Datenschutz bei Microsoft 365 – Teil 7: OneDrive & SharePoint

In diesem Teil der Serie zu Microsoft 365 stellen wir OneDrive und SharePoint vor und weisen auf die Risiken, passende Regelungen und datenschutzfreundliche Voreinstellungen hin.

Cloud Computing

Was ist Microsoft OneDrive?

Mit OneDrive bietet Microsoft (im Folgenden „MS“) die Möglichkeit Dateien und Dokumente unter Microsoft 365 (früher Office 365) komfortabel in einer Cloud abzulegen. Der Fokus von OneDrive liegt dabei auf der Verfügbarkeit und Synchronisation der Daten und dient damit auch dem Datenschutz. Verwenden Sie mehrere unterschiedliche Endgeräte, ist es Ihnen mit OneDrive möglich, mit all diesen Geräten Zugriff zu erhalten und stets mit einer konsistenten Dateiversion auf den Cloud Servern von OneDrive zu arbeiten. Die Nutzung bietet sich insbesondere an, wenn es um die eigene Verfügbarkeit der Daten geht und ein Austausch mit anderen Personen nicht im Fokus steht.

Ein Zugriff auf die Daten in OneDrive ist sowohl über die OneDrive Anwendung in Windows, als auch via Webinterface mit Ihrem Browser möglich. Für mobile Android und iOS Geräte gibt es eine entsprechende App. Neben der Verwendung als eigenem, geräteübergreifenden Speicherplatz gibt es die Möglichkeit zum Datenaustausch mit Kollegen und externen Personen. Hierfür können entsprechende Freigaben eingerichtet werden. Der Fokus dieser Dateifreigaben liegt hier auf dem Datenaustausch. Funktionen für die gemeinsame Arbeit an Dokumenten bietet OneDrive – abgesehen von der Warnung vor Versionskonflikten – nicht. Für die gemeinsame Zusammenarbeit mit Kollegen und Externen gibt es jedoch geeignetere Anwendungen wie MS Teams oder MS SharePoint.

Was ist SharePoint?

Ähnlich wie OneDrive ist auch SharePoint eine cloudbasierte Anwendung, jedoch mit Fokus auf die Zusammenarbeit mehrerer Personen. Dabei vereint SharePoint in einer webbasierten Anwendung Dokumentenmanagement und die zentralisierte Speicherung von Dateien und Dokumenten. In unserer Beratungspraxis erleben wir häufig, dass SharePoint als Wissensdatenbank für die Mitarbeiter eingesetzt wird, in der alle unternehmensrelevanten Informationen leicht zugänglich sind. Im Gegensatz zu OneDrive dient Sharepoint dem Datenaustausch und der Zusammenarbeit mehrerer Personen einer Organisation. Mit MS Teams gibt es für die Zusammenarbeit mit Kollegen jedoch inzwischen eine weitaus leistungsstärkere Anwendung, die sich in Form von Teams-Kanälen auch Share-Point-Seiten zu nutze macht.

Bei Verwendung von MS OneDrive oder SharePoint kann – wie bei allen anderen Microsoft bzw. Office 365 Produkten – eine Übermittlung von personenbezogenen Daten in ein Drittland (USA) ohne angemessenes Datenschutzniveau die Folge sein. Nähere Details finden Sie in Teil 1 unserer Serie. Vor dem Rollout ist daher zwingend eine detaillierte Betrachtung aus Datenschutzsicht notwendig, insbesondere seit dem „Schrems II“ Urteil des EuGH vom 16.07.2020.

Welche Datenschutzrisiken bestehen beim Einsatz von OneDrive und SharePoint?

Sowohl OneDrive als auch SharePoint bieten die Möglichkeit zum betriebsinternen und externen Datenaustausch. Eine unsachgemäße oder unrechtmäßige Verwendung kann daher schnell in einen Datenschutzvorfall münden. Vor der Einführung dieser Dienste sollten wenigstens folgende Themen berücksichtigt werden:

  • Vorab ist die Sicherstellung und Dokumentation eines angemessenen Schutzniveaus in den USA gemäß DS-GVO zwingend notwendig. Aufgrund der aktuellen Situation um das vom EuGH gekippte Privacy Shield Abkommen ist der Einsatz von angepassten Standard EU-Verträgen samt Garantien zwingend erforderlich.
  • Für eine datenschutzkonforme Ausgestaltung der Datenverarbeitung ist es hilfreich den Anwendungskontext und Rahmen zu definieren:
    • Welche Beschäftigten / Abteilungen sollen die Anwendung einsetzen?
    • Für welchen Zweck soll die Anwendung vornehmlich genutzt werden?
    • Welche Art von Daten werden wo abgelegt?
    • Welche Art von Daten (z.B. besonders schützenswerte Daten gemäß Artikel 9 DS-GVO) dürfen nicht abgelegt werden?
    • Wie können externe Dritte auf bereitgestellte Inhalte zugreifen?
      • Freigabelinks (nach Sensibilität der Daten mit Passwortschutz und Gültigkeitsdauer)
      • Individuelle Benutzeraccounts für externe (mit entsprechendem Berechtigungskonzept)
    • Dürfen externe Dritte Dateien und Dokumente herunterladen / hochladen, bestehende Dateien verändern und in welchem Kontext?

