Analyse
/ 22. April 2021

Prüfpflichten des DSB bei Microsoft 365 (Teil 3): Das Admin Center

Im letzten Teil zu Microsoft 365 (MS 365) haben Sie erfahren, wie Sie den Compliance-Manager für Ihre Prüfungen verwenden, wenn MS 365 bereits vorhanden ist. Wie starten Sie jedoch, wenn Sie erst vor der Einführung stehen?

Für den Fall, dass Ihre Organisation oder Ihr Mandant erst plant, MS 365 einzuführen, sollten Sie das Admin Center kennen. Es bietet wichtige Konfigurationsmöglichkeiten zum Datenschutz. Zudem ist das Admin Center elementar für Ihre späteren Prüfungen.

Überblick über das Admin Center

Das Admin Center unterstützt Sie dabei, verschiedene Grundeinstellungen für MS 365 vorzunehmen. Hier geht es z.B. um die Verwaltung von

  • Benutzern (Benutzer anlegen/löschen, Kennwort zurücksetzen, Lizenzen zuweisen, Rollen verwalten, Benutzer Gruppen zuweisen etc.),
  • Geräten (Geräte verwalten, Überblick über durch Richtlinien geschützte Geräte, verlorene Geräte, Fernlöschung etc.),
  • Gruppen (Gruppen anlegen, Mitglieder einsehen, Einstellungen vornehmen),
  • Rollen (Rollenvergabe zur Wahrnehmung differenzierter Administrationsaufgaben in den Admin Centers),
  • Ressourcen (Anlage von gemeinsam genutzten Ressourcen wie Konferenzräumen und Firmenfahrzeugen),
  • Abrechnungen und Lizenzen (Auswahl der MS-365-Lizenzart, Produkte, Abrechnungsdetails),
  • Support (Supportanfragen an MS) und
  • Einstellungen (Grundeinstellungen für die Anwendungen vornehmen).

Datenschutzfreundliche Voreinstellungen für die Organisation

Als Datenschutzbeauftragte/r (DSB) müssen Sie sich die „Einstellungen“ > „Einstellungen der Organisation“ genauer anschauen. Hier nehmen Sie wichtige Grundeinstellungen vor bzw. empfehlen, diese Einstellungen vorzunehmen:

  • Deaktivieren Sie nicht benötigte Dienste. Unter „Dienste“ deaktivieren Sie die Anwendungen, die Ihre Organisation nicht zum Arbeiten benötigt. Das entspricht datenschutzfreundlichen Voreinstellungen (privacy by default).
  • Nehmen Sie datenschutzfreundliche Voreinstellungen für verbleibende Dienste vor. Unter „Sicherheit und Datenschutz“ wählen Sie Ihre Einstellungen aus. Zu prüfende Kriterien sind z.B.
    • die Einstellung zur „Datensammlung durch Bing“. Ist sie aktiv, sodass Bing Daten zur Suche in der Organisation erfassen darf, oder ist sie deaktiviert?
    • das Datenschutzprofil. Hier sollte ein Link zur Datenschutzrichtlinie Ihrer Organisation eingetragen und ein Ansprechpartner für den Datenschutz benannt sein.
    • die Kennwortablaufrichtlinie. Tragen Sie die Zeitdauer ein, ab wann Kennwörter ablaufen und von den Anwenderinnen und Anwendern zu ändern sind. Dieser Wert sollte den zentralen Passwortvorgaben entsprechen. Die Kriterien für Passwörter lassen sich hier übrigens nicht verändern.
    • das Teilen von Inhalten. Unter „Teilen“ lässt sich konfigurieren, ob Benutzer neue Gäste zur Organisation hinzufügen dürfen. Im Sinne datenschutzfreundlicher Voreinstellungen sollte das standardmäßig deaktiviert sein.

