Microsoft 365: Prüfpflichten des DSB (Teil 1): Ein erster Überblick

Viele Datenschutzbeauftragte (DSB) wissen, dass ihre Organisationen Microsoft 365 (MS 365) bereits einsetzen oder dies anstreben. In Ergänzung zu anderen Beiträgen zu Schrems II und den Stellungnahmen der Aufsichtsbehörden und des Datenschutzausschusses zu MS 365 konzentriert sich dieser Beitrag auf die Prüfpflichten des DSB. Es geht also nicht um die Rechtmäßigkeit.

Welche Verantwortung hat der DSB?

Nach der Datenschutz-Grundverordnung (DSGVO) sind die Aufgaben des DSB die Unterrichtung und Beratung zu Datenverarbeitungen, die Überwachung und Sensibilisierung sowie eine mögliche Unterstützung bei der Datenschutz-Folgenabschätzung. Angewendet auf MS 365 bedeutet dies aus Sicht des Autors:

• DSB sollten mindestens über Grundkenntnisse zu Microsoft 365 und zu den üblichen Datenschutzrisiken beim Einsatz verfügen.
• Zusätzlich müssen sie auf Rückfrage der Fachbereiche Hinweise zum datenschutzfreundlichen Einsatz geben.
• Darüber hinaus benötigen sie im Rahmen ihrer Überwachungsaufgabe eine Methodik, wie sie ihre Prüfpflichten umsetzen.

Welche Anwendungen sind zu prüfen?

Die erste Frage, die DSB ihrer Organisation stellen sollten, ist die nach der gewählten Lizenzart. Je nachdem, ob es sich um Privatanwender, Unternehmen, Bildungseinrichtungen, Behörden oder gemeinnützige Organisationen handelt, bietet Microsoft unterschiedliche Lizenzen an. Die gewählte Lizenz bestimmt den Umfang der Anwendungen.

Für kleine und mittelständische Unternehmen sind dies derzeit die MS-365-Business-Versionen (Basic, Standard und Premium) und für Großunternehmen die Enterprise-Versionen E3 und E5.

Relevant für DSB für die weiteren Prüfungen sind Anwendungen, die sich aus der jeweiligen Lizenz ergeben. Um Komplexität zu reduzieren, konzentriert sich dieser Artikel auf die Angebote für Unternehmen. Details zu Lizenzarten finden Sie unter www.microsoft.com/de-de/microsoft-365.

Generelle Hinweise für DSB:

• Der wesentliche Unterschied zwischen Basic, Standard und Premium besteht darin, dass die beiden letzteren mehr Office-Anwendungen enthalten und als Desktopversionen verfügbar sind. Zusätzlich bietet die Premium-Version Intune zur Verwaltung von PCs und Mobilgeräten sowie zusätzliche Sicherheitsfeatures durch die Azure Information Protection.
• Bei den Enterprise-Versionen bietet E5 für MS Teams und mit Power BI Pro zusätzliche Funktionen für Datensicherheit (z.B. Endpoint Security, Cloud App Security) und Datenschutz (z.B. Bewertung von Compliance-Risiken und Reaktionen auf Auskunftsersuchen).

Microsoft lässt sich somit zusätzlichen Datenschutz bezahlen. Die teureren Lizenzen bieten mehr Möglichkeiten für einen datenschutzfreundlicheren Einsatz.

Was sind Prüfkriterien und Inhalte eines Prüfplans zu Microsoft 365?

Die Inhalte des Prüfplans sind individuell gestaltbar. Da es sich bei MS 365 um verschiedene Softwareanwendungen handelt, bieten sich als Prüfkriterien an:

Sicherheit der Verarbeitung

Bei der Sicherheit der Verarbeitung helfen die klassischen Kontrollarten zur Orientierung. Es geht also um typische Fragen

• zum Zugang: z.B. Passwortmechanismen, Sperrungen, sichere Authentifizierungsmechanismen.
• zum Zugriff: z.B. Berechtigungen auf Laufwerke, Ordner, Dateien, Benutzerkonten; Protokollierungen von An- und Abmeldungen, Veränderungen etc.
• zur Trennung: z.B. logische Trennung von Laufwerken, Ordnern, Dateien.
• zur Weitergabe: z.B. Verschlüsselung von Daten oder bei der Anmeldung am Rechenzentrum.
• zur Eingabe: z.B. Protokollierungen von Eingaben, Veränderung oder Löschen.
• zur Verfügbarkeit: z.B. Datensicherungen, Schutz vor Malware.
• zu Prüfroutinen zur regelmäßigen Kontrolle der getroffenen Maßnahmen.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Berücksichtigen Sie ergänzend datenschutzfreundliche Voreinstellungen und Datenschutz durch Technik. Werden z.B. Berechtigungen nur nach Erfordernis vergeben? Gibt es automatische Löschroutinen? Werden die angebotenen Verschlüsselungsmechanismen oder Authentifizierungsverfahren angewendet?

Grundsätze der Verarbeitung

Die Grenzen zu den Grundsätzen der Datenverarbeitung sind fließend. Die genannten Löschroutinen dienen je nach Dauer auch dem Grundsatz der Speicherbegrenzung. Sind Berechtigungen nur nach Erfordernis vergeben, dann entspricht das auch der Datenminimierung.

Welche Hilfsmittel bietet MS 365 für Prüfungen?

Microsoft berücksichtigt die zunehmende Bedeutung von Datenschutz und bietet je nach Lizenz mehrere Hilfsmittel an.

• MS 365 Admin Center – dient der grundsätzlichen Administration von Microsof 365 wie z.B. Benutzer-, Gruppen- und Lizenzverwaltung sowie Abrechnung und bietet diverse Einstellungsmöglichkeiten und Berichte.
• MS 365 Compliance Center – bietet die Möglichkeit, Compliance messbar zu machen, Daten zu klassifizieren, Warnungen zu prüfen, Berichte zu erzeugen und Berechtigungen für Compliance-Aufgaben zu vergeben. Mit dem Compliance-Manager hat Microsoft ein umfangreiches Bewertungsinstrument für Compliance im Angebot.
• MS 365 Security Center – dient primär der Datensicherheit mit Hilfsmitteln zur Administration und Überwachung von Benutzeridentitäten, Daten, Geräten und der Infrastruktur.

Die schlechte Nachricht: Aufgrund der Funktionsvielfalt können die Inhalte zunächst überwältigen. Eine detaillierte Betrachtung der drei Center ist hier nicht möglich. Sie sollten jedoch für Ihre Prüfungen einen ersten Blick darauf werfen.

Die beruhigende Botschaft: Die Prüfinhalte für Microsof 365 sind nichts Neues. Genau genommen gehen Sie ähnlich vor, wie wenn Sie eine andere Softwareanwendung prüfen würden.

Im nächsten Teil der Beitragsserie erfolgt eine genauere Betrachtung des Compliance-Managers, sodass Sie noch besser vorbereitet sind.

Beispielhafte Checkliste zur Prüfungsvorbereitung. Abonnenten finden sie als Word-Datei hier.

Julian Häcker