Baby Alpaca

Neue Datenschutzverwaltung in Microsoft 365

Privacy Management in Microsoft 365 (Preview)

Microsoft stellt eine neue Compliance-Funktion, die das Datenschutzmanagement in verantwortlichen Unternehmen optimieren soll, in die öffentliche Vorschau.

Das Datenschutzmanagement hilft DSGVO-Verantwortlichen, die personenbezogenen Daten in Ihrer Microsoft 365 Umgebung zu verstehen und zu verwalten, potenzielle Datenschutzrisiken zu beheben und Anträge zur Umsetzung von Betroffenenrechten zu erfüllen.

Seit Juli 2021 können Kunden, die über eine E1, E3 oder E5 Enterprise Lizenz in Office 365 und Microsoft 365 verfügen, das neue Datenschutzmanagement Dashboard ausprobieren. (Beachten Sie die von den OST abweichenden Bestimmungen zum Datenschutz während der Previewphase).

Nach der Aktivierung der (während der Previewphase kostenlosen) Lizenzen im Microsoft 365-Admin-Center, müssen noch einige Berechtigungen im Compliance Center vergeben werden. Nach der Aktivierung des Datenschutzmanagements dauert es etwa 1 – 2 Tage bis die ersten Erkenntnisse automatisch generiert wurden.

Konzept der neuen Datenschutzverwaltung

Nach den ersten Tests  und den im aktuellen Dashboard dargestellten Infokarten geht noch nicht so richtig viel. Aber einige spannende Ausblicke konnte ich schon finden und ausprobieren.

Entsprechend des Information Protection – und Governance-Zyklus von Microsoft, der aus den Schritten:

  • Know your data
  • Protect your data
  • Prevent Data Loss
  • Govern your data

besteht, beginnt alles mit dem Erkennen von personenbezogenen Daten im Informationsbestand der eigenen Microsoft 365-Umgebung.

Datenprofil

Diese sehr gut funktionierende Mustererkennung kennt man schon aus dem Inhaltsexplorer, der in der E5-Lizenz bereits verfügbar ist. Hier werden musterbezogene Erkennungen über alle Dokumente in Exchange Online, SharePoint Online und OneDrive for Business durchgeführt und entsprechend ihres Speicherorts sortiert angezeigt.

Anmerkung: Und was ist mit Microsoft Teams? Natürlich werden auch Inhalte aus Teams angezeigt, weil diese physisch in den oben aufgeführten Systemen gespeichert werden.

Übersicht der Arten von personenbezogenen Daten pro Speicherort

Beim weiteren Erkunden werden die gefundenen Inhalte den jeweiligen Speicherorten zugeordnet und können inhaltlich betrachtet werden.

Erkannte sensitive Datentypen pro Speicherort

Nun zum Schutz der personenbezogenen Daten: Wenn ich weiß welche personenbezogenen in meinem Tenant gespeichert sind, dann kann ich auch Schutzmaßnahmen für diese Daten umsetzen. Das wird wohl in den Richtlinien möglich sein.

Richtlinien

Hier geht leider noch nichts. Die Richtlinien lassen sich in meinem Tenant noch nicht konfigurieren und zeigen auch noch keine Übereinstimmungen an. Aber die angezeigten Beispiele  weisen darauf hin, dass in Zukunft Richtlinien zur Datenminimierung, Datenübertragungen sowie übermäßig exponierte Daten eingerichtet werden können, die sicherlich Warnungen produzieren und so entsprechende Datenschutzbeauftragte oder Compliance Officer informieren können.

Anfragen zu Betroffenenrechten

Ein weiterer Punkt ist die Bearbeitung von Fällen zur Umsetzung von Betroffenenrechten nach der DSGVO, also z. B. die Betroffenenauskunft.

Das gab es bisher schon als eigenen Menüpunkt im Compliance Center oder alternativ über das eDiscovery, allerdings wurden im Datenschutzmanagement einige Ergänzungen vorgenommen, die auch sehr spannend sein können.

So kann bei der Anlage eines neuen Vorgangs automatisch ein Teams Team angelegt werden, auf das alle beteiligten Personen Zugriff erhalten. Dieses macht sicherlich dann besonders Sinn, wenn nicht nur Daten aus  Microsoft 365 abgefragt werden, sondern auch weitere Systeme eine Rolle spielen und diese Daten später zusammengeführt werden müssen, um eine vollständige Betroffenenauskunft zu erstellen.

Des Weiteren kann PowerAutomate verwendet werden um die Prozesse rund um eine Betroffenenanfrage zu automatisieren.

Anfrage zu Betroffenenrechten – Fallbearbeitung

Fazit

Insgesamt einen spannende neue Entwicklung, die in Zukunft sicherlich mit einem Lizenzpreis versehen sein wird, aber Unternehmen, die die Umsetzung der DSGVO ernst nehmen auch einen großen Mehrwert bieten könnte.

Ich bin gespannt auf die weiteren Preview-Versionen.

Wenn Sie es selbst ausprobieren wollen, finden Sie weitere Information in der Microsoft-Dokumentation: Microsoft Privacy management (preview) – Microsoft 365 Compliance | Microsoft Docs

Ich freue mich auf den Austausch mit Ihnen und Ihre Einschätzung.

13. August 2021

Das könnte Sie auch interessieren

Kontrolle von Arbeitnehmern nach dem Infektionsschutzgesetz DSGVO-seitig umsetzen (November 2021)

Kontrolle von Arbeitnehmern nach dem Infektionsschutzgesetz DSGVO-seitig umsetzen (November 2021)

Das am letzten Freitag (19.11.2021) im Bundesrat beschlossene Infektionsschutzgesetz hat auch Auswirkungen auf den Datenschutz und die DSGVO-Umsetzung. Der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber kritisierte die mangelnden Vorgaben zur datenschutzfreundlichen Ausgestaltung des Gesetzes. Daher hier ein paar Tipps, wie Sie es umsetzen können.

mehr lesen