{"id":637,"date":"2025-02-12T16:59:35","date_gmt":"2025-02-12T15:59:35","guid":{"rendered":"https:\/\/home.g-lorenzen.de\/?p=637"},"modified":"2025-02-12T16:59:35","modified_gmt":"2025-02-12T15:59:35","slug":"welche-konkreten-massnahmen-empfehlen-aufsichtsbehoerden-fuer-den-datenschutzkonformen-microsoft-365-einsatz","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/02\/12\/welche-konkreten-massnahmen-empfehlen-aufsichtsbehoerden-fuer-den-datenschutzkonformen-microsoft-365-einsatz\/","title":{"rendered":"Welche konkreten Ma\u00dfnahmen empfehlen Aufsichtsbeh\u00f6rden f\u00fcr den datenschutzkonformen Microsoft 365-Einsatz?"},"content":{"rendered":"\n<p>Aufsichtsbeh\u00f6rden empfehlen verschiedene konkrete Ma\u00dfnahmen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gew\u00e4hrleisten1. Diese Ma\u00dfnahmen zielen sowohl auf die Vertragsgestaltung mit Microsoft als auch auf technische und organisatorische Aspekte ab.<\/p>\n\n\n\n<p><strong>Vertragsgestaltung:<\/strong><\/p>\n\n\n\n<p>\u2022 <strong>Anpassung des Auftragsverarbeitungsvertrags:<\/strong> Die Aufsichtsbeh\u00f6rden, insbesondere der Landesbeauftragte f\u00fcr den Datenschutz (LfD) Niedersachsen, empfehlen, wesentliche \u00c4nderungen am mit Microsoft geschlossenen Auftragsverarbeitungsvertrag zu erreichen1. Die DSK sieht die Anforderungen des Art. 28 Abs. 3 DS-GVO mit dem von Microsoft bereitgestellten Standard-Auftragsverarbeitungsvertrag als nicht eingehalten an.<\/p>\n\n\n\n<p>\u2022 <strong>Zusatzvereinbarung:<\/strong> Es sollten die in der Handreichung der Aufsichtsbeh\u00f6rden empfohlenen Anpassungen in einer Zusatzvereinbarung mit Microsoft getroffen werden.<\/p>\n\n\n\n<p>\u2022 <strong>EU-Datengrenze:<\/strong> Seit Januar 2024 gilt die EU-Datengrenze, die besagt, dass personenbezogene Daten, einschlie\u00dflich pseudonymisierter Daten, die Server der Europ\u00e4ischen Union nicht mehr verlassen d\u00fcrfen4. Microsoft hat das DPA entsprechend angepasst und bietet eine Dokumentation im neuen EU Data Boundary Trust Center an.<\/p>\n\n\n\n<p><strong>Technische Ma\u00dfnahmen:<\/strong><\/p>\n\n\n\n<p>\u2022 <strong>Filterung von Telemetriedaten:<\/strong> Telemetriedaten sollten mit einer Firewall gefiltert werden, sofern dies nicht durch Konfigurationsvorgaben unterbunden werden kann.<\/p>\n\n\n\n<p>\u2022 <strong>Pseudonymisierung:<\/strong> Es sollten dienstliche, pseudonyme E-Mail-Adressen\/Accounts (idealerweise tempor\u00e4r aus einem Pool) verwendet und die Nutzung privater Microsoft-Accounts verboten werden7.<\/p>\n\n\n\n<p>\u2022 <strong>Anonymisierung von Metadaten:<\/strong> Die Verwendung eines vorkonfigurierten und abgesicherten Browsers mit eingebauten Schutzma\u00dfnahmen zur Anonymisierung\/Unkenntlichmachung der Metadaten wird empfohlen8. Auch die Verwendung vorkonfigurierter Terminal-Clients zur Anonymisierung und Gleichschaltung der Metadaten wird geraten.<\/p>\n\n\n\n<p>\u2022 <strong>Diagnosedaten:<\/strong> Die Einstellung f\u00fcr die \u00dcbertragung von Diagnosedaten sollte auf Administratorebene f\u00fcr alle Benutzer auf die niedrigste Stufe eingestellt werden. Bei Verwendung von Windows Enterprise als Betriebssystem sollte die Sicherheitsstufe f\u00fcr die \u00dcbertragung von Telemetrie- und Diagnosedaten auf \u201esicher\u201c eingestellt werden8. Microsoft stellt einen &#8222;Diagnostic Data Viewer&#8220; zur Verf\u00fcgung, um zu pr\u00fcfen, welche Diagnosedaten \u00fcbermittelt werden.<\/p>\n\n\n\n<p>\u2022 <strong>Verschl\u00fcsselung:<\/strong> Bei der cloudbasierten Dateiablage sollte der Einsatz einer Inhaltsverschl\u00fcsselung gepr\u00fcft werden, wie z. B. &#8222;Bring your own key&#8220; (BYOK) oder &#8222;Double Key Encryption&#8220; (DKE).<\/p>\n\n\n\n<p>\u2022 <strong>Ausschlie\u00dfen risikobehafteter Daten:<\/strong> Es sollte bestimmt werden, welche Arten von besonders risikobehafteten personenbezogenen Daten gegebenenfalls vollst\u00e4ndig aus der Cloud-Datenhaltung ausgeschlossen werden sollen.