Microsoft 365 & Dynamics 365 Datenschutzkonform einsetzen

by dbsadmin
on Mai 3, 2022

Informationen zum Thema DSGVO für Dynamics 365

Für Microsoft Dynamics 365 gibt es noch einige weiterführende Informationen vom Hersteller Microsoft:

Quelle: Datenschutz, Datensicherheit und DSGVO-Konformität in Dynamics 365 | Microsoft Docs

Anleitung/Empfehlung zur Umsetzung für Unternehmen

DSGVO vereinfacht – Eine Anleitung für Ihr kleines Unternehmen – Microsoft 365 admin | Microsoft Docs

Bedacht bei der Auswahl des Microsoft Rechenzentrums

Hier findet ihr die Verfügbarkeit deutscher Microsoft Rechenzentren für Dynamics 365.

Produktverfügbarkeit nach geografischer Verteilung | Dynamics 365 (microsoft.com)

Wir empfehlen eines der Microsoft Rechenzentrum innerhalb Deutschland bzw. optional innerhalb der EU liegt.

Aufbewahrungsrichtlinien mit Microsoft 365 verwenden

Informationen zu Aufbewahrungsrichtlinien und -bezeichnungen zum automatischen Beibehalten oder Löschen von Inhalten – Microsoft 365 Compliance | Microsoft Docs

Datenschutz mit Microsoft 365 bzw. Office 365

Microsoft 365 (Office 365) datenschutzkonform nutzen, empfohlene Konfigurationen

Anbei findet ihr einen Beitrag indem ich mich auf einen Beitrag der activeMind AG berufe. Hier findet ihr  viele nützliche Datenschutzinformationen findet:

Quelle: Office 365 / Microsoft 365 DSGVO-konform konfigurieren | activeMind AG vom 14.05.2022

Die Offline-Produkte von Microsoft Office zunehmend vom Markt verschwinden, denken immer mehr Unternehmen über den Einsatz von Office 365 und dessen Online-Funktionen nach (seit April 2020 wird die Produktgruppe als Microsoft 365 geführt). Bei der Einrichtung von Microsoft 365 existieren jedoch einige datenschutzrechtliche Fallstricke, welche im schlimmsten Fall zu einem Bußgeldrisiko führen. Diese Risiken lassen sich durch die richtigen Einstellungen zum großen Teil umgehen.

Im Kern geht es darum, die Übermittlung von Daten an Microsoft weitestgehend zu unterbinden. Nachteile, dann sind leider auch nicht alle Funktionen von Microsoft 365 nutzbar.

Anbei ein Überblick der erforderlichen Datenschutzeinstellungen im Vergleich mit den jeweils auftretenden Einschränkungen für die Usability im Unternehmen.

Zitat: ActiveMind AG zum Thema DSGVO und Microsoft 365 (siehe Quelle)

In unserem Special zu Microsoft 365 helfen wir Ihnen mit Anleitungen, einem Whitepaper und Webinaren dabei, Microsoft 365 möglichst datenschutzkonform im Unternehmen einzusetzen.

Notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365

Um den folgenden Empfehlungen nachkommen zu können, muss eine eventuell noch ältere Version von Office 365 zunächst auf Version 1905 oder höher aktualisiert werden. Erst mit dieser Version wurden die entsprechenden Einstellungsmöglichkeiten in Office 365 / Microsoft 365 implementiert (siehe die Infobox zum geschichtlichen Hintergrund).

