Prüfpflichten des DSB bei Microsoft 365 (Teil 1)

Was können Sie für einen möglichst datenschutzfreundlichen Einsatz tun? Was ist zu prüfen und was sind Prüfkriterien und die Inhalte eines Prüfplans? Welche Hilfsmittel bietet MS 365? Wie kommen Sie ins Handeln bei diesem vermeintlich riesigen Aufgabenberg? Viele Datenschutzbeauftragte (DSB) wissen, dass ihre Organisationen Microsoft 365 (MS 365) bereits einsetzen oder dies anstreben. In Ergänzung zu anderen Beiträgen zu Schrems II und den Stellungnahmen der Aufsichtsbehörden und des Datenschutzausschusses zu MS 365 konzentriert sich dieser Beitrag auf die Prüfpflichten des DSB. Es geht also nicht um die Rechtmäßigkeit.

Welche Verantwortung hat der DSB?

Nach der Datenschutz-Grundverordnung (DSGVO) sind die Aufgaben des DSB die Unterrichtung und Beratung zu Datenverarbeitungen, die Überwachung und Sensibilisierung sowie eine mögliche Unterstützung bei der Datenschutz-Folgenabschätzung. Angewendet auf MS 365 bedeutet dies aus Sicht des Autors:

  1. DSB sollten mindestens über Grundkenntnisse zu MS 365 und zu den üblichen Datenschutzrisiken beim Einsatz verfügen.
  2. Zusätzlich müssen sie auf Rückfrage der Fachbereiche Hinweise zum datenschutzfreundlichen Einsatz geben.
  3. Darüber hinaus benötigen sie im Rahmen ihrer Überwachungsaufgabe eine Methodik, wie sie ihre Prüfpflichten umsetzen.

Welche Anwendungen sind zu prüfen?

Die erste Frage, die DSB ihrer Organisation stellen sollten, ist die nach der gewählten Lizenzart. Je nachdem ob es sich um Privatanwender, Unternehmen, Bildungseinrichtungen, Behörden oder gemeinnützige Organisationen handelt, bietet Microsoft unterschiedliche Lizenzen an. Die gewählte Lizenz bestimmt den Umfang der Anwendungen.

Für kleine und mittelständische Unternehmen sind dies derzeit die MS-365-Business-Versionen (Basic, Standard und Premium) und für Großunternehmen die Enterprise-Versionen E3 und E5. Relevant für DSB für die weiteren Prüfungen sind Anwendungen, die sich aus der jeweiligen Lizenz ergeben. Um Komplexität zu reduzieren, konzentriert sich dieser Artikel auf die Angebote für Unternehmen. Details zu Lizenzarten finden Sie unter www.microsoft.com/de-de/microsoft-365.

Generelle Hinweise für DSB:

  1. Der wesentliche Unterschied zwischen Basic, Standard und Premium besteht darin, dass die beiden letzteren mehr Office-Anwendungen enthalten und sie als Desktopversion verfügbar sind. Zusätzlich bietet die Premium-Version Intune zur Verwaltung von PCs und Mobilgeräten und zusätzliche Sicherheitsfeatures durch die Azure Information Protection.
  2. Bei den Enterprise-Versionen bietet E5 für MS Teams und mit Power BI Pro zusätzliche Funktionen für Datensicherheit (z.B. Endpoint Security, Cloud App Security) und Datenschutz (z.B. Bewertung von Compliance-Risiken und Reaktionen auf Auskunftsersuchen).

Microsoft lässt sich somit zusätzlichen Datenschutz bezahlen. Die teureren Lizenzen bieten mehr Möglichkeiten für einen datenschutzfreundlicheren Einsatz.

Noch ein Hinweis zum Speicherort der Daten. Für Neukunden aus Deutschland bietet Microsoft unabhängig von der gewählten Lizenz standardmäßig die Speicherung in deutschen Rechenzentren an. Wer bereits Kunde ist, kann bis zum 1. Mai 2021 über den Link https://ogy.de/request-your-data-move kostenlos in die deutschen Rechenzentren migrieren.

