Mehr Datenschutz für Microsoft 365-Berichte: So anonymisieren sie persönliche Benutzerdaten
Das Thema Datenschutz bleibt im Kontext von Microsoft 365 aktuell, denn nach wie vor sind viele Punkte nicht geklärt. Das betrifft auch den Umgang mit Benutzerinformationen und Auswertungen des Nutzerverhaltens. Hierbei geht es nicht nur um die Einhaltung von DSGVO-bezogenen Vorschriften, sondern auch um Audits und ISO-Normen.
Als datenschutzkritisch fallen hierbei eine ganze Reihe von Auswertungen in Microsoft 365 auf, in denen System- und Nutzeraktivitäten zusammen mit Benutzernamen erfasst werden. Deshalb werden diese werden schon seit einiger Zeit in anonymisierter Form ausgegeben.
Um die Anonymisierung zu kontrollieren, öffnen Sie das Microsoft 365 Admin-Center, gehen Sie auf Einstellungen der Organisation. Dort finden Sie im Reiter Dienste die Einstellung Berichte.
Benutzerinformationen bleiben in den Logdaten erhalten
In der Voreinstellung ist die Funktion aktiviert, so dass Benutzer-, Gruppen- und Websitenamen ausgeblendet werden. Wichtig ist dabei allerdings, dass die eigentlichen Logdaten nicht verändert werden, sondern lediglich deren Anzeige in den Berichten anonymisiert erfolgt.
Das Ein- und Ausschalten der Anonymisierung wirkt sich unmittelbar aus, die Benutzerdaten in den Berichten werden sofort geändert dargestellt, wie dieser Screenshot zeigt:
Microsoft 365 liefert eine ganze Reihe von Berichten, die sensible Benutzerdaten enthalten und von der Einstellung betroffen sind. Hier die gesamte Liste der Reports:
- Postfachaktivität
- E-Mail-Aktivität
- OneDrive-Dateien
- SharePoint-Aktivität
- SharePoint-Webseitenverwendung
- Microsoft Teams-Aktivität
- Yammer-Aktivität
- Aktive Benutzer in Microsoft 365-Diensten und -Apps
- Gruppenaktivität
Weitere Details dazu erfahren Sie auf der entsprechenden Microsoft-Seite: Microsoft 365-Berichte zeigen anonyme Benutzernamen anstelle von tatsächlichen Benutzernamen an
- Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern - 11. September 2023
- Eigene Daten im ChatGPT-Stil erforschen: So nutzen Sie Azure OpenAI und Azure Cognitiv Search für interne KI-Lösungen - 17. Juli 2023
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023
Der passende Begriff wäre eher eine „Quasi-Pseudonymisierung“. Zunächst stellt die Funktion des Ausschaltens der Anzeige der Klarnamen keine Anonymisierung (es gibt in der DSGVO keine Legaldefinition des Begriffs, eine gute Annährung wird aber unter https://www.dr-datenschutz.de/ein-ueberblick-zur-anonymisierung/ diskutiert) noch eine Pseudonymisierung (Definition in Art. 4 Nr. 5 DSGVO) im Sinne der DSGVO dar. Eine Anonymisierung läge erst vor, wenn nach der Anwendung der technischen Maßnahme kein Personenbezug mehr herstellbar wäre. Das trifft bei der vorgestellten Funktion jedoch nicht zu. Das Ausblenden der Klarnamen kann jeder Zeit wieder rückgängig gemacht werden. Zudem liegen die Daten, wie im Artikel richtigerweise benannt, weiterhin in den… Read more »
Sehr interessante Ergänzung. Wie der Autor schon schreibt, hat Microsoft hier noch eine große Baustelle vor sich. Sie bewegen sich, aber ziemlich langsam.