Seit der GDPR / DSVGO Einführung ist das Thema Datenschutz, Privatsphäre und Compliance immer noch ein Thema, mit dem viele Anwälte noch Geld verdienen. Das Problem, meiner Meinung nach, die Technische Realitätsferne mit der das ganze gestaltet wurde. Nicht zu schweigen davon, dass die Ausnahmen zum Gesetz nicht gleich mitgeliefert wurden. Aber all das hilft uns nicht, wir müssen uns dranhalten. Aber ich möchte Sie nicht zu sehr mit meiner persönlichen Meinung zur GDPR aufhalten. Schauen wir uns an, was Microsoft uns an Werkzeugen anbietet.
Wichtiger Hinweis zu Rechtsthemen
Ich bin kein Jurist und dieser Artikel stellt keine Rechtsberatung da. Mir geht es darum Werkzeuge vorzustellen, die für juristische Themen relevant sein könnten. Für die Frage, ob die hier beschrieben Werkzeuge Ihre Anforderungen aus juristischer Sicht erfüllen, fragen Sie bitte Ihren Anwalt.
Alle genannten Informationen sind ohne Gewähr, wurden aber zum Zeitpunkt der Veröffentlichung im Rahmen der bestehenden Möglichkeiten geprüft.
Die Papierlage
Microsoft stellt sehr viele Dokumente zu den Themen Datenschutz, Sicherheit, Compliance und GDPR/DSVGO zur Verfügung. Microsoft hat sein längerem auch die „EU Model Clauses“ implementiert, diese sind Bestandteil der „Online Services Terms (OST)„. Auch wurde dieses Dokument angepasst, um der DSVGO zu entsprechen.
Für weitere Information für Office365 gibt es auch eine gute Übersichtsseite zur DSVGO, zur Abwechselung mal in Deutsch.
Regional Compliance
Neben den Compliance Manager gibt es im Microsoft Trust Center auch andere Bereiche. Zum Beispiel das Regional Compliance Dashboard. Hier können Sie die Dokumente rund um die Deutschen Gesetzte heruntergeladen. Dies beinhaltet nicht nur die ISO Zertifikate der Microsoft Umgebung, sondern auch Dokumente zum IT-Grundschutz€ und White Papers.
Der Microsoft Compliance Manager
Unter der URL https://servicetrust.microsoft.com/ComplianceManager stellt Microsoft für Kunden der Microsoft Cloud-Dienste einen Werkzeug zur Verfügung bei der Sie prüfen können wie gut bestimmte Standards und Normen umgesetzt sind. Jetzt mögen einige Denken „Wie, das ist nicht alles schon erledigt?“, aber es gibt auch Aufgaben auf der Ihrer Seite zu erledigen sind. Um diese zu Identifizieren und zu dokumentieren ist der Compliance Manager da.
Übersicht des Compliance Manager. Quelle: Screenshot Microsoft.com
Beim ersten anmelden ist das Bild für Ihre Umgebung noch sehr ernüchternd. Neben der GDPR für Office365 stehen hier Bewertungen auf Basis von ISO 27001:2013 für Office365 und Azure und auch ISO 27018:2014 für Azure. Das im Standard angezeigte NIST800-53 für Office 365 ist nur für den US-Raum interessant. NIST sind Vorgaben für US-Behörden, ähnlich dem deutschen IT-Grundschutz€, nur mit „US-Brille“ der Welt.
Stand heute, stehen für die folgenden Produkte Bewertungen zur Verfügung:
- Office 365: CSA CCM301, FFIEC, FedRAMP Moderate, GDPR, HIPAA, ISO 27001:2013, ISO 27018:2014, NIST 800-171, NIST 800-53, NIST CSF
- Azure: FedRAMP Moderate – IaaS, FedRAMP Moderate PaaS, GDPR, ISO 27001:2013, ISO 27018:2014, UKNHS
- Intune: FFIEC, GDPR
- Dynamics: GDPR, NIST 800-53
- Professional Services: GDPR
Einiges davon ist für den US-Markt relevant, aber für uns Europäer ist auch etwas dabei. Wichtig ist, Microsoft gibt hier nur Empfehlungen und ein Framework zum Bearbeiten. Die Verantwortung für den Kundenanteil liegt beim Ihnen.
Arbeiten mit dem Microsoft Compliance Manager
In den einzelnen Bewertungen können die Maßnahmen überprüft werden. Hier wird auch erklärt, um welche Überprüfung es sich handelt und für welchen Teil der Bewertungsgrundlage diese Prüfung relevant ist. Hier ein Beispiel aus den DSVGO Maßnahmen zu Artikel 28 der DSVGO.
Die Maßnahmen für die Sie verantwortlich sind, können Sie direkt in der Liste im Compliance Manager pflegen. Hier können auch Aufgaben an die eigenen Mitarbeiter delegiert werden.
Zuweisung von Kundenverantwortlichen Aufgaben zur Dokumentation im Compliance Manager. Quelle: Screenshot Microsoft.com
Doch nicht nur Zuweisungen können hier vorgenommen werden, sondern auch der Status der Implementierung dokumentiert werden, sowie das Testdatum und Testergebnis. Auch können Sie hier weitere Dokumente hinterlegen, zum Beispiel Anhänge die Art der Umsetzung dokumentieren.
Auszug aus den Kundenverantwortlichen Aufgaben mit Dokumentation im Compliance Manager. Quelle: Screenshot Microsoft.com
Für interne und externe Prüfen können das Ergebnis einfach nach Excel exportiert werden. Somit ist ein Zugriff auf das Portal nicht zwingend notwendig und man hat einen definierten Stand zum „Abheften“.
Export nach Excel im Compliance Manager. Quelle: Screenshot Microsoft.com
Ja, zum Ausdrucken ist es nicht wirklich ideal, aber es geht.
Excel Export aus dem Compliance Manager. Quelle: Screenshot
Mehr zum Microsoft Compliance Manager finden Sie auch in der Microsoft Dokumentation unter docs.microsoft.com.
Das Office365 GDPR Dashboard
Auch innerhalb von Office 365 gibt es ein Dashboard zum GDPR, wie sollte es auch sonst sein… Aber hier geht es eher um die Daten und weniger um die Prozesse drumherum. Hier kann die Office365 Umgebung nach relevanten Daten durchsucht und diese Verwaltet werden. Genauso wie die Daten, können hier auch Auskunftsersuchen bearbeitet werden und Schutzmaßnahmen für die Umgebung aktiviert werden. Zum Beispiel „Data-Lost-Prevention (DLP)“ Regeln oder Datenklassifizierungen.
Office365 GDPR Dashboard Quelle: Screenshot Microsoft
Weitere Informationen zu Office365 Security & Compliance und dem GDPR Dashboard finden Sie auch bei docs.microsoft.com.
Fazit
Werkzeuge stellt Microsoft viele bereit. In diesem Artikel zeige ich die Wichtigsten, um einen Anfang zu finden. Das gute ist, das ganze ist so aufgebaut, dass es einen immer tiefer hineinzieht. Da ist aber auch das Problem, je mehr man Umsetzen möchte, um so komplizierter wird es. Hier ist die Herausforderung den richtigen Mittelweg zu finden. Alle gezeigten Tools sind aus dem Trust Center erreichbar.
Schreibe einen Kommentar