Männliche und weibliche Mitarbeiter bearbeiten unterschiedliche Aufgaben gemeinsam in einem Besprechungsraum.

Microsoft Office 365

Sorgen Sie mit Office 365 für umfassenden Datenschutz, Compliance und Cybersicherheit. Der Schutz der Daten Ihrer Organisation wird durch integrierte Funktionen sichergestellt, um die Einhaltung der Datenschutz-Grundverordnung sowie weitere Anforderungen bei Datenschutz und Transparenz zu unterstützen.


Datenschutz für DSGVO-Compliance – mit Office 365

Die ersten Schritte in Richtung der Compliance mit der EU-Datenschutz-Grundverordnung (DSGVO) sind klar definiert. Die Informationen auf dieser Seite sollen Compliance-Spezialisten und IT-Implementierungsexperten die Verwaltung und den Schutz von Cloud-Daten mithilfe von Microsoft Office 365 näherbringen. Sie sollen den Prozess der Kompilierung wichtiger Berichte und Dokumentationen erklären und Unterstützung bei der Erfüllung der DSGVO-Anforderungen bieten.

Sensible personenbezogene Daten können in E-Mail-Nachrichten, Dokumenten, Tabellen, Notizen und lokalen Datenbanken enthalten sein oder auch in persönlichen Cloud-Storage-Konten gespeichert werden. Die Beschränkung des Zugriffs auf diese Daten ist eine wichtige Komponente, um den Schutz der Privatsphäre des Einzelnen sicherzustellen. Office 365 folgt dem Grundsatz „Datenschutz durch Technikgestaltung“, und Microsoft verfügt zudem über nachhaltige Strategien, Steuerungsmechanismen und Systeme, die nahtlos in Office 365 integriert sind und dazu beitragen, personenbezogene Daten geheim zu halten.

Compliance ist ein laufender Prozess und eine gemeinsame Verantwortung. Microsoft investiert zudem in weitere Funktionen und Funktionalitäten, die Organisationen auf ihrem Weg zur DSGVO-Compliance unterstützen sollen. Unabhängig davon, ob Sie ein Compliance-Beauftragter sind, ein Entscheider, der Office 365 als Cloud-Lösung für die Unternehmensproduktivität ausgewählt hat, oder ein aktiver Office 365-Administrator, der Unterstützung bei der Implementierung der DSGVO-Compliance benötigt, oder einfach ein Interessent, der sich einen Überblick über die Erfüllung der DSGVO-Bestimmungen mit Office 365 und verwandten Produkten verschaffen möchte: Die nachfolgenden Informationen können für Sie alle ein guter Ausgangspunkt für Ihre individuelle Umsetzung sein.

Auf Ihrem Weg zur DSGVO-Compliance sind vier zentrale Schritte zu beachten – und jeder einzelne dieser Schritte wird durch leistungsstarke Tools und Lösungen in den Microsoft Office 365-Produkten und -Diensten unterstützt. Erfahren Sie hier mehr darüber, wie Microsoft-Produkte und -Dienste Sie auf Ihrem Weg zur DSGVO-Compliance begleiten können.

Erfahren Sie mehr über die gemeinsame Verantwortung beim Cloud Computing.

Informieren Sie sich über die ersten Schritte zur DSGVO.

Der erste Schritt zur Einhaltung der DSGVO ist, zu prüfen, ob die DSGVO für Ihr Unternehmen gilt, und wenn ja, welche Daten unter Ihrer Kontrolle der DSGVO unterliegen. Mit dieser Analyse stellen Sie fest, über welche Daten Sie verfügen, und wo diese gespeichert werden. Die Einführung eines Schemas zur Klassifizierung, das für das gesamte Unternehmen gilt, unterstützt Sie bei der Reaktion auf Anfragen von betroffenen Personen, denn so können Sie derartige Anfragen schneller identifizieren und bearbeiten.

Microsoft Office 365 und damit verbundene Tools helfen Ihnen, personenbezogene Daten zu erkennen und zu klassifizieren.

  • Verwenden Sie Content Search , um persönliche Daten unter Verwendung von relevanten Keywords, Datei-Eigenschaften oder integrierten Vorlagen abzufragen und zu identifizieren.
  • Verwenden Sie Advanced eDiscovery, welche auf Grundlage von maschinellen Lerntechnologien entwickelt wurde, um effizientere Suchvorgänge zu ermöglichen.
  • Verwenden Sie Office 365 Advanced Data Governance (ADG), in Verbindung mit Content Search, um personenbezogene Daten zu identifizieren, zu klassifizieren und zu verwalten und um Richtlinien für die Einbehaltung von personenbezogenen Daten in Office 365-Umgebungen festzustellen und zu implementieren.
  • Verwenden Sie Office 365 Data Loss Prevention (DLP) Richtlinien, um personenbezogene Daten zu identifizieren, während diese durch Exchange Online, SharePoint Online und OneDrive for Business übertragen werden. Verwenden Sie DLP-Richtlinien, um personenbezogene Daten in SharePoint Online, OneDrive for Business, Outlook, Outlook Web Access und Office 365-Gruppen zu klassifizieren.

