Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
30. Mai 2021

Prüfpflichten des DSB bei Microsoft 365 (Teil 4): Das Admin Center Sicherheit

DP+
Schauen Sie sich als DSB das Admin Center Sicherheit an. Auch dieses Modul hilft Ihnen, Ihre Prüfpflichten in Bezug auf Microsoft 365 wahrzunehmen.
Bild: iStock.com / Marta Shershen
0,00 (0)
Inhalte in diesem Beitrag
Datenschutz bei Microsoft 365
Wie hilft Ihnen Microsoft 365 (MS 365) dabei, Aufbewahrungs- und Löschfristen umzusetzen sowie Betroffenenanfragen zu beantworten? Erfahren Sie, wie Sie diese praktischen Aufgaben als Datenschutzbeauftragter (DSB) mit dem Admin Center Sicherheit lösen.

Wie das allgemeine Admin Center, so bietet das Admin Center Sicherheit die Möglichkeit, differenzierte Berechtigungen zu vergeben.

Berechtigungen im Admin Center Sicherheit prüfen

Als Erstes können Sie unter „Berechtigungen“ prüfen, ob Benutzerinnen und Benutzer für bestimmte Aufgaben im Tätigkeitsbereich „Sicherheit und Compliance“ eine Berechtigung erhalten haben.

Je nachdem, wie viele Personen in Ihren Organisationen arbeiten und wie die Aufgaben verteilt sind, können Sie Berechtigungen individuell zuweisen (lassen).

Der Compliance Data Administrator

Da es über 40 unterschiedliche Berechtigungen gibt, würde eine detaillierte Betrachtung den Rahmen dieses Artikels sprengen. Sie sollten jedoch den Compliance Data Administrator kennen. Diese Rolle umfasst die wichtigsten Berechtigungen für Compliance-Aufgaben. Damit können Sie z.B. Einstellungen vornehmen

  • zur Geräteverwaltung,
  • zum Datenschutz,
  • zur Prävention,
  • zu Information bei Datenverlusten sowie
  • zu Protokollierungen und Berichten.

Sorgfältige DSB überprüfen, ob die vergebenen Berechtigungen für die jeweiligen Benutzer erforderlich sind.

Warnungen nutzen

Wäre es nicht schön, wenn das Administrationspersonal rechtzeitig informiert würde, bevor eine Datenpanne auftritt? MS 365 bietet unter „Warnungen“ die Möglichkeit, Richtlinien einzurichten, die bei bestimmten Ereignissen warnen.

  • So können Sie sich bzw. das Administrationspersonal z.B. über Änderungen an bestimmten Administrationskonten informieren lassen oder über Malware- oder Phishing-Versuche.
  • Ebenso können Sie individuelle Richtlinien einrichten.

Gleichzeitig achten DSB darauf, dass diese Mechanismen datenschutzkonform im Einsatz sind und nicht, um Leistung oder Verhalten einzelner Benutzer zu kontrollieren.

Aufbewahrungs- und Löschfristen in MS 365 umsetzen

Wer sich als DSB damit beschäftigt, wann und wie Daten in der Organisation zu löschen sind, weiß, wie herausfordernd das ist. Speziell in Softwareanwendungen hat man ohne Hilfsmittel schlechte Karten.

Für MS 365 gibt es entsprechende Bordmittel, mit denen Sie bzw. die Administratoren Daten für einen von Ihnen definierten Zeitraum vorhalten und anschließend löschen können. Unter „Klassifizierung“ > „Aufbewahrungsbezeichnungen“ findet sich die Funktion, Daten aufzubewahren und zu löschen. Dort definieren Sie in drei Schritten eine Aufbewahrungsregel:

  • Richtlinie benennen und beschreiben
  • Aufbewahrungszeitraum und Reaktion darauf festlegen (Inhalt automatisch löschen, Löschungsprüfung auslösen, unverändert stehen lassen)
  • Bezeichnungsrichtlinie für bestimmte Orte (OneDrive, Office-365-Gruppen, SharePoint, Exchange) veröffentlichen