<\/p>\n\n\n\n<p>\u2022 <strong>Deaktivierung nicht ben\u00f6tigter Anwendungen:<\/strong> Anwendungen innerhalb des gebuchten Plans, die nicht genutzt werden sollen oder noch nicht getestet wurden, sowie Anwendungen, die nicht vom DPA abgedeckt werden, sollten deaktiviert werden10. Dies gilt insbesondere f\u00fcr die &#8222;Optional Connected Experiences&#8220;10. Nicht ben\u00f6tigte &#8222;Connected Experiences&#8220; sollten deaktiviert werden&#8230;.<\/p>\n\n\n\n<p>\u2022 <strong>Einschr\u00e4nkung der Datensammlung:<\/strong> Die Sammlung von Diagnose- und Telemetriedaten sollte eingeschr\u00e4nkt werden. Die Pseudonymisierung von Benutzerdaten in Berichten ist ebenfalls ratsam13.<\/p>\n\n\n\n<p>\u2022 <strong>Bedingter Zugriff:<\/strong> Der bedingte Zugriff, der im Entra Admin Center konfigurierbar ist, sollte genutzt werden, um den Zugriff auf Microsoft 365 Anwendungen an bestimmte Bedingungen zu kn\u00fcpfen14. Es sollte die Zwei-Faktor-Authentifizierung f\u00fcr alle Benutzer oder zumindest f\u00fcr alle Administratoren eingestellt werden.<\/p>\n\n\n\n<p><strong>Organisatorische Ma\u00dfnahmen:<\/strong><\/p>\n\n\n\n<p>\u2022 <strong>Nutzungsrichtlinien:<\/strong> Es sollten klare Nutzungs- und Verhaltensrichtlinien f\u00fcr die Mitarbeiter erstellt werden15&#8230;. Dazu geh\u00f6ren z.B. Vorgaben, welche Daten und Dokumente freigegeben werden d\u00fcrfen15.<\/p>\n\n\n\n<p>\u2022 <strong>Schulungen:<\/strong> Die Mitarbeitenden sind im Umgang mit Microsoft 365 zu schulen und zu sensibilisieren16&#8230;.<\/p>\n\n\n\n<p>\u2022 <strong>Zugriffsrechte:<\/strong> Die Zugriffsrechte auf Metadaten sollten nach dem &#8222;Need-to-know-Prinzip&#8220; auf den erforderlichen Personenkreis beschr\u00e4nkt werden16.<\/p>\n\n\n\n<p>\u2022 <strong>Regelm\u00e4\u00dfige Evaluierung:<\/strong> Es sollte eine regelm\u00e4\u00dfige Evaluierung der eingesetzten Technologien durchgef\u00fchrt werden, um Datenschutz und Rechtssicherheit langfristig zu gew\u00e4hrleisten18&#8230;. Insbesondere sollte gepr\u00fcft werden, ob sich relevante \u00c4nderungen durch Updates oder neue Funktionen von Microsoft ergeben haben&#8230;.<\/p>\n\n\n\n<p>\u2022 <strong>Datenschutz-Folgenabsch\u00e4tzung (DSFA):<\/strong> Vor der Einf\u00fchrung von Microsoft 365 ist zu pr\u00fcfen, ob eine DSFA erforderlich ist. Eine DSFA ist immer dann zwingend vorgeschrieben, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen zur Folge hat&#8230;.<\/p>\n\n\n\n<p>\u2022 <strong>Verzeichnis von Verarbeitungst\u00e4tigkeiten:<\/strong> Die Datenverarbeitungen im Zusammenhang mit Microsoft 365 sollten im Verzeichnis der Verarbeitungst\u00e4tigkeiten erg\u00e4nzt werden.<\/p>\n\n\n\n<p>\u2022 <strong>Einwilligungsmanagement:<\/strong> Wenn Verarbeitungst\u00e4tigkeiten durchgef\u00fchrt werden sollen, die die Einwilligung der betroffenen Personen erfordern, m\u00fcssen die Voraussetzungen des Art. 4 Nr. 11 und 7 DS-GVO beachtet werden.<\/p>\n\n\n\n<p>\u2022 <strong>Information der Betroffenen:<\/strong> Die Datenverarbeitung, die mit Microsoft 365 stattfindet, sollte auch in den Pflichtinformationen aller betroffenen Personen abgebildet werden.<\/p>\n\n\n\n<p>Die Aufsichtsbeh\u00f6rden betonen, dass die datenschutzrechtlichen Anforderungen nicht nur f\u00fcr Microsoft, sondern auch f\u00fcr die Verantwortlichen gelten, die die Produkte einsetzen1. Verantwortliche m\u00fcssen alle ihnen zur Verf\u00fcgung stehenden M\u00f6glichkeiten nutzen, auf datenschutzkonforme Vereinbarungen mit Microsoft hinzuwirken und Ma\u00dfnahmen treffen, um den Datenschutz beim Einsatz von Microsoft 365 zu verbessern1. Es ist wichtig, dass diese Ma\u00dfnahmen an die individuellen Bed\u00fcrfnisse und Risiken der jeweiligen Organisation angepasst werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aufsichtsbeh\u00f6rden empfehlen verschiedene konkrete Ma\u00dfnahmen, um einen datenschutzkonformen Einsatz von Microsoft 365 zu gew\u00e4hrleisten1. Diese&hellip;<\/p>\n","protected":false},"author":1,"featured_media":639,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-637","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=637"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/637\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/639"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}