Datenschutz für Microsoft 365-Berichte: Persönliche Benutzerdaten anonymisieren
Datenschutz bleibt im Microsoft 365-Kontext ein wichtiges Thema. So zum Beispiel beim Umgang mit Benutzerinformationen sowie der Auswertung von Nutzerverhalten. Dabei geht es nicht nur um die Einhaltung von DSGVO-Vorschriften, sondern auch um Audits und ISO-Normen. Lesen Sie hier, wie Sie Microsoft 365-Benutzerdaten anonymisieren.
Aus Datenschutzsicht kritisch sind zum Beispiel viele Auswertungen in Microsoft 365 zu bewerten. Insbesondere jene, die System- und Nutzeraktivitäten zusammen mit Benutzernamen erfassen. Deshalb werden diese werden schon seit einiger Zeit in anonymisierter Form ausgegeben.
Über Admin-Center Microsoft 365-Benutzerdaten anonymisieren
Um die Anonymisierung zu kontrollieren, öffnen Sie das Microsoft 365 Admin-Center, gehen Sie auf Einstellungen der Organisation. Dort finden Sie im Reiter Dienste die Einstellung Berichte.
Benutzerinformationen bleiben in den Logdaten erhalten
In der Voreinstellung ist die Funktion aktiviert, so dass Benutzer-, Gruppen- und Websitenamen ausgeblendet werden. Wichtig ist dabei allerdings, dass die eigentlichen Logdaten nicht verändert werden, sondern lediglich deren Anzeige in den Berichten anonymisiert erfolgt.
Das Ein- und Ausschalten der Anonymisierung wirkt sich unmittelbar aus, die Benutzerdaten in den Berichten werden sofort geändert dargestellt, wie dieser Screenshot zeigt:
Microsoft 365 liefert eine ganze Reihe von Berichten, die sensible Benutzerdaten enthalten und von der Einstellung betroffen sind. Hier die gesamte Liste der Reports:
- Postfachaktivität
- E-Mail-Aktivität
- OneDrive-Dateien
- SharePoint-Aktivität
- SharePoint-Webseitenverwendung
- Microsoft Teams-Aktivität
- Yammer-Aktivität
- Aktive Benutzer in Microsoft 365-Diensten und -Apps
- Gruppenaktivität
Weitere Details dazu erfahren Sie auf der entsprechenden Microsoft-Seite: Microsoft 365-Berichte zeigen anonyme Benutzernamen anstelle von tatsächlichen Benutzernamen an
- Über den Autor
- Letzte Beiträge
Nicki Borell ist Microsoft Regional Director, MVP für Office Apps & Services, Mitgründer von Experts Inside und Gründer des Labels „Xperts at Work“. Als Team setzen wir erfolgreich IT- und Strategieprojekte im gehobenen Mittelstand und Großkundensegment um. Profitieren Sie von unserer Expertise, unserer Kompetenz und unserem Fachwissen, das wir zusammen mit starken Partnern in jedes unserer Projekte mit einbringen. Kontakt: nb@expertsinside.com
Der passende Begriff wäre eher eine „Quasi-Pseudonymisierung“. Zunächst stellt die Funktion des Ausschaltens der Anzeige der Klarnamen keine Anonymisierung (es gibt in der DSGVO keine Legaldefinition des Begriffs, eine gute Annährung wird aber unter https://www.dr-datenschutz.de/ein-ueberblick-zur-anonymisierung/ diskutiert) noch eine Pseudonymisierung (Definition in Art. 4 Nr. 5 DSGVO) im Sinne der DSGVO dar.
Eine Anonymisierung läge erst vor, wenn nach der Anwendung der technischen Maßnahme kein Personenbezug mehr herstellbar wäre. Das trifft bei der vorgestellten Funktion jedoch nicht zu. Das Ausblenden der Klarnamen kann jeder Zeit wieder rückgängig gemacht werden. Zudem liegen die Daten, wie im Artikel richtigerweise benannt, weiterhin in den Protokollen mit Personenbezug vor.
Eine Pseudonymisierung liegt im Sinne der Definition der DSGVO ebenfalls nicht vor, da die Informationen zur Re-Identifizierung der Person nicht gesondert aufbewahrt werden (diese liegen im selben System vor). Stattdessen werden die Klarnamen durch eine ID ersetzt. Die ID ist jedoch individuell und exklusiv einem Benutzerkonto zugeordnet, welches nach den Lizenzbestimmungen wiederum auch nur einer Person zugeordnet sein darf.
Es liegt als auch nach dem Ausschalten der Klarnamenanzeige weiterhin ein personenbezogenes Datum im Sinne der DSGVO vor (siehe Definition in Art. 4 Nr. 1 DSGVO, „„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, […] zu einer Online-Kennung […], die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“).
Sehr interessante Ergänzung. Wie der Autor schon schreibt, hat Microsoft hier noch eine große Baustelle vor sich. Sie bewegen sich, aber ziemlich langsam.