Anschließend sollten folgende Maßnahmen ergriffen werden:

  1. Die Nutzung von Connected Experiences/Services in Office 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.
  2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.
  3. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden. In Windows 10 Home und Professional ist es hingegen nicht möglich, die Übermittlung von Messdaten vollständig abzuschalten. Daher kann momentan lediglich Windows 10 Enterprise bzw. die Education-Version datenschutzkonform eingesetzt werden (siehe unser Ratgeber zum Einsatz von Windows im Unternehmen).
  4. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.
  5. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.
  6. Je nach Sensitivität der Daten sollte die Customer Lockbox oder der Customer Key verwendet werden. Dies ist mit Zusatzkosten verbunden, da Microsoft für diese Services zusätzliche Gebühren erhebt. Die Alternative wäre, keine sensiblen Daten in Microsoft 365 zu verarbeiten.
  7. Sofern Workplace Analytics oder Activity Reports genutzt werden sollen, ist vor Aktivierung ggf. eine eigene Datenschutzfolgenabschätzung durchzuführen und der Betriebsrat in Kenntnis zu setzen. Das Plugin „Insights“ sollte dabei nicht installiert werden, da hierbei zusätzliche Informationen für die Analytics-Analyse gesammelt werden.
  8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte (siehe die Infobox). Das schränkt die Nutzung von Office 365 / Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones.

Da sich die konkreten Einstellungsmöglichkeiten nach Version und Betriebssystem unterscheiden können, ist es uns nicht möglich an dieser Stelle eine Schritt-für-Schritt Lösung anzubieten. Allerdings finden sich im Internet Anleitungen bzgl. aller Punkte, zum Teil sogar von Microsoft selbst. In der Regel sollte die IT-Abteilung weiterhelfen können.

Sofern all diese Anforderungen beachtet werden, lässt sich Office 365 für den Moment datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen.

Erforderlichkeit einer Datenschutzfolgenabschätzung

Da all diese Erkenntnisse primär auf einer in den Niederlanden durchgeführten Datenschutzfolgenabschätzung beruhen, stellt sich für vielen Unternehmen die Frage, ob eine solche für den eigenen Einsatz durchzuführen ist.

Die ist in der Regel nicht erforderlich, sofern die obigen Einstellungen in Microsoft 365 vorgenommen werden. Durch diese wird die Datenübermittlung an Microsoft bestmöglich eingeschränkt, so dass kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Die von der niederländischen Regierung vorgenommene Datenschutzfolgenabschätzung hatte den Hintergrund, dass damals noch keine Möglichkeit der Einschränkung bzgl. der Übermittlung an Microsoft gegeben war. Daher lag noch ein hohes Risiko vor, welches eine Datenschutzfolgenabschätzung durch den Anwender notwendig machte.

Einzig wenn Workplace Analytics oder Activity Reports genutzt werden sollen, ist ggf. eine Datenschutzfolgenabschätzung erforderlich.

Fazit: Datenschutzkonforme Konfiguration von Microsoft 365 lohnt sich

Befolgt man diese Empfehlungen, dann lässt sich Microsoft 365 in der Theorie weitestgehend datenschutzkonform einsetzen. Probleme können sich jedoch bei der praktischen Umsetzung zeigen, gerade wenn kritische Produkte bereits in die Arbeitsabläufe integriert wurden. Wie gezeigt, lassen sich einige praktische Funktionen von Microsoft 365 nicht datenschutzkonform nutzen.

Im Ergebnis hat dann eine Abwägung zu erfolgen: Entweder die eigenen Prozesse werden entsprechend angepasst oder man akzeptiert das verbleibende datenschutzrechtliche Restrisiko. Es sollte dabei im Hinterkopf behalten werden, dass die Aufsichtsbehörde im schlimmsten Fall die Nutzung von Microsoft 365 untersagen könnte. Sofern dann bereits das gesamte Arbeitsumfeld in die Microsoft-365-Umgebung migriert bzw. dort etabliert wurde, kann dies das Unternehmen vor erhebliche Probleme stellen. Daher raten wir dringend, die oben genannten Einstellungen vorzunehmen.

Zitat ENDE: ActiveMind AG (siehe Quelle weiter oben)

Wir hoffen dieser Beitrag ist für Euch nützlich gewesen, und wünschen Euch viel Erfolg bei der Umsetzung eures Datenschutzkonformen Microsoft 365 Projektes.

Euer Kim Sancken

Dynamics Business Solutions GmbH

Categories:

Datenschutz

Tags:

No Tag

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.