Aufbewahrungsregeln anwenden

Die Umsetzung kann bis zu einem Tag dauern. Anschließend verfügen die Benutzer über die Möglichkeit, an den zuvor definierten Orten die Aufbewahrungsrichtlinien auf Dateien anzuwenden:

  • Hierfür wählen die Benutzer eine Datei aus und klicken auf das i-Symbol (Detailbereich öffnen).
  • Unter „Eigenschaften“ wählen sie die hinterlegten Richtlinien aus und wenden sie an.
  • Für E-Mails unter Outlook ist dies ebenfalls möglich. Sie öffnen diese, klicken auf das Symbol mit den drei Punkten (Kontext) und weisen mit „Richtlinie zuweisen“ die gewünschte zu.

Kennen die Nutzer und Nutzerinnen diese Funktion, sind sie in der Lage, ihre Dateien und E-Mails mit der jeweiligen Aufbewahrungsrichtlinie zu versehen.

„Kann ich das auch automatisieren?“

Ja, das geht! Sie können die Aufbewahrungsrichtlinien auch automatisch anwenden (unter „Bezeichnungsrichtlinien“). MS 365 sieht vor, dass Sie den Automatismus anwenden auf vertrauliche Informationen, Inhalte mit bestimmten Wörtern oder hinterlegte Klassifizierungen (z.B. offensive Sprache, Belästigung, Lebensläufe, Quellcode).

Zusätzlich ist es möglich, eigene Klassifizierer einzurichten, z.B. damit MS 365 Rechnungen oder Verträge automatisch erkennt. In diesem Fall müssen Sie diese Klassifizierer einrichten und MS 365 anhand von Mustern trainieren lassen.

Betroffenenauskünfte mit MS 365 beantworten

Speziell für Betroffenenauskünfte bietet MS 365 das DSGVO-Dashboard an. Sie finden es ebenfalls im Admin Center Sicherheit und dort unter „Datenschutz“. Hier sehen Sie eine Übersicht zu verschiedenen Themen (z.B. Fall für Betroffenenanfrage erstellen, Übersicht aktueller Fälle, ausstehende Löschungen etc.).

Betroffenenauskunft anlegen

Sie können für eine Betroffenenauskunft direkt einen Fall anlegen. Während des Vorgangs wählen Sie für eine interne Anfrage den vorhandenen Benutzer aus.

Für eine externe Anfrage tragen Sie z.B. dessen E-Mail-Adresse oder Namen ein. Anschließend starten Sie die Suchabfrage und verfeinern je nach Sachverhalt die Quellen, an denen Sie suchen lassen möchten. Standardmäßig sind dies E-Mails, Dokumente oder Chatnachrichten.

Sie können diese beliebig erweitern, sodass MS 365 auch Besprechungsabsagen, Aufgabenabfragen oder Vergleichbares beim Suchen berücksichtigt.

Suchergebnisse exportieren

Nach Abschluss der Suche lassen Sie sich die Ergebnisse anzeigen oder exportieren sie. Hier stehen Ihnen verschiedene Optionen zur Verfügung. Sie wählen aus, wie Sie E-Mails oder Dateien ausgegeben haben möchten, und starten den Export. Anschließend sehen Sie diesen unter „Exporte“. Möglicherweise nicht sofort, da es je nach Anzahl und Größe der Inhalte etwas dauern kann.

Steht der Export bereit, können Sie die Ergebnisse herunterladen. Derzeit geht dies jedoch nur unter einem Windows-Betriebssystem.

Praxis-Tipp

Die Ergebnisse des Exports sind überraschend hilfreich. So zeigt ein Export nicht nur eine Übersicht, wo MS 365 welche Ergebnisse gefunden hat, sondern auch die konkreten Dateien oder E-Mails des Benutzers. Kopien der vorhandenen Daten können Sie daher problemlos generieren und auf Wunsch der oder dem Anfragenden übergeben.

Julian Häcker

Julian Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Julian Häcker
Julian Häcker
Julian Häcker, Geschäftsführer der ENSECUR GmbH, löst als Datenschutzberater seit 2010 die Praxisherausforderungen im Datenschutzalltag von Unternehmen. Sein Antrieb: Datenschutz besser machen – damit die Digitalisierung datenschutzkonform gelingt.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.