Haben Sie Klarheit über die im Einsatz befindlichen Softwareanwendungen, bereiten Sie Ihre Prüfungen vor.

Was sind Prüfkriterien und Inhalte eines Prüfplans?

Die Inhalte des Prüfplans sind individuell gestaltbar. Da es sich bei MS 365 um verschiedene Softwareanwendungen handelt, bieten sich als Prüfkriterien an:

Sicherheit der Verarbeitung

Bei der Sicherheit der Verarbeitung helfen die klassischen Kontrollarten zur Orientierung. Es geht also um typische Fragen

■ zum Zugang: z.B. Passwortmechanismen, Sperrungen, sichere Authentifizierungsmechanismen

■ zum Zugriff: z.B. Berechtigungen auf Laufwerke, Ordner, Dateien, Benutzerkonten; Protokollierungen von An- und Abmeldungen, Veränderungen etc.

■ zur Trennung: z.B. logische Trennung von Laufwerken, Ordnern, Dateien

■ zur Weitergabe: z.B. Verschlüsselung von Daten oder bei der Anmeldung am Rechenzentrum

■ Eingabe: z.B. Protokollierungen von Eingaben, Veränderung oder Löschen

■ Verfügbarkeit: z.B. Datensicherungen, Schutz vor Malware

■ Prüfroutinen zur regelmäßigen Kontrolle der getroffenen Maßnahmen

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Berücksichtigen Sie ergänzend datenschutzfreundliche Voreinstellungen und Datenschutz durch Technik. Werden z.B. Berechtigungen nur nach Erfordernis vergeben? Gibt es automatische Löschroutinen? Werden die angebotenen Verschlüsselungsmechanismen oder Authentifizierungsverfahren angewendet?

Grundsätze der Verarbeitung

Die Grenzen zu den Grundsätzen der Datenverarbeitung sind fließend. Die genannten Löschroutinen dienen je nach Dauer auch dem Grundsatz der Speicherbegrenzung. Sind Berechtigungen nur nach Erfordernis vergeben, dann entspricht das auch der Datenminimierung.

Welche Hilfsmittel bietet MS 365 für Prüfungen?

Microsoft berücksichtigt die zunehmende Bedeutung von Datenschutz und bietet je nach Lizenz mehrere Hilfsmittel an.

  1. MS 365 Admin Center – Dient der grundsätzlichen Administration von MS 365 wie z.B. Benutzer-, Gruppen und Lizenzverwaltung sowie Abrechnung und bietet diverse Einstellungsmöglichkeiten und Berichte.
  2. MS 365 Compliance Center – Bietet die Möglichkeit, Compliance messbar zu machen, Daten zu klassifizieren, Warnungen zu prüfen, Berichte zu erzeugen und Berechtigungen für Compliance-Aufgaben zu vergeben. Mit dem Compliance-Manager hat Microsoft ein umfangreiches Bewertungsinstrument für Compliance im Angebot.
  3. MS 365 Security Center – Dient primär der Datensicherheit mit Hilfsmitteln zur Administration und Überwachung von Benutzeridentitäten, Daten, Geräten und der Infrastruktur.

Die schlechte Nachricht: Aufgrund der Funktionsvielfalt können die Inhalte zunächst überwältigen. Eine detaillierte Betrachtung der drei Center ist hier nicht möglich. Sie sollten jedoch für Ihre Prüfungen einen ersten Blick darauf werfen.

Die beruhigende Botschaft: Die Prüfinhalte für MS 365 sind nichts Neues. Genau genommen gehen Sie ähnlich vor, wie wenn Sie eine andere Softwareanwendung prüfen würden. In den nächsten Teilen der Beitragsserie erfolgt eine genauere Betrachtung einzelner Anwendungen, so dass Sie noch besser vorbereitet sind.

Dieser Fachbeitrag von Julian Häcker ist initial in der Datenschutz PRAXIS 03/21 erschienen bzw. kann auch über das Abo bezogen werden. Die Veröffentlichung hier erfolgt mit freundlicher Genehmigung des WEKA-Verlags.

Bild von Gerd Altmann auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.