Die EU-DSGVO ist zwar nicht mehr ganz neu, aber immer noch in aller Munde. In diesem Artikel werden wir versuchen, die Rolle der GDPR aus IT-Sicht zu klären, insbesondere aus der Perspektive von Microsoft Office 365. Außerdem stellen wir ein Open-Source-Tool namens GDPR Activity Hub vor, das Partnern und Kunden kostenlos zur Verfügung steht, um die häufigsten IT-Aufgaben im Zusammenhang mit der GDPR zu erledigen.
Was ist die EU-DSGVO? Ist sie für Sie von Bedeutung?
Die erste Frage, auf die es eine Antwort zu geben gilt, lautet: "Was ist die EU-DSGVO"? GDPR steht für General Data Protection Regulation (Verordnung EU 2016/679) und ist eine Verordnung der Europäischen Union, die den Schutz der Daten aller in der EU lebenden Personen zum Ziel hat.
Die Tatsache, dass es sich um eine Verordnung handelt, bedeutet, dass sie in allen Mitgliedstaaten sofort anwendbar und gesetzlich durchsetzbar ist, ohne dass in jedem Mitgliedstaat ein spezielles nationales Gesetz umgesetzt werden muss. Stichtag für das Inkrafttreten der Datenschutz-Grundverordnung war der 25. Mai 2018. Ab diesem Datum mussten also alle Unternehmen - weltweit und nicht nur in der EU - die personenbezogenen Daten einer in der EU lebenden betroffenen Person verwalten, die Regeln der DSGVO einhalten und mit der Verordnung konform sein.
Wie Sie sehen, müssen Unternehmen aus der IT-Perspektive Datenschutzbeauftragte und -mitarbeiter schulen, Datenrichtlinien prüfen und aktualisieren, eventuell einen Datenschutzbeauftragten einstellen - eine neue Funktion, die durch die DSGVO eingeführt wird - und konforme Lieferantenverträge erstellen und verwalten.
Darüber hinaus müssen die Unternehmen aus der IT-Perspektive die Ereignisse und Anfragen im Zusammenhang mit personenbezogenen Daten der betroffenen Personen verfolgen. Die Datenschutz-Grundverordnung besagt beispielsweise, dass jeder EU-Bürger das Recht hat, seine bei Dritten gespeicherten Daten einzusehen, zu berichtigen oder zu löschen. Aus IT-Sicht müssen Sie solche Anfragen in Bezug auf personenbezogene Daten mit einem Protokollierungssystem Ihrer Wahl verfolgen.
Darüber hinaus müssen Sie im Falle eines Problems (z. B. einer Datenschutzverletzung) oder eines potenziellen Problems (z. B. eines Identitätsrisikos/Diebstahls) diese Ereignisse verfolgen und sich entsprechend den Anforderungen der DSGVO verhalten. So heißt es beispielsweise in der Datenschutz-Grundverordnung, dass im Falle einer Datenpanne "Sobald der für die Verarbeitung Verantwortliche Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, sollte er die Aufsichtsbehörde unverzüglich und, soweit möglich, spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, über die Verletzung des Schutzes personenbezogener Daten unterrichten." Eine Aufsichtsbehörde kann eine Datenschutzbehörde (Data Protection Authority, DPA) sein.
Die Datenschutz-Grundverordnung führt also einige neue Anforderungen ein, die für Kunden eine Herausforderung und für Partner eine neue Geschäftsmöglichkeit darstellen können. In der Tat werden Kunden interne Prozesse benötigen, um diese Anforderungen zu bewältigen, und sie werden Workflows benötigen, um diese Prozesse zu verwalten.
Microsoft Office 365 und die DSGVO
In Anbetracht der Tatsache, dass die meisten Unternehmen heutzutage einen Teil ihrer Daten und Prozesse in der Cloud haben und Software-as-a-Service (SaaS)-Angebote wie Microsoft Office 365 nutzen, lohnt es sich, herauszufinden, was mit Office 365 (und Microsoft 365) aus der Perspektive der DSGVO-Anforderungen möglich ist.
Zunächst einmal ist es wichtig zu betonen, dass Microsoft im Februar 2017 angekündigt hat, dass seine Cloud-Dienste bis zum 25. Mai 2018 die DSGVO erfüllen werden. Das ist so wahr, dass wir in Microsoft Office 365 bereits eine Reihe von Diensten und Tools haben, die Unternehmen dabei helfen, ihre Konformität und ihr Sicherheitsniveau zu überprüfen, Ereignisse zu überwachen und Datenlecks zu verhindern. Im folgenden Schema sehen Sie, unterteilt nach Kategorien, die nützlichsten Dienste und Tools, die in Microsoft Office 365 standardmäßig verfügbar sind.
