Mit mehr als 200 Millionen aktiven Usern im Monat dominiert Microsoft 365 den Markt der IT-Infrastrukturen. Outlook, SharePoint, PowerPoint und Excel-Tabellen: In vielen Büros ist ein Alltag ohne die Microsoft 365 Lösungen kaum vorstellbar. So praktisch die Microsoft 365 Lösungen sind – wenn es um eine datenschutzkonforme Nutzung geht, gibt es Stolpersteine und Bedenken. Die gute Nachricht vorne weg: Es gibt einige Kniffs und Tricks, mit denen du eine DSGVO-konforme Basis schaffst und damit dein Haftungsrisiko deutlich minimierst.
Wir haben im Folgenden einige zentrale Punkte für eine datenschutzkonforme Nutzung von Microsoft 365 zusammengetragen. Außerdem findest du eine kleine Checkliste, wie du mit welchen Features umgehst, die deaktiviert werden müssen, um nicht in eine datenschutzrechtliche Falle zu tappen.
 

Microsoft 365: Welche Daten muss ich besonders schützen?

Entscheidend für die DSGVO-konforme Nutzung der cloudbasierten Version von Microsoft 365 ist die Frage, welche Daten dein Unternehmen verarbeitet. Grundsätzlich gilt, dass sämtliche personenbezogene Daten verschlüsselt werden müssen. Sogenannte Konnektoren sorgen dabei für das Ver- und Entschlüsseln. Kümmert sich ein externer Dienstleister in deinem Unternehmen um die cloudbasierte Software, sollte er die Datenverschlüsselung unbedingt im Portfolio haben.
Nützlich insbesondere in Unternehmen, in denen viele Mitarbeiter mobil oder ausschließlich von zuhause aus arbeiten: der SharePoint. Zwar können so alle berechtigten User auf die angelegten Daten zugreifen. Doch genau das birgt Gefahren. Daher sollte in deinem Unternehmen klar kommuniziert werden, wer dazu berechtigt ist, Daten nach außen zu teilen und wer nicht. Bei besonders sensiblen Datensätzen solltest du die Teilen-Funktion deaktivieren, um zu verhindern, dass Unternehmensdaten gewollt oder ungewollt in falsche Hände geraten. Grundsätzlich gilt: Je weniger Mitarbeiter Zugriff auf die sensiblen Daten haben und diese nach außen teilen können, desto besser.
 

Lohnt sich eine Multifaktor-Authentifizierung?

Mit der Multifaktor-Authentifizierung (MFA) schaffst du ohne großen Aufwand einen Schutz vor unbefugtem Zugang und erhöhst dementsprechend die Sicherheit der Daten.
Eine weitere Funktion, welche – richtig genutzt – auf das Datenschutzkonto einzahlt, ist das Compliance Feature. Damit werden Abläufe, Datenverkehr und Anwendungen ständig überwacht. Ein ausführlicher Bericht geht dann an den Admin. Die DSGVO schreibt eine regelmäßige Überprüfung dieser Berichte vor. In der Realität dürfte diese Kontrolle jedoch in vielen Fällen aus Zeitgründen eher stiefmütterlich behandelt werden. Auch hier verspricht ein beauftragter Dienstleister Abhilfe. Während sich deine Mitarbeiter auf ihre Kernaufgaben konzentrieren können, prüft der Anbieter die Berichte und weist lösungsorientiert auf mögliche Sicherheitslücken hin.

 

Microsoft 365 DSGVO-konform: Welche Features deaktivieren

Um Microsoft 365 wirklich DSGVO-konform zu nutzen, musst du einige Features grundsätzlich deaktivieren. Eine Liste dieser Funktionen haben wir hier für dich zusammengestellt:
  • Windows Einstellung
    Stelle die Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise auf „Sicher”. Die Nutzeraktivitäten dürfen nicht mit der Zeitachsen-Funktion von Windows 10 synchronisiert werden.
  • Tool zur Verbesserung der Benutzerfreundlichkeit
    Deaktiviere die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit.
  • Beschränkung der Diagnosedaten
    Die Übermittlung der Diagnosedaten muss in deinen Einstellungen unbedingt auf die geringste Stufe „Keine” eingestellt werden.
  • Connected Experiences
    Optional verbundene Dienste solltest du deaktivieren. So ein Dienst ist beispielsweise das Scannen von Visitenkarten. Dabei werden Server außerhalb der EU verwendet und du überträgst proaktiv personenbezogene Daten in einen Drittstaat.
  • Linked-In-Integration
    Eine Integration von Linked-In Accounts der Mitarbeiter ist nicht mit der DSGVO vereinbar und muss daher deaktiviert werden
  • Workplace Analytics, Activity Reports, Delve
    Diese Funktionen sollten nur genutzt werden, wenn diese von deinem Datenschutzbeauftragten geprüft wurden, da hier Leistungsdaten ausgewertet werden. Gibt es in deinem Unternehmen einen Betriebsrat, sollte auch der über die Datenerhebungen informiert werden.

 

Wie du mit Microsoft 365 datenschutzkonform arbeitest

Es sind viele kleine Schritte zu einer datenschutzkonformem Anwendung von Microsoft 365. Für dein Unternehmen bedeutet ein datenschutzkonformer, sichererer Betrieb von Microsoft 365 nicht nur, dass die genannten Features deaktiviert und die zusätzlichen Sicherheitsfeatures vorhanden sein müssen. Du solltest außerdem ein funktionierendes Datenschutz-Management-System etablieren, welches die Dokumentations- und Nachweispflichten der DSGVO erfüllt und dokumentiert. Mit einem Dienstleister an deiner Seite erhältst du maximale Datenschutzkonformität nach den aktuellen Standards bei minimalem Haftungsrisiko für dich als Unternehmer.

Mach´s einfach digital