Microsoft Cloud – jetzt auf die neue Datenschutz-Grundverordnung vorbereiten

Wenn es um Datenschutz, die Stärkung der Privatsphäre und die Einhaltung komplexer Bestimmungen geht, kann Microsoft auf umfassendes Know-how verweisen. Microsoft erfüllt eine Vielzahl von Datenschutzgrundsätzen und bietet allen seinen Kunden EU-Standardvertragsklauseln. Nach unserer Auffassung ist die Datenschutz-Grundverordnung (DSGVO) ein wichtiger Schritt, um Rechte zum Schutz personenbezogener Daten festzulegen und durchzusetzen.

Die DSGVO tritt am 25. Mai 2018 in Kraft. Bald kann auch Ihr Unternehmen verpflichtet sein, Maßnahmen zum Schutz personenbezogener Kundendaten nachzuweisen, um behördlichen Auflagen und Auskunftsersuchen nachzukommen.

Die Implementierung zweckmäßiger Sicherheitskontrollen ist ein wichtiger Schritt, um der Nachweispflicht gerecht zu werden. Genau so wichtig sind strukturierte Prozesse, um Auskunftsersuchen über personenbezogene Daten und die Meldepflicht von Datenpannen (Data Subject Request, DSR) zu erfüllen. So werden Sie zu einem DSGVO-konformen Unternehmen und gewinnen das Vertrauen Ihrer Kunden.

Heute stellen wir Ihnen mehrere neue Ressourcen und Funktionen vor, die Ihnen die Einhaltung von DSGVO-Bestimmungen in der Microsoft Cloud erleichtern. Die Neuerungen im Überblick:

• Neue Ressourcen zum Datenschutz in der Microsoft Cloud – öffentliche Preview jetzt verfügbar
• Microsoft Cloud Services – neue Funktionen für Auskunftsersuchen nach DSGVO
• Privileged Access Management in Office 365 – neue Audit-fähige Funktionen
• Über mehrere regionale Office 365-Rechenzentren verteilte Office 365-Mandanten

Lesen Sie diesen Artikel, um weitere Neuerungen kennenzulernen.

Service Trust Portal – der einfache Weg zur DSGVO-Compliance

Heute stellen wir die öffentliche Preview neuer DSGVO-konformer Werkzeuge und Ressourcen im Service Trust Portal vor. Die Neuerungen unterstützen Kunden von Office 365, Dynamics 365, Azure, Windows, Intune und Professional Services dabei, Auskunftsersuchen und der Meldepflicht von Datenpannen nachzukommen.

In den DSGVO-Ressourcen dokumentiert Microsoft, wie die Meldung von Datenpannen vonstatten geht. Dort erfahren Sie, wie Sie und Dritte von Microsoft über die Verletzung personenbezogener Daten benachrichtigt werden, welche Informationen Microsoft offen legt und welche Möglichkeiten Ihnen zur Verfügung stehen, um Schlüsselpersonen im Unternehmen zu informieren.

Die Ressourcen zum Thema Auskunftsersuchen sind alle auf einer Seite gebündelt. Neben Werkzeugen aus dem Office 365 Security & Compliance Center und Azure Admin Center finden Sie dort Anleitungen, wie Sie Daten in Microsoft Cloud Services suchen, exportieren und löschen können.

Weitere Informationen finden Sie in den Ressourcen zum Datenschutz im Service Trust Portal.

Auskunftsersuchen – wie Sie als Microsoft Cloud-Kunde richtig Auskunft erteilen

Um die Auskunftserteilung in Microsoft Cloud Services zu erleichtern, haben wir mehrere neue Funktionen implementiert: die Registerkarte „Datenschutz“ in Office 365, das Azure DSR-Portal und neue DSR-Suchfunktionen in Dynamics 365.

• Registerkarte „Datenschutz“ in Office 365 – Das Office 365 Security & Compliance Center verfügt jetzt über die Registerkarte „Datenschutz“ (Preview), über die Sie Auskunftsersuchen in Office 365 effizient verwalten können. Unter „Datenschutz“ finden Sie einen Abschnitt, der Dokumentationen und Ressourcen zu Ihrer DSGVO-Reise enthält. Dort haben Sie auch die Möglichkeit, selbst ein Auskunftsersuchen einzuleiten.

Die neue Oberfläche bietet Ihnen Werkzeuge, mit denen Sie ein Auskunftsersuchen erstellen und relevante Daten in Office 365 (Exchange, SharePoint, OneDrive, Gruppen und jetzt auch in Microsoft Teams) suchen, einschränken und exportieren können.

Ein denkbares Szenario ist die Herausgabe personenbezogener Daten, wenn ein Mitarbeiter das Unternehmen verlässt. Zur Unterstützung dieser und ähnlicher Szenarien wird Advanced Data Governance jetzt allen Office 365 E5-Kunden mit ereignisbasierter Aufbewahrung zur Verfügung gestellt.

Weitere Informationen zur Registerkarte „Datenschutz“ in Office 365 und zur ereignisbasierten Aufbewahrung in Advanced Data Governance finden Sie im Tech Community-Blog.

Schauen Sie sich das Microsoft Mechanics-Video an, um diese Office 365-Funktion kennenzulernen:

 

• Azure DSR-Portal – Microsoft plant, Auskunftsersuchen in Azure zu unterstützen, bevor die DSGVO am 25. Mai 2018 in Kraft tritt. Azure-Mandantenadministratoren verfügen damit über ein einfaches, leistungsfähiges Werkzeug, um Auskunftsersuchen nach DSGVO durchzuführen. Im Azure DSR-Portal können Mandantenadministratoren benutzerbezogene Daten identifizieren. Anschließend können die Daten korrigiert, geändert, gelöscht oder exportiert werden. Administratoren können auch andere personenbezogene Daten identifizieren und Auskunftsersuchen auf der Basis von Systemprotokollen einleiten (das sind Daten, die während des Servicebetriebs von Microsoft generiert werden).

Azure DSR-Portal für die Durchführung von Auskunftsersuchen

Weitere Informationen finden Sie im Azure-Blog.

• Dynamics 365 DSR-Suchfunktionen – Damit Dynamics 365-Kunden einfacher auf Auskunftsersuchen reagieren können, bieten wir zwei neue Suchfunktionen: die Relevanzsuche und den Personensuche-Bericht. Die Relevanzsuche ermöglicht das schnelle und einfache Auffinden von Informationen mit Unterstützung von Azure Search. Der Personensuche-Bericht enthält von Microsoft angelegte, erweiterbare Entitäten zur Identifizierung personenbezogener Daten. Mithilfe dieser Daten werden Personen und die ihnen zugewiesenen Rollen definiert.

Datenpannen gemäß den neuen DSGVO-Bestimmungen melden

Mit Inkrafttreten der DSGVO müssen Unternehmen im Fall einer Datenpanne strengere Auflagen erfüllen. Datenpannen sind binnen 72 Stunden, nachdem die Verletzung bekannt wurde, sowohl den zuständigen Aufsichtsbehörden als auch den Betroffenen zu melden. Microsoft 365 bietet umfangreiche Funktionen zum Schutz, zur Erkennung und zur Meldung von Datenpannen. Office 365 Advanced Threat Protection (ATP) schützt das Office 365-Ökosystem der Kunden, indem E-Mails oder Dateien, die eine Gefahr für Benutzerkonten darstellen, unschädlich gemacht werden. Windows Defender ATP schützt Benutzerkonten vor unsicheren webbasierten Dateien oder Geräte-Malware.

Unsichere E-Mail-Anlagen werden durch ATP blockiert.

Wenn Microsoft eine Verletzung personenbezogener Daten gemäß DSGVO feststellt, wird der Mandantenadministrator über den Vorfall benachrichtigt. Außerdem wird empfohlen, einen Datenschutzbeauftragten in Azure Active Directory zu benennen, der zusätzlich zu den Administratoren benachrichtigt wird.

Einwilligung der Benutzer mit Azure Active Directory einholen, dokumentieren und prüfen

Mit Inkrafttreten der DSGVO müssen Unternehmen die Einwilligung von Benutzern mittels Audit-fähiger Berichte nachweisen können. Mithilfe von Azure Active Directory-Nutzungsbedingungen können Unternehmen die Einwilligung von Benutzern jetzt ganz einfach einholen, dokumentieren und prüfen. So stellen Sie sicher, dass Benutzer die Nutzungsbedingungen Ihres Unternehmens vor dem Zugriff auf eine Anwendung lesen und anerkennen. ​Im Prinzip ist für diesen Zweck jedes Dokument geeignet, in dem Unternehmensrichtlinien oder rechtliche Bestimmungen dargelegt sind.

Ein Beispiel für Azure Active Directory -Nutzungsbedingungen in mehreren Sprachen

Weitere Informationen finden Sie in unserer Dokumentation zu Azure Active Directory-Nutzungsbedingungen.

Audit-fähige Kontrollen für den privilegierten Administratorzugriff nutzen

Einerseits müssen Unternehmen das Risiko von Datenpannen, die durch Angriffe auf privilegierte Konten verursacht werden, gering halten. Andererseits müssen sie die Auflagen von Aufsichtsbehörden erfüllen und den Zugriff auf privilegierte Konten lückenlos dokumentieren, um den Zugriff auf Kundendaten transparent zu machen. Um Kunden den Datenschutz und die Erfüllung von Compliance-Pflichten zu erleichtern, führen wir heute die neuen PAM (Privileged Access Management)-Funktionen in Microsoft 365 ein – einschließlich zeitgebundener, Audit-fähiger Zugriffskontrollen, durch die der Datenzugriff eingeschränkt werden kann.

Privileged Access Management optimiert den Datenschutz in Office 365. Beispielsweise können Kunden Genehmigungs-Workflows für risikoreiche Aufgaben in Office 365 durchsetzen und verfolgen. Mit erweiterten Administratorrechten lassen sich Aufgaben ausführen, die den ungehinderten Zugriff auf organisatorische Daten ermöglichen. Administratoren können z. B. eine Journalregel definieren, damit E-Mails an externe Postfächer gesendet und unerkannte, vertrauliche Daten herausgefiltert werden können. Privileged Access Management in Office 365 unterstützt auch Richtlinien, die sicherstellen, dass die Ausführung risikoreicher Aufgaben genehmigt werden muss. Zugriffsanforderungen können automatisch oder manuell genehmigt werden, und alle Aktivitäten werden Audit-fähig protokolliert. Weitere Informationen finden Sie in diesem Video:

Wir freuen uns, das Rollout der öffentlichen Preview von Privileged Access Management in Office 365 bekanntzugeben. Besuchen Sie die Seite zu Office Previews (Zugangscode: PAM044), und lesen Sie den detaillierten Tech Community-Blog.

Globale Data Residency-Anforderungen erfüllen

Immer mehr Behörden, Aufsichtsgremien und interne Compliance-Beauftragte erlassen Data Residency-Richtlinien zum Schutz der Privatsphäre. Dadurch wird der Austausch von Informationen über Landesgrenzen hinweg eingeschränkt. Stattdessen wird verlangt, dass Unternehmensdaten innerhalb einer bestimmten geografischen Region gespeichert werden. Obwohl Data Residency nicht in der DSGVO verankert ist, wünschen sich viele Kunden mehr Flexibilität, um Daten in Einklang mit regionalen, branchenüblichen oder organisatorischen Data Residency-Anforderungen in einer Region ihrer Wahl speichern zu können.

Dank Multi-Geo Capabilities kann ein einzelner Office 365-Mandant auf mehrere regionale Office 365-Rechenzentren verteilt werden. So können Kunden (bzw. zuständige Mitarbeiter) ruhende Office 365-Daten in der gewünschten Region speichern. Multi-Geo wurde bereits für Exchange Online und OneDrive for Business eingeführt. Lesen Sie Multi-Geo in Office 365 für globale Unternehmen – Daten über mehrere Regionen verteilen, um mehr zu erfahren.

Werden Sie mit der Microsoft Cloud zu einem DSGVO-konformen Unternehmen

Auf welcher Etappe Ihrer DSGVO-Reise Sie sich auch befinden, wir helfen Ihnen bei der Umsetzung Ihrer DSGVO-Compliance. Fangen Sie noch heute an:

• Laden Sie unser Whitepaper und unser E-Book kostenlos herunter.
• Nehmen Sie eine kostenlose Onlinebewertung Ihrer DSGVO-Compliance vor.

Erfahren Sie, wie Microsoft Sie bei der Umsetzung der DSGVO-Compliance unterstützt.

– Alym Rayani, Director des Microsoft 365-Teams