Datenschutz in der Cloud im Griff: Die wichtigsten Microsoft-Ressourcen zu DSGVO, Privacy Shield, Telemetrie & Co.
Mit der zunehmenden Nutzung von Cloud-Services müssen sich Unternehmen auch intensiver mit Themen wie Datenschutz und Compliance befassen. Wie komplex, und oft auch unsicher die Lage ist, zeigte zuletzt wieder das EuGH-Urteil gegen das Privacy-Shield-Abkommen zwischen der EU und den USA. Zu den weiteren wichtigen Sicherheits- und Datenschutzaufgaben zählen DSGVO, Telemetriedaten oder der Umgang mit Geschäftsgeheimnissen. Microsoft unterstützt seine Kunden inzwischen mit etlichen Services und Infoseiten – die wichtigsten davon haben wir hier zusammengestellt.
Privacy Shield unwirksam – was heißt das?
Wie sicher ist der Datenaustausch mit den großen Anbietern in den Vereinigten Staaten? Das EuGH-Urteil zur Ungültigkeit von ‚Privacy Shield‘, oder auch Schrems II, wirft genau diese alte Frage wieder neu auf und dürfte vielen Anbietern und Anwendern Kopfzerbrechen bereiten. Keine großen Sorgen müssen sich hier aber die Microsoft-Kunden machen, denn für die Microsoft-Cloud-Dienste gelten die Standardvertragsklauseln, wie Microsoft in einer Stellungnahme erläutert. Und deren Gültigkeit hat der EuGH bestätigt.
DSGVO bleibt weiter ein Thema
Das große Thema von 2018 war die Datenschutzgrundverordnung (DSGVO, englisch GDPR), die seither in allen EU-Mitgliedsstaaten gilt. Als erledigt kann man das aber keinesfalls bezeichnen, denn zum einen sind viele Firmen noch mit der Umsetzung befasst, außerdem werden in Cloud-Diensten laufend Änderungen vorgenommen, die unter Umständen einer neuen Bewertung bedürfen.
Office-Telemetriedaten lassen sich abstellen
Für Wirbel sorgte im letzten Jahr ein Gutachten der holländischen Regierung , das die Erfassung und Sendung von Telemetriedaten aus den Office-Anwendungen (Office ProPlus) für unzulässig befand. Microsoft hat inzwischen darauf reagiert und eine Auswahloption eingeführt, mit der sich die Übertragung der laut Microsoft anonymisierten Daten abstellen lässt. Außerdem wurden Anfang 2020 die „Online Services Terms“ erweitert, das Data Protection Addendum ist als separates Dokument erhältlich (Microsoft Online Services Terms).
Gesetzt zum Schutz von Geschäftsgeheimnissen
Ein nicht so ganz populäres, aber nicht minder sensibles Thema ist der Schutz von Geschäftsgeheimnissen, der seit dem letzten Jahr auch per Gesetz geregelt ist. Zwar gibt es hier keinen unmittelbaren Bezug zur DSGVO, jedoch lassen sich viele technische Maßnahmen auch dafür nutzen. Ein Beispiel dafür wäre die Datenverschlüsselung mit Information Protection.
Übersicht I: DSGVO und Compliance
Microsoft stellt Kunden und Partnern eine Vielzahl an Informationen und Diensten zur Verfügung, um die Befolgung dieser Vorgaben, Audits oder Gesetze umzusetzen. Die Fülle der Informationen ist allerdings enorm, und über diverse Websites und Portale verstreut. Hier haben wir die wichtigsten Quellen zusammengefasst:
- Compliance Manager
- Version ‚Classic‘ legt den Fokus eher auf die juristische Perspektive
- Version ‚Neu‘ ist deutlich umfangreicher und enthält das Thema Compliance Score. Alle Punkte sind auch im Microsoft 365 Compliance Portal zu finden.
(Mehr Infos zum Compliance Manager)
- Microsoft 365 GDPR Action plan: Alle wichtigen DSGVO-Aufgaben für die ersten 90 Tage und danach.
- Accountability Readiness Checklist for Microsoft 365: Vergleichbar mit dem Compliance Manager Classic, ist aber per Website verfügbar.
- Microsoft Compliance Score: Ähnelt auf den ersten Blick dem neuen Compliance Manager, allerdings liegt der Fokus hier ganz allgemein auf Compliance. Auch das Thema DSGVO/GDPR gehört dazu.
Dazu ist noch zu ergänzen, dass der Compliance Manager Classic und die Accountability Readiness Checklist eher auf die juristische Perspektive fokussieren, während sich das neue Compliance Manager Portal und der Microsoft Compliance Score an die IT-Sichtweise. Das kann man an diesen beiden Bildern sehen:
Übersicht II: Telemetriedaten
Wenn es um Telemetriedaten beim Einsatz von Microsoft-Cloud-Services geht, stellt Microsoft folgende Informationen zur Verfügung:
- Für konkrete Fragen ist telmhelp@microsoft.com zuständig.
- Telemetrie und Datenschutz unter Windows: https://www.microsoft.com/de-de/trustcenter/privacy/windows-telemetry-privacy-and-trust.aspx.
- Infos über Datenschutztransparenz für geschäftliche Cloud-Kunden: https://news.microsoft.com/de-de/einfuehrung-von-mehr-datenschutztransparenz-fuer-unsere-kommerziellen-cloud-kunden/
Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden
Mit den Datenschutz-Folgenabschätzung im Office 365-Kontext befasst sich der Leitfaden Datenschutz-Folgenabschätzung – Leitfaden für Office 365
- Können KI-Modell ihr Wissen wieder vergessen? Das 'Harry-Potter-Problem' in Llma - und wie Microsoft Daten schützt - 1. Dezember 2023
- Leitfaden zur Microsoft 365 Copilot-Einführung – Lizenzierung, Anwender-Trainings und Datenschutz - 31. Oktober 2023
- Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern - 11. September 2023