Die DSGVO gewährt betroffenen Personen (sog. Datensubjekten, also Einzelpersonen, auf die sich Daten beziehen) mehr Kontrolle darüber, wie ihre personenbezogenen Daten erfasst und verwendet werden. Microsoft Office 365 ermöglicht Daten-Governance-Vorgänge und -Prozesse unter Verwendung mehrerer Tools, die es Ihnen ermöglichen, personenbezogene Daten zu verwalten, damit Sicherheit und Datenschutz gewährleistet sind.

Microsoft Office 365 und verwandten Tools, die Sie bei der Verwaltung von personenbezogenen Daten unterstützen, zählen:

  • Advanced Data Governance: Verwenden Sie dieses Tool, um personenbezogene Daten mit vorausschauenden Richtlinienempfehlungen und Datenklassifizierungen zu verwalten, die Sie bei der Reaktion auf Systemmeldungen unterstützen, um Risiken zu kennzeichnen. Darüber hinaus wird das Filtern und Migrieren von Daten zu Office 365 unterstützt.
  • Labels: Verwenden Sie Labels, um personenbezogene Daten unternehmensweit zu Data-Governance-Zwecken zu klassifizieren, und setzen Sie auf Grundlage dieser Klassifikation Aufbewahrungsrichtlinien durch.
  • Information Rights Management: Nutzen Sie diese Technologie, um zu verhindern, dass unbefugte Personen Zugriff auf personenbezogene Daten in Office 365 erhalten.
  • eDiscovery und Advanced eDiscovery: Verwenden Sie diese Tools, um eDiscovery-Fälle in Ihrem Unternehmen zu steuern.
  • PowerShell: Nutzen Sie die Command-Line-Shell und Skripting-Sprache, um den Zugriff von Datensubjekten auf Zieldienste zu deaktivieren, damit eine weitere Verarbeitung der personenbezogenen Daten unterbunden wird.
  • SharePoint Online: Verwenden Sie SharePoint Online zur manuellen Verfolgung und Verwaltung von Anfragen in Bezug auf die Rechte der betroffenen Person.
  • E-Mail-Flussregeln in Exchange Online: Verwenden Sie Mail-Flow-Regeln, um E-Mails an bestimmte Postfächer weiterzuleiten und einen individualisierten Client-Prozess für den Empfang, die Verwaltung und die Beantwortung von Anfragen in Bezug auf die Rechte betroffener Personen zu unterstützen.
  • PowerShell für das Office 365 Admin Center: Verwenden Sie diese Funktion, um ungenaue oder unvollständige personenbezogene Daten auf Anfrage zu berichtigen und zu löschen.
  • Advanced eDiscovery, PowerShell und Exchange Online: Verwenden Sie diese Tools, um personenbezogene Daten zu exportieren, die den betroffenen Personen in einem gängigen, strukturierten Format zur Verfügung gestellt werden sollen.
  • Data Loss Prevention (DLP)-Richtlinien in Office 365: Verwenden Sie diese Richtlinien, um Einschränkungen für die Verarbeitung von personenbezogenen Daten von bestimmten betroffenen Personen festzulegen, und verwenden Sie PowerShell, um Dateien, die mit bestimmten persönlichen Datentypen oder Passwort-Abfragen übereinstimmen, zu identifizieren oder für sie Einschränkungen festzulegen.

Die Zugriffsverwaltung und die Prüfung des Umgangs mit und des Zugriffs auf personenbezogene Daten sind grundlegend für DSGVO-Compliance. Office 365-Dienste stellen Verwaltungsfunktionen aus der Cloud zur Verfügung, um Sie bei der Erfüllung von Data-Governance-Anforderungen zu unterstützen.

Die DSGVO erfordert, dass Unternehmen Datensicherheits- und Datenschutz-Grundsätze in ihre Produkte und Dienstleistungen einbeziehen. Um Kunden beim Schutz ihrer sensiblen personenbezogenen Daten zu unterstützen, werden die Microsoft Office 365 anhand des Microsoft Secure Development Lifecycle entwickelt, der den Prinzipien für Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen Rechnung trägt.

