übersicht über die Betroffenenanfragen im neuen Dashboard Einsicht genommen werden. Zusätzlich können Nutzer eingebunden werden, um den Datenschutz zu stärken und im Team gemeinsam bei Anträgen auf Rechte von Antragstellern zusammen zu arbeiten. Die vorgenannten Schritte können zunächst im Testmodus ausgeführt wer-den. Falls die Richtlinien direkt aktiviert werden sollen, empfiehlt es sich, zuvor alle Mitarbeiter zu informieren, damit diese keine überraschenden E-Mails über Warnungen erhalten.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download