Beachten Sie, dass einige der oben genannten Dienste spezielle Abonnementpläne (wie E3 oder E5) oder spezielle SKUs (Produktlizenzen) erfordern. Das Thema Lizenzierung ist jedoch für diesen Artikel nicht relevant.
Die Funktion Office 365 Secure Score", die im Security & Compliancy Center" verfügbar ist, gibt Ihnen beispielsweise Aufschluss darüber, wie sicher Ihr Tenant ist, indem sie Ihre Diensteinstellungen mit einer von Microsoft bereitgestellten Baseline vergleicht. Darüber hinaus erhalten Sie "Aktionen", die Sie durchführen können, um Ihren Score zu verbessern. Unabhängig von Ihrer Punktzahl gibt es natürlich keine Garantie, dass keine Sicherheitslücke entsteht. Eine hohe Punktzahl gibt Ihnen jedoch mehr Sicherheit in Bezug auf die Stärke Ihrer Umgebung.
Dienste wie Data Loss Prevention (DLP) ermöglichen es Ihnen, sensible/persönliche Daten zu identifizieren, während sie durch Exchange Online, SharePoint Online und OneDrive for Business wandern. So können Sie verhindern, dass sensible Daten versehentlich weitergegeben werden, und Sie können den Benutzern helfen, die Vorschriften einzuhalten. Darüber hinaus können Sie nützliche Daten über DLP sammeln, die zur Meldung von Ereignissen und zum Abgleich von Inhalten mit Richtlinien verwendet werden können.
Mithilfe von DLP können Sie beispielsweise verhindern, dass Benutzer bestimmte Dokumentenkategorien freigeben, indem Sie inhaltsbasierte Regeln oder Kennzeichnungen auf Inhalte anwenden (manuell oder automatisch). Wenn ein Benutzer sensible oder klassifizierte Inhalte weitergibt, verhindert DLP ein Datenleck und zeigt eine informative Meldung an, die erklärt, warum die Aktion verboten ist.
Dienste wie "Customer Lockbox" stellen sicher, dass Microsoft-Ingenieure ohne ausdrückliche Genehmigung des Kunden keinen Zugriff auf dessen Inhalte erhalten. Der gesamte Zugriff erfolgt über eine strenge Zugriffskontrolltechnologie, und die Administratoren des Mandanten können die Zugriffsanfrage genehmigen oder ablehnen.
Dienste wie Advanced Threat Protection (ATP), Threat Intelligence, Cloud App Security, Advanced Data Governance (ADG) usw. bieten proaktive und intelligente Funktionen, die Ihre Benutzer schützen und Datenlecks aus Sicht Ihres Unternehmens verhindern.
Darüber hinaus ermöglicht das Office 365 Unified Audit Logging-System Administratoren die Suche nach Benutzeraktivitäten und Ereignissen, was nützlich sein kann, um alle Ereignisse aus der GDPR-Perspektive zu verfolgen. Mit dem Office 365 Unified Audit Log können Sie zum Beispiel feststellen, wer eine Datei gelöscht hat oder wer eine Datei für jemand anderen freigegeben hat, usw. Zum Zeitpunkt der Erstellung dieses Dokuments sind die Bereiche und Dienste, die Sie über das Office 365 Unified Audit Log überprüfen können, folgende
- Dateien
- Ordner
- Freigabe und Zugriffsanfragen
- Synchronisierungen
- Standort-Verwaltung
- Exchange-Postfächer
- Sway
- Benutzerverwaltung
- Azure AD Gruppenverwaltung
- Anwendungs-Verwaltung
- Rollen-Verwaltung
- Verzeichnis-Verwaltung
- eDiscovery
- Leistungs-BI
- Microsoft Teams
- Dynamisch 365
- Microsoft Fluss
Nicht zuletzt können Sie aus der Perspektive von SharePoint Online Ihren Mandanten so konfigurieren, dass er die Klassifizierung von Websites unterstützt. Die Klassifizierung von Websites ermöglicht Ihnen die Anwendung einer Richtlinienebene (Klassifizierung) auf jede moderne Website, die Sie erstellen, so dass Sie benutzerdefinierte Richtlinien und Automatisierungs-/Governance-Regeln auf der Grundlage der Klassifizierungsebene einer Website erstellen können. Nur um ein Beispiel zu nennen: Wenn Benutzer eine Website erstellen, die als "GDPR" klassifiziert ist, möchten Sie vielleicht automatisch Sicherheitsregeln und benutzerdefinierte Richtlinien zum Schutz der auf dieser Website gespeicherten Daten durchsetzen.
GDPR Activity Hub
Wenn Sie ein großes Unternehmen mit einem internen Entwicklungsteam sind, oder wenn Sie ein Microsoft-Partner sind, der Lösungen an Dritte verkauft, werden Sie höchstwahrscheinlich daran interessiert sein, den neuen GDPR Activity Hub zu entdecken. Der GDPR Activity Hub ist ein Open-Source-Projekt, das unter dem Dach von SharePoint & Office 365 Patterns & Practices (PnP) gehostet wird und es Ihnen ermöglicht, die häufigsten Aktivitäten im Zusammenhang mit dem Sammeln von Anfragen und Ereignissen, die im Zusammenhang mit der DSGVO stehen, zu verwalten.
Das Projekt ist vollständig quelloffen und kann von GitHub heruntergeladen werden. Es ist ein Vorzeigeprojekt für Microsoft-Technologien wie:
- Moderne SharePoint Online-Seiten
- SharePoint Framework clientseitige Webteile
- Office 365 Gruppen/Microsoft Teams
- Remote-Bereitstellung
- Power BI
Die vom GDPR Activity Hub angebotenen Funktionalitäten sind folgende
- GDPR-Dashboard: ein auf Microsoft Power BI basierendes Dashboard, mit dem Sie Ihre Leistungen in Bezug auf GDPR-Ereignisse und -Anfragen messen können (siehe die GDPR Activity Hub-Startseite in der obigen Abbildung).
- Datenrepository auf der Grundlage von SharePoint Online: Es verwendet SharePoint Online als Standard-Repository für Daten, aber Sie können es anpassen und SharePoint bei Bedarf durch ein normales DBMS ersetzen.
- Benutzerdefinierte Seiten für die Datenverwaltung: eine Reihe von benutzerdefinierten Seiten für die Dateneingabe von Ereignissen und Anfragen, die aus Sicht der GDPR überwacht und protokolliert werden müssen.
- Client-seitige Webparts: einige Client-seitige Webparts, die mit dem neuen Microsoft SharePoint Framework erstellt wurden und nützlich sind, um Anfragen und Ereignisse einzufügen, eine GDPR-Hierarchie für das aktuelle Unternehmen zu entwerfen und Aufgaben im Zusammenhang mit einem GDPR-Prozess zu verwalten.
- Beispiel-Workflows zur Verarbeitung von Datenschutzverletzungen und einige andere Beispiel-Ereignisse/-Anfragen.
Das Projekt kann automatisch in Ihrem eigenen Microsoft 365-Tenant installiert werden, indem Sie einfach der hier bereitgestellten Schritt-für-Schritt-Anleitung folgen. Das Projekt ist jedoch nicht als fertiges Produkt gedacht, sondern eher als Starter-Kit, mit dem Sie Ihre eigenen Produkte erstellen können. Daher sollten Sie es nicht nur in Ihrer eigenen Umgebung ausprobieren, sondern auch damit beginnen, Ihre eigene Lösung darauf aufzubauen.
Bitte beachten Sie, dass die Installation des GDPR Activity Hubs in Ihrem Mandanten nicht bedeutet, dass Sie DSGVO-konform sind. Da es sich nicht um ein Produkt handelt, können Sie auch keine Service Level Agreements (SLA) oder Garantien erwarten. Es funktioniert nur auf der Basis von Community-Bemühungen, und Ihre Rückmeldungen und Ihr Beitrag sind mehr als willkommen, wenn überhaupt!
Zusammenfassung
Abschliessend lässt sich zusammenfassen, dass sich jedes Unternehmen mit der DSGVO beschäftigen muss. Unabhängig von der Größe und dem Standort Ihres Unternehmens sollten Sie sich überlegen, wie Sie aktuell die für die DSGVO relevanten Daten erfassen und überwachen. Ziehen Sie ein kostenloses Bewertungstool von Microsoft in Betracht, das Sie unter der folgenden URL finden (https://assets.microsoft.com/en-us/gdpr-detailed-assessment.zip), und achten Sie auf den DSGVO-Bereich für Partner (http://aka.ms/gdprpartners).
Erwägen Sie den Wechsel in die Cloud und insbesondere in Microsoft 365, um eine Reihe von Standarddiensten und -funktionen zu nutzen, die Ihnen helfen, die DSGVO einzuhalten.
Geben Sie auch dem GDPR Activity Hub eine Chance und teilen Sie uns Ihr Feedback und Ihre Bedürfnisse mit. Wir werden unser Bestes tun, um das Starter Kit in den kommenden Monaten zu verbessern.
Wir danken Ihnen!
Dieser Blogbeitrag wurde ursprünglich auf Paolos Blog veröffentlicht
Möchten Sie mehr über EU GDPR aus der Sicht von Office 365 erfahren? Sie können sich eine Aufzeichnung von Paolos Rencore-Webinar ansehen. Klicken Sie einfach auf die Schaltfläche unten und füllen Sie das kurze Formular aus. Wir senden Ihnen dann den Link zur Aufzeichnung des Webinars per E-Mail zu.