Anhand der gewonnenen Informationen kann nun dokumentiert werden, wie hoch der Schutzbedarf der voraussichtlich abgelegten Informationen ist. Dementsprechend ist zu prüfen, ob einer Verwendung der geplanten Anwendung nichts entgegenspricht. Für eine sichere Verwendung von OneDrive und SharePoint unter Einhaltung der DS-GVO sollten Verantwortliche ihre Mitarbeiter schulen.

Hilfreiche organisatorische Regelungen für Microsoft OneDrive und SharePoint

  • Für Beschäftigte sollten klare Nutzungs- und Verhaltensvorgaben erstellt werden, um den Umgang mit Microsoft OneDrive und SharePoint zu regeln:
    • Festlegung welche Personen / Funktionen oder Abteilungen mit den Anwendungen arbeiten dürfen
    • Dokumentation auf welchen Endgeräten die Anwendungen eingesetzt werden sollen
    • Regelung, ob ein Zugriff via Webinterface gewünscht ist und falls ja: Definition geeigneter Webbrowser, samt Unterstützung aktueller TLS Protokolle
    • Festlegung wie die jeweilige Anwendung verwendet werden soll, welche Daten hierüber geteilt werden dürfen und für welchen grundsätzlichen Kontext die Anwendung gedacht ist. Eine Dokumentenklassifizierung kann hier unterstützend wirken.
    • Erstellen und Umsetzen eines Berechtigungskonzeptes
    • Vorgaben / Richtlinien zur Einladung und Zusammenarbeit mit Kollegen und externen Dritten:
      • Hinweise, auf welchem Weg Freigabelinks verteilt werden dürfen
      • Richtlinien, wie Passwörter für Freigabelinks kommuniziert werden dürfen
      • Hinweise für Datei- und Dokumentenberechtigungen für Dritte. Umsetzung des Need-to-know Prinzips durch die Beschäftigten zusammen mit der Umsetzung von Berechtigungen (Herunter- und Hochladen / Verändern der Dokumente / reiner Lesezugriff)
      • Hinweise für Kollegen und Dritte, wie mit Freigaben und den enthaltenen Daten umzugehen ist (z.B. keine Weiterleitung von Freigabelinks und Kennwörtern)
    • Machen Sie konkrete Vorgaben in Form einer Passwortrichtlinie für die Passwortkomplexität und das Wechselintervall für Accounts und Freigabelinks.
    • Halten Sie zusätzlich Vorgaben bereit zur Ergänzung weiterer Sicherheitsinformationen bei OneDrive, SharePoint bzw. allgemein MS365 (z.B. alternative E-Mail-Adressen, Sicherheitsabfragen und Kriterien für Sicherheitsabfragen).
      • Sensibilisierung der Mitarbeiter in Bezug auf „einfache“ Sicherheitsfragen

Grundsätzlich sollte ebenfalls berücksichtigt werden, dass bei einer Neueinführung von OneDrive und SharePoint die Informationspflichten für die Betroffenengruppen ggf. angepasst werden müssen.

Datenschutzfreundliche Voreinstellungen für Microsoft OneDrive und SharePoint

Um datenschutzfreundliche Voreinstellungen in MS365 vorzunehmen, sollten Sie insbesondere folgendes beachten:

  • Die Freigabe von Dateien und Informationen sollte nach Möglichkeit nur an Benutzer mit eigenem MS365 Account erfolgen
  • Sofern Freigabelinks eingesetzt werden sollte:
    • Die Vergabe eines sicheren Passworts (gemäß Richtlinie) forciert werden.
    • Die maximale Gültigkeit eines Freigabelinks auf ≈ 14 Tage gesetzt werden.
  • Deaktivierung von Telemetrie-Daten und Daten zur Verbesserung der Anwendungen
  • Sperrung von Benutzeraccounts bei Fehleingaben der Zugangskennwörter, sofern diese Einstellungen nicht ohnehin global über MS365 getroffen wurden
  • Sperrung von Freigabelinks bei Fehleingaben der Zugangskennwörter
  • Verschlüsselung der Speicher mobiler Endgeräte (sofern nicht auf Basis der Werkseinstellungen ohnehin aktiv)
  • Konfiguration der Versionsverläufe mit Einbeziehung des Datenschutzbeauftragten
  • Verwendung der 2-Faktor-Authentifizierung via Telefon, SMS oder App
  • Prüfung der Verwendung einer zusätzlichen Verschlüsselung der Informationen, die in der Cloud abgelegt werden sollen

Die Einführung von cloudbasierten Anwendungen sollte stets in enger Kooperation mit Ihrem Datenschutzbeauftragten durchgeführt werden. So können im Vorfeld schwerwiegende Fehler vermieden werden und Sie kommen Ihren Pflichten als verantwortliche Stelle nachweislich nach.

Sollten Sie noch Fragen zum Datenschutz, Microsoft 365 oder OneDrive & SharePoint haben, freuen wir uns über Ihre Nachricht. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 5: Compliance
Teil 6: Yammer
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 10: Intune
Teil 11: Admin Center



Link zu unserem White Paper Microsoft 365

Hilfreiche Links:

Autor: Steven Bösel, 09.11.2020
Bild von wynpnt auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert