Die Microsoft Cloud und der Datenschutz

Seit der GDPR / DSVGO Einführung ist das Thema Datenschutz, Privatsphäre und Compliance immer noch ein Thema, mit dem viele Anwälte noch Geld verdienen. Das Problem, meiner Meinung nach, die Technische Realitätsferne mit der das ganze gestaltet wurde. Nicht zu schweigen davon, dass die Ausnahmen zum Gesetz nicht gleich mitgeliefert wurden. Aber all das hilft uns nicht, wir müssen uns dranhalten. Aber ich möchte Sie nicht zu sehr mit meiner persönlichen Meinung zur GDPR aufhalten. Schauen wir uns an, was Microsoft uns an Werkzeugen anbietet.

Wichtiger Hinweis zu Rechtsthemen

Ich bin kein Jurist und dieser Artikel stellt keine Rechtsberatung da. Mir geht es darum Werkzeuge vorzustellen, die für juristische Themen relevant sein könnten. Für die Frage, ob die hier beschrieben Werkzeuge Ihre Anforderungen aus juristischer Sicht erfüllen, fragen Sie bitte Ihren Anwalt.

Alle genannten Informationen sind ohne Gewähr, wurden aber zum Zeitpunkt der Veröffentlichung im Rahmen der bestehenden Möglichkeiten geprüft.

Die Papierlage

Microsoft stellt sehr viele Dokumente zu den Themen Datenschutz, Sicherheit, Compliance und GDPR/DSVGO zur Verfügung. Microsoft hat sein längerem auch die „EU Model Clauses“ implementiert, diese sind Bestandteil der „Online Services Terms (OST)„. Auch wurde dieses Dokument angepasst, um der DSVGO zu entsprechen.

Für weitere Information für Office365 gibt es auch eine gute Übersichtsseite zur DSVGO, zur Abwechselung mal in Deutsch.

Regional Compliance

Neben den Compliance Manager gibt es im Microsoft Trust Center auch andere Bereiche. Zum Beispiel das Regional Compliance Dashboard. Hier können Sie die Dokumente rund um die Deutschen Gesetzte heruntergeladen. Dies beinhaltet nicht nur die ISO Zertifikate der Microsoft Umgebung, sondern auch Dokumente zum IT-Grundschutz und White Papers.

Übersicht der Dokumente in Reginal Compliance Dashboard für Deutschland. Quelle: Screenshot Microsoft.com
Übersicht der Dokumente in Reginal Compliance Dashboard für Deutschland. Quelle: Screenshot Microsoft.com

Der Microsoft Compliance Manager

Unter der URL https://servicetrust.microsoft.com/ComplianceManager stellt Microsoft für Kunden der Microsoft Cloud-Dienste einen Werkzeug zur Verfügung bei der Sie prüfen können wie gut bestimmte Standards und Normen umgesetzt sind. Jetzt mögen einige Denken „Wie, das ist nicht alles schon erledigt?“, aber es gibt auch Aufgaben auf der Ihrer Seite zu erledigen sind. Um diese zu Identifizieren und zu dokumentieren ist der Compliance Manager da.

Übersicht des Compliance Manager. Quelle: Screenshot Microsoft.com

Übersicht des Compliance Manager. Quelle: Screenshot Microsoft.com

Beim ersten anmelden ist das Bild für Ihre Umgebung noch sehr ernüchternd. Neben der GDPR für Office365 stehen hier Bewertungen auf Basis von ISO 27001:2013 für Office365 und Azure und auch ISO 27018:2014 für Azure. Das im Standard angezeigte NIST800-53 für Office 365 ist nur für den US-Raum interessant. NIST sind Vorgaben für US-Behörden, ähnlich dem deutschen IT-Grundschutz, nur mit „US-Brille“ der Welt.

Stand heute, stehen für die folgenden Produkte Bewertungen zur Verfügung:

  • Office 365: CSA CCM301, FFIEC, FedRAMP Moderate, GDPR, HIPAA, ISO 27001:2013, ISO 27018:2014, NIST 800-171, NIST 800-53, NIST CSF
  • Azure: FedRAMP Moderate – IaaS, FedRAMP Moderate PaaS, GDPR, ISO 27001:2013, ISO 27018:2014, UKNHS
  • Intune: FFIEC, GDPR
  • Dynamics: GDPR, NIST 800-53
  • Professional Services: GDPR

Einiges davon ist für den US-Markt relevant, aber für uns Europäer ist auch etwas dabei. Wichtig ist, Microsoft gibt hier nur Empfehlungen und ein Framework zum Bearbeiten. Die Verantwortung für den Kundenanteil liegt beim Ihnen.

Arbeiten mit dem Microsoft Compliance Manager

In den einzelnen Bewertungen können die Maßnahmen überprüft werden. Hier wird auch erklärt, um welche Überprüfung es sich handelt und für welchen Teil der Bewertungsgrundlage diese Prüfung relevant ist. Hier ein Beispiel aus den DSVGO Maßnahmen zu Artikel 28 der DSVGO.

Maßnahmen in der Verantwortung von Microsoft dokumentiert im Compliance Manager. Quelle: Screenshot Microsoft.com
Maßnahmen in der Verantwortung von Microsoft dokumentiert im Compliance Manager. Quelle: Screenshot Microsoft.com

Die Maßnahmen für die Sie verantwortlich sind, können Sie direkt in der Liste im Compliance Manager pflegen. Hier können auch Aufgaben an die eigenen Mitarbeiter delegiert werden.

Zuweisung von Kundenverantwortlichen Aufgaben zur Dokumentation im Compliance Manager. Quelle: Screenshot Microsoft.com

Zuweisung von Kundenverantwortlichen Aufgaben zur Dokumentation im Compliance Manager. Quelle: Screenshot Microsoft.com

Doch nicht nur Zuweisungen können hier vorgenommen werden, sondern auch der Status der Implementierung dokumentiert werden, sowie das Testdatum und Testergebnis. Auch können Sie hier weitere Dokumente hinterlegen, zum Beispiel Anhänge die Art der Umsetzung dokumentieren.

Auszug aus den Kundenverantwortlichen Aufgaben mit Dokumentation im Compliance Manager. Quelle: Screenshot Microsoft.com

Auszug aus den Kundenverantwortlichen Aufgaben mit Dokumentation im Compliance Manager. Quelle: Screenshot Microsoft.com

Für interne und externe Prüfen können das Ergebnis einfach nach Excel exportiert werden. Somit ist ein Zugriff auf das Portal nicht zwingend notwendig und man hat einen definierten Stand zum „Abheften“.

Export nach Excel im Compliance Manager. Quelle: Screenshot Microsoft.com

Export nach Excel im Compliance Manager. Quelle: Screenshot Microsoft.com

Ja, zum Ausdrucken ist es nicht wirklich ideal, aber es geht.

Excel Export aus dem Compliance Manager. Quelle: Screenshot

Excel Export aus dem Compliance Manager. Quelle: Screenshot

Mehr zum Microsoft Compliance Manager finden Sie auch in der Microsoft Dokumentation unter docs.microsoft.com.

Das Office365 GDPR Dashboard

Auch innerhalb von Office 365 gibt es ein Dashboard zum GDPR, wie sollte es auch sonst sein… Aber hier geht es eher um die Daten und weniger um die Prozesse drumherum. Hier kann die Office365 Umgebung nach relevanten Daten durchsucht und diese Verwaltet werden. Genauso wie die Daten, können hier auch Auskunftsersuchen bearbeitet werden und Schutzmaßnahmen für die Umgebung aktiviert werden. Zum Beispiel „Data-Lost-Prevention (DLP)“ Regeln oder Datenklassifizierungen.

Office365 GDPR Dashboard Quelle: Screenshot Microsoft

Office365 GDPR Dashboard Quelle: Screenshot Microsoft

Weitere Informationen zu Office365 Security & Compliance und dem GDPR Dashboard finden Sie auch bei docs.microsoft.com.

Fazit

Werkzeuge stellt Microsoft viele bereit. In diesem Artikel zeige ich die Wichtigsten, um einen Anfang zu finden. Das gute ist, das ganze ist so aufgebaut, dass es einen immer tiefer hineinzieht. Da ist aber auch das Problem, je mehr man Umsetzen möchte, um so komplizierter wird es. Hier ist die Herausforderung den richtigen Mittelweg zu finden. Alle gezeigten Tools sind aus dem Trust Center erreichbar.

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.