single.php
< Beitrag von Patrick Sender

Microsoft Office 365 und die EU-DSGVO

Alle Firmen, die in EU-Ländern tätig sind und persönliche Daten von EU-Bürgern speichern oder verarbeiten, müssen ab dem 25.05.2018 den Richtlinien, der EU-Datenschutz-Grundverordnung (EU-DSGVO) genügen. Die EU-DSGVO verschärft die bisher gültigen Richtlinien und Datenschutzgesetze. So werden z. B. bei Verstößen erheblich höhere Bußgelder fällig. Damit übt die EU einen gewissen „Druck“ auf die Unternehmen aus, den Schutz personenbezogener Daten endlich zu gewährleisten. 

Neben der Erhöhung der Bußgelder etabliert die EU-DSGVO die Beweislastumkehr: Wenn es zu einem Missbrauch personenbezogener Daten kommt, dann müssen nicht die Geschädigten beweisen, dass ihre Daten nicht gemäß der Verordnung geschützt wurden. Vielmehr muss das Unternehmen nachweisen, dass die Firma personenbezogene Daten entsprechend der DSGVO verarbeitet und speichert.

Was aber bedeutet dies für die Unternehmen in einer Zeit, in der Arbeitsplätze immer flexibler werden? Wie kann der Datenschutz gesichert werden, wenn die Beschäftigten mit mobilen Endgeräten auf Daten und Dienste in der Cloud zugreifen und dies rund um die Uhr und von überall her? Und welche System-Funktionen und -Services können Unternehmen nutzen, um die Anforderungen der EU-DSGVO zu erfüllen? Genau dies soll am Beispiel von Microsoft Office 365 aufgezeigt werden.

Wo finden sich Daten, die unter dem Schutz der EU-DSGVO stehen?

Personenbezogene Daten können an unterschiedlichen Stellen im Unternehmen verarbeitet und gespeichert werden. Hier ein paar Beispiele:

  • HR-Abteilungen: Hier werden personenbezogene Daten sicher am ehesten vermutet. HR-Abteilungen speichern Personaldaten, wie z. B. Angaben über das Gehalt oder über Fortbildungsaktivitäten.
  • Projektseiten und -dateien, Teamseiten: Diese Seiten enthalten häufig Kontaktdaten von Mitarbeitern oder andere persönliche Informationen.
  • SharePoint: Hier werden häufig Verträge abgelegt und jahrelang verwaltet.

Wie hilft Microsoft Office 365 beim Datenschutz gemäß EU-DSGVO?

Zur ersten Selbsteinschätzung, wie gut ein Unternehmen auf die EU-DSGVO vorbereitet ist, stellt Microsoft ein Online-Tool zur Verfügung.

Microsoft Office 365 bietet eine ganze Reihe von Services und Funktionen, die dem Datenschutz dienen: Advanced Threat Protection, Customer Lockbox, Data Governance und Compliance, Data Loss Prevention (DLP), eDiscovery und Office 365 Cloud App Security.

Meeting the General Data Protection Regulation (GDPR) with Microsoft

(Credits to Microsoft)

Advanced Threat Protection

Mit Advanced Threat Protection lassen sich E-Mails in Echtzeit vor Angriffen schützen. Richtlinien gewährleisten, dass die Nutzer nicht auf schädliche Anhänge oder Links zugreifen. So schließen sich die Einfallstore ins System für Angreifer frühzeitig. Darüber hinaus unterstützt dieser proaktive Schutz die Administratoren mit Berichten und Analysen und sorgt für einen reibungslosen Datenverkehr innerhalb des Unternehmens.

Customer Lockbox

Sobald Unternehmen Cloud Services nutzen, liegt die Hoheit über die Systeme nicht mehr bei den Unternehmen selbst, sondern beim Cloud Service Provider. Im Fall von Office 365 ist dies Microsoft. Aber wie ist es um den Datenschutz bestellt, wenn ein Microsoft-Mitarbeiter auf das System zugreifen muss, um ein Problem zu analysieren und beheben? Hier definiert die Customer Lockbox einen klaren Prozess. Der Microsoft-Mitarbeiter darf nur mit Einwilligung des betroffenen Unternehmens in das System eingreifen. Und dieser Zugriff ist streng limitiert. Er darf nur so weit reichen und nur so lange dauern, wie dies für die Beseitigung des Fehlers unbedingt notwendig ist. Außerdem muss der Microsoft-Mitarbeiter jeden einzelnen Zugriff genau protokollieren und für das Unternehmen transparent dokumentieren.

Data Governance und Compliance

Das Thema Data Governance und Compliance ist für die EU-DSGVO ebenfalls relevant. Dabei haben sich folgende Schutzmaßnahmen bewährt:

  • Klassifizieren Sie alle Unternehmensdaten.
  • Identifizieren Sie die personenbezogenen Daten, die unter den Schutz der EU-DSGVO fallen.
  • Implementieren Sie Richtlinien zum Umfang mit diesen personenbezogenen Daten.
  • Nutzen Sie Azure Information Protection zur Verschlüsselung von Dokumenten und Daten.
  • Aktivieren Sie in Azure Information Protection die Unterdrückung des Teilens von Informationen außerhalb des Unternehmens.
  • Verwenden Sie Office 365 Audit Logdateien zur Analyse und Identifikation von möglichen Datenschutzverstößen.
  • Nutzen Sie Retention Policies, z. B. bei der Verwendung von Bewerberdaten.
  • Entwickeln Sie ein Governance-Framework zur Nutzung der Office 365 Dienste im Unternehmen und zur Sensibilisierung jedes einzelnen Mitarbeiters.

Data Loss Prevention (DLP)

Es liegt im ureigenen Interesse jedes Unternehmens, sensitive Informationen zu schützen. Dazu müssen die Firmen Standards und Vorschriften in Bezug auf den Umgang mit den Daten definieren und einführen. Mit DLP lassen sich personenbezogene Daten, wie z. B. Kreditkarten- und Sozialversicherungsnummern oder auch Gesundheitsdaten, entsprechend schützen. DLP identifiziert, überwacht und schützt Daten automatisch. So lässt sich z. B. die Weitergabe von Informationen an Personen außerhalb eines Unternehmens unterbinden.

eDiscovery

eDiscovery identifiziert alle relevanten Daten z. B. in SharePoint online oder auch OneDrive for Business schnell und sicher. Dazu nutzt der eDiscovery Service Machine-Learning-Technologien, analysiert Texte und trifft Aussagen in Bezug auf die Anforderungen der EU-DSGVO an den Umgang mit personenbezogenen Daten.

Office 365 Cloud App Security

Hinter Office 365 Cloud App Security (vormals Advanced Security Management) verbirgt sich ein Service, der Einsichten in die Nutzung und Aktivitäten von Office 365 vermittelt. Durch die Einführung von Richtlinien lassen sich Anomalien und damit potenzielle Angriffe auf das System erkennen. Außerdem wertet die App Verhaltensanalysen aus, um potenziell riskantes Benutzerverhalten aufzuspüren.

Fazit

Für viele Unternehmen gibt es im Hinblick auf die EU-DSGVO noch viel zu tun. Dabei ist eines sicher: Ein System alleine reicht nicht aus, um der EU-DSGVO in vollem Umfang zu genügen. Aber ein System kann viel dazu beitragen und den Workload der Unternehmen reduzieren. Die hier beschriebenen Services von Microsoft Office 365 bieten in jedem Fall eine wirkungsvolle Unterstützung bei der Vorbereitung auf die EU-DSGVO.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , , , , , , , , , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.