Nach Schrems II: Microsoft erweitert Information Protection und garantiert DSGVO-Konformität

Microsoft-Azure-Information-ProtectionMit Information Protection bietet Microsoft eine Sammlung an Datenschutzlösungen, die einen sicheren Umgang mit sensiblen Informationen und die Einhaltung von Compliance-Anforderungen unterstützen. Seit der Ignite 2020 im September gab es wieder einige Änderungen, außerdem wurden nach dem Schrems-II-Urteil die Maßnahmen und  Verträge rund um den Datenschutz angepasst.

Neue Funktionen für Sensitivity Labels

Ein wichtiger Bereich bei den Datenschutzfunktionen ist die Klassifizierung und Auszeichnung (Labeling) von Dokumenten. Hierzu gehören auch Sensitivity Labels, für die Microsoft den Konfigurationsdialog geändert hat. Der Einstieg erfolgt über die allgemeine Label-Festlegung, ob es sich um Files & E-Mail, Groups & Sites oder um die neue Funktion Azure Purview handelt:

Einsatzzweck der Auszeichnung festlegen.

Erweiterung in Groups & Sites

Dieser Dialog sieht nun etwas anders aus, im Bereich Files & E-Mail ist jedoch keine neue Funktion dazu gekommen. Hingegen ist im Bereich Groups & Sites nun die Funktion Control External Sharing for SharePoint Online Sites neu dazugekommen:

Externe Freigaben und Zugriffe festlegen.

Wichtig ist dabei, dass die Einstellungen im Label immer Vorrang haben  vor den Einstellungen im SharePoint Admin Center, wenn das Label einer Site zugewiesen wird.

Zu beachten ist, dass SharePoint Online diese Einstellungen im Cache zwischenspeichert. Wird also ein Label neu zugewiesen oder aktualisiert, kann es bis zu 24 Stunden dauern bis die Änderungen wirksam werden. Wird ein Label beim Anlegen der Seite direkt zugewiesen, greifen die Einstellungen innerhalb von 15 Minuten.

DSGVO-konforme Datenbankinhalte in Azure Purview

Azure Purview ist der neue Dienst für zentralisierte Daten-Verwaltung (siehe unten). Auch hier können nun Sensitivity Labels vergeben werden, um Inhalte von Datenbanken zu schützen. Beispielsweis können so SQL-Spalten und Dateien im Azure Blob Storage mit Auszeichnungen versehen werden.

Automatische Kennzeichnung von Datenbank-Spalten in Azure Purview.

Diese Neuerung erleichtert die Anwendung der Datenschutzgrundverordnung, weil nun beispielsweise personenbezogene Daten in IT-Systemen mit Datenschutzinformationen gekennzeichnet und verarbeitet werden können. Weitere Informationen zu Azure Purview finden Sie hier.

Die Funktion ist aktuell noch im Vorschau-Stadium und kann im Security Center im Bereich Sensitivity Labels aktiviert werden:

Aktivieren der Kennzeichnung in Azure Purview.

Azure Purview – der neue Microsoft-Datenservice

Azure Purview ist ein neuer integrierender Datenverwaltungsdienst, der Daten aus lokalen On-Premises Systemen, Multi-Cloud-Umgebungen und Software-as-a-Service(-SaaS)-Anwendungen vereinigt. Der Service bietet auch einen visualisierten Überblick in Form der Purview Data Map:

Übersicht über die verschiedenen genutzten Datenquellen in Azure Purview.

Weitere Informationen zu Azure Purview sind hier zu finden: https://azure.microsoft.com/en-us/services/purview/

Microsoft garantiert nach Schrems-II-Urteil die DSGVO-Konformität

Microsoft hat nicht nur auf der technischen Seite gearbeitet, sondern reagiert auch auf aktuelle Entwicklungen beim Datenschutz. Insbesondere betrifft das die Entscheidung des Europäischen Gerichtshofs gegen das Privacy Shield-Abkommen (Schrems II). Demnach dürfen personenbezogene Daten nur dann außerhalb der EU übertragen werden, wenn die DSGVO-Schutzniveau garantiert ist.

Mit dem Defending Your Data-Programm stellt Microsoft klar, dass es alle gesetzlichen Bedingungen erfüllt. Die getroffenen Maßnahmen sind zukünftig Vertragsbestandteil mit Unternehmenskunden und Kunden aus dem öffentlichen Sektor. Als wichtigste Details sind zu nennen:

  • Microsoft verpflichtet sich, jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten von Unternehmenskunden oder Kunden aus dem öffentlichen Sektor anzufechten, wenn es dafür eine rechtliche Grundlage gibt.
  • Microsoft wird Kunden finanziell entschädigen, wenn ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (DSGVO) von Microsoft offenlegt werde müssen.

Weiterführende Informationen sind in dieser Pressemitteilung zu finden.

guest
0 Comments
Inline Feedbacks
View all comments