Datenschutzaspekte bei der Einführung von Microsoft 365

Die Zeiten, in denen man bei Microsoft Office Produkten nur noch an Word, Excel und PowerPoint denkt, sind bereits lange vorbei. Die Produktpalette ist in der Zwischenzeit deutlich gewachsen und mit ihr auch die Möglichkeiten.
Zur Palette gehören heute Analysen, Statistiken, Workflows, Dokumente, Formulare, Prozesse, verschiedene Arten der Kommunikation, Kooperation, Kollaboration… Alles zusammengefasst unter dem Begriff Microsoft 365. Diese Sammlung enthält alles, was moderne Unternehmen benötigen. Von einem Anbieter, cloudbasiert, überall und jederzeit verfügbar und nach aktuellem Stand alternativlos.

Eingebettet sind all diese Applikationen in den sogenannten Graph. Microsoft Office Graph ist ein cloudbasiertes Backend-Werkzeug innerhalb der Microsoft Office 365 Suite, das die Suche in verschiedenen Quellen automatisch vernetzt und erleichtert. Es wendet maschinelle Lernverfahren auf Interaktionen und Inhalte von Unternehmen an und macht diese für Nutzer leichter zugänglich. Graph „beobachtet“ das Tun der Nutzer. Jede Form der Nutzung wird als sogenanntes „Signal“ von Graph interpretiert und mit Merkmalen versehen in einem Index gespeichert.
Graph beurteilt und bewertet diese Signale und gewinnt daraus z. B. die Erkenntnis, wer mit wem besonders viel zusammenarbeitet, kommuniziert, wer gemeinsam Dateien bearbeitet etc. Das Programm versucht also, das Netz der Beziehungen zwischen den Benutzern zu erkennen und zu verstehen, in welcher Weise und welcher Intensität die unterschiedlichen Benutzer interagieren. Damit beginnen dann auch die Herausforderungen bei der Einführung von Microsoft 365.

Um Ihnen einen Überblick über die notwendigen Schritte zu geben, haben wir Ihnen im Folgenden eine Übersicht zum empfohlenen Vorgehen erstellt:

1. Cloudstrategie
Legen Sie eine zentrale Strategie für die Cloudverwendung in Ihrem Unternehmen fest, in der Verantwortlichkeiten, Architektur, Rahmenbedingungen, Risikobetrachtungen, Verschlüsselung, Geolokation und weitere Inhalte festgelegt werden. Sonst besteht die Gefahr, dass sehr schnell ein sehr großer Teil Ihrer Daten das Unternehmen in Richtung Cloud verlassen und Sie im Nachhinein nur noch bedingt Einflussmöglichkeiten haben.

2. Auswertung und Administration
Identifizieren Sie Prozesse im Bereich Leistungs- und Verhaltenskontrolle und betrachten Sie bestehende Regelungen sowie Betriebsvereinbarungen. Erfassen Sie, welche Dienste Sie tatsächlich nutzen und in welchem Umfang diese zum Einsatz kommen. Bedenken Sie auch, dass Administratorenrechte überprüft werden müssen und hier entsprechende Vertraulichkeits- und Geheimhaltungsvereinbarungen notwendig sind. Idealerweise ist die ordnungsgemäße IT-Administration in einer unternehmensinternen IT-Richtlinie festgehalten, um Zuständigkeiten, Berechtigungen und Aufgaben klar zu definieren.

3. Rahmenbedingungen für den Einsatz von Applikationen
Ein Handbuch mit Praxisbeispielen und Hinweisen zur Nutzung schafft Handlungssicherheit. Mit den entsprechenden Richtlinien und Checklisten bzgl. des Einsatzes bestimmter Dienste, wie zum Beispiel dem Einsatz von Teams im Personalbereich, schaffen Sie Rechtssicherheit.

4. Auswertung von Vorkommnissen
Die Aufarbeitung von sicherheits- oder datenschutzrelevanten Vorkommnissen (Fehlbedienungen, falsche Datenablagen o.ä.) sichert die kontinuierliche Verbesserung und hilft Ihnen dabei, Ihre Dokumente und Ihre Schulungen dementsprechend anzupassen.

5. Lösch- und Berechtigungskonzept
Selbstverständlich unterliegen auch alle in Microsoft 365 verarbeiteten Protokoll- und Inhaltsdaten den Lösch- und Aufbewahrungsfristen und der Zugriff auf diese Daten muss über ein Berechtigungskonzept gesteuert werden.

6. Schulung und Sensibilisierung
Ihre Schulungs- und Sensibilisierungsunterlagen werden von Ihnen idealerweise zielgruppenorientiert angepasst.

7. Abstimmung
Implementieren Sie regelmäßige Abstimmungen zwischen Ihrer IT-Abteilung sowie dem Datenschutzbeauftragten und dem Informationssicherheitsbeauftragten. In diesen Runden findet dann der Abgleich von Konfigurationen mit Empfehlungen aus dem Bereich Datenschutz und Informationssicherheit statt.

8. Einstellungen
Über Ihren IT-Administrator, bzw. über Ihren Dienstleister sind umfangreiche Einstellungen vorzunehmen. Die Grundeinstellung ist wie bei vielen Produkten dieser Art „Teile alles mit, was Du mitteilen kannst!“. Also müssen die Einstellungen im Bereich Telemetrie- und Diagnosedaten, bei der Verbesserung der Benutzerfreundlichkeit, bei den Connected Services und bei der LinkedIn Integration datenschutzkonform geändert werden.

9. Deaktivierung kritischer Dienste
Die Verwendung von Workplace Analytics, MyAnalytics, Activity Reports, Delve, Graph und Co ist aus datenschutzrechtlicher Sicht zu deaktivieren.

10. Vertragswerke
Der Abschluss der von Microsoft angebotenen Vertragswerke ist genauso notwendig, wie der Abschluss der Standardvertragsklauseln. Hier sollte die Entwicklung der rechtlichen Lage im Auge behalten werden. So wurde die PrivacyShield Verordnung gekippt, die Entscheidung der Aufsichtsbehörden steht hier aber noch aus. So wurden beim Vorgänger, dem SafeHarbor Abkommen, Übergangsregelungen getroffen, bevor dann die PrivacyShield Verordnung kam. Ihr Datenschutzbeauftragter steht Ihnen hierbei mit Rat und Tat zur Seite.

Sie sehen, der Wechsel zu Microsoft 365 ist mit einigen Überlegungen und Maßnahmen verbunden, wenn man im Bereich Datenschutz und Informationssicherheit konform unterwegs bleiben möchte. Mit der richtigen Planung und Beratung im Vorfeld der Einführung, schützen Sie sich vor Konsequenzen, Sanktionen, Komplikationen, Mehraufwänden und Zusatzkosten im Nachhinein. Mit einem durchdachten Projektplan und dem richtigen Team steht dem Wechsel, der früher oder später aufgrund der Microsoft Strategie kommen wird, aber nichts im Weg.

Wir beraten Sie gerne, um Ihre Daten bei der Nutzung von Microsoft 365 sicher zu halten.
Wenden Sie sich einfach an uns.

Über den Autor

Alexander Jägers ist geschäftsführender Gesellschafter der vimopro GmbH und insbesondere in den Fachbereichen IT-Security, -Strategie und -Management tätig. Darüber hinaus ist er in IT-Sicherheitskonzepten für mittelständische Unternehmen involviert und arbeitet an Fachveröffentlichungen im Bereich digitaler Transformation.
Nach oben