Organisationsprofil: weitere Einstellungs- und Prüfmöglichkeiten

Im „Organisationsprofil“ können Sie unter „Datenresidenz“ die Datenmigration in ein deutsches Rechenzentrum anstoßen, wie in Teil 1 erwähnt. Ist nicht bekannt, wo die Daten Ihrer Organisation aktuell gespeichert sind, so lässt sich das unter „Datenspeicherort“ einsehen. Für einzelne Dienste erhalten Sie Hinweise, wo die ruhenden Daten aktuell gespeichert sind.

Abschließend bietet es sich unter „Releaseeinstellungen“ an, „Gezieltes Release für ausgewählte Benutzer“ zu wählen. Damit können bestimmte Anwender neue Funktionen prüfen, bevor die IT sie für die gesamte Organisation freigibt. Als weitere datenschutzfreundliche Einstellung sei „Integrierte Apps“ genannt. Dort können DSB prüfen, ob bzw. welche Apps von Dritten in MS 365 im Einsatz sind. Entdecken Sie hier Einträge, stellt sich die Frage nach dem Zweck der App, wer diese nutzt und welche Daten dabei verarbeitet und ggf. an Dritte übermittelt werden.

Produktivitätsbewertung deaktivieren

Bei den Berichten finden gut informierte DSB Bekanntes, z.B. die Produktivitätsbewertung. Sie analysiert das Arbeitsverhalten des einzelnen Anwenders, erzeugt auf Basis aller Kolleginnen und Kollegen Durchschnittswerte und setzt das eigene Arbeitsverhalten in Relation dazu:

  • Die Mitarbeitererfahrung vergleicht das eigene Verhalten in der Kommunikation, mit Meetings und in der Zusammenarbeit mit anderen sowie mit Dokumenten mit den Werten der Kollegen und Kolleginnen.
  • Die Technologieerfahrung soll Hinweise darauf geben, wie die Anwender unterschiedliche Anwendungen nutzen.

Die Produktivitätsbewertung lässt sich unter den „Einstellungen der Organisation“ > „Dienste“ > „Produktivitätsbewertung“ aktivieren oder deaktivieren.

Berichte datenschutzfreundlich einrichten

Ein weiterer Punkt der Prüfpflichten ist der Bereich „Berichte“ > „Verwendung“. Hier finden Sie eine Vielzahl von Auswertungen, etwa über aktive Benutzer, Aktivitäten in Bezug auf E-Mails, MS Teams etc.

Zwar können nur Administratoren die Berichte einsehen. Doch lassen die Analysen Rückschlusse auf das Arbeitsverhalten einzelner Nutzer zu. So ist z.B. einsehbar, wie viele E-Mails jemand gesendet bzw. empfangen hat oder an wie vielen Besprechungen jemand teilgenommen hat. Speziell für Yammer, als soziales Netzwerk des Unternehmens, können Sie erkennen, welcher Benutzer wie aktiv war. Denkbar wäre dann, bestimmten Mitarbeitenden eine Minderleistung zu unterstellen.

Den Personenbezug in den Berichten entfernen Sie ebenfalls unter „Einstellungen der Organisation“ > „Dienste“ > „Produktivitätsbewertung“. Fordern Sie auch diese Einstellung als Standardeinstellung ein.

Wichtig

Jeder DSB, dessen Organisation MS 365 einsetzt, sollte das Admin Center kennen, um datenschutzfreundliche Voreinstellungen zu prüfen. Da dieser Artikel nur einen Auszug der Möglichkeiten widerspiegelt, sehen Sie sich die weiteren Einstellungen zusätzlich an oder lassen Sie sie sich zeigen. So achten Sie bereits bei der Einführung von MS 365 auf datenschutzfreundliche Voreinstellungen bzw. berücksichtigen sie später bei Prüfungen.

Checkliste zum Admin Center: mögliche Prü nhalte für Benutzer, Gruppen und Rollen in MS365.Exemplarische Checkliste für mögliche Prüfinhalte für Benutzer, Gruppen und Rollen. Abonnenten finden die Checkliste als Word-Datei unter https://ogy.de/cl-pruefung-rollen-ms365.

Julian Häcker

+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.