Microsoft Office 365 und verwandte Tools ermöglichen es Ihnen, personenbezogene Daten folgendermaßen zu schützen:

  • Passen Sie die Datenschutzeinstellungen in Word, Excel und PowerPoint an, um die Verbindung von Office-Anwendungen mit dem Internet einzuschränken, machen Sie ausgeblendete Markups sichtbar, und überprüfen und entfernen Sie personenbezogene Daten aus Dokumenten – mit Document Inspector.
  • Schränken Sie den Zugriff auf gemeinsame Dateien oder Ordner in OneDrive for Business ein und verwalten Sie die Benutzer, die Dateien einsehen oder bearbeiten können.
  • Verwenden Sie die Option zum Verschlüsseln von Word, Excel und PowerPoint-Dokumenten mit Passwortschutz.
  • Verwenden Sie Azure Information Protection für Verschlüsselung und Rechteverwaltung.
  • Verwenden Sie die Verschlüsselungsoption beim PST-Import-Service.
  • Verschlüsseln Sie Nachrichten bei der Übertragung von personenbezogenen Daten an externe Parteien per E-Mail mit Office 365 Message Encryption (OME).
  • Verwenden Sie Threat Intelligence, um Bedrohungen vorausschauend zu erkennen und sich vor diesen in Office 365 zu schützen.
  • Schützen Sie E-Mails vor unbekannten, ausgefeilten Malware-Angriffe in Echtzeit mithilfe von Advanced Threat Protection für Exchange Online (erfordert ein Office 365 E5-Abonnement).
  • Erkennen Sie mit Advanced Security Management risikoreiches und ungewöhnliches Nutzungsverhalten, indem Sie Warnungen über mögliche Verletzungen erhalten, um ungewöhnliches Verhalten zu unterbinden.
  • Überwachen und erfassen Sie alle Aktivitäten, die in Ihrer Instanz ausgeführt werden, mit der Management Activity API.

Personenbezogene Daten werden bei der Übertragung und Speicherung in Exchange Online, OneDrive for Business, SharePoint Online und Skype for Business (bei Skype-to-Skype-Audio- und Videokonferenzen sowie Dateiübertragungen und Chats) standardmäßig verschlüsselt. Für einen erweiterten Schutz von personenbezogenen Daten kommt in Office 365 eine Multi-Engine für Antimalware-Scans zum Einsatz, um eingehende, ausgehende und interne Nachrichten vor Schadsoftware, die per E-Mail übertragen wird, zu schützen. Exchange Online verwendet außerdem standardmäßig Transport Layer Security (TLS), um Nachrichten zwischen Office 365 und Exchange Online-Servern sowie zwischen Exchange Online-Kunden zu verschlüsseln.

Microsoft verwendet Sicherheitskontrollmaßnahmen auf Plattformebene, um die Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten zu gewährleisten, einschließlich physischer Kontrolle, logischer Kontrolle und Datenzugriffsverfahren. Jeglicher Zugriff auf Kundendaten wird von Microsoft überwacht, protokolliert, geprüft und bewertet. Bei Datenschutzverletzungen auf von Microsoft verwalteten Systemen verwendet Microsoft für Office 365 einen eigenen Security Incident Response Verwaltungs- und Benachrichtigungsprozess.

Office 365 wird mindestens einmal jährlich auf globale Datenschutz- und Netzwerk-Sicherheitsstandards wie ISO/IEC 27001 und 27018 hin überprüft. Microsoft testet regelmäßig die Sicherheitsmaßnahmen von Office 365 mittels Drittanbieter-Penetrationstests und Security-Audits sowie mittels Bewertungen, die einem Framework von Industriestandards entsprechen. Microsoft betreibt zudem ein Online-Services-Bug-Bounty-Programm und bietet Entwicklungs-/Testing-Umgebungen für Nutzer.

Die DSGVO setzt neue Standards für Transparenz, Verantwortung und die Aufbewahrung von Datensätzen. Organisationen, die personenbezogene Daten verarbeiten, müssen aus Compliance-Gründen detaillierte Datensätze führen.

Microsoft Office 365 bietet Tools, die dazu dienen, Anforderungen an das Daten-Reporting gerecht zu werden.

  • Verwenden Sie Unified Audit-Log, um Verarbeitungsvorgänge in der gesamten Office 365-Umgebung und die erfolgreiche Bearbeitung von Anfragen bezüglich der Rechte von betroffenen Personen zu verfolgen und zu dokumentieren. Ebenso können Sie Vorgänge protokollieren, die mit der Änderung, Löschung oder Übertragung von personenbezogenen Daten zusammenhängen, und Einsicht in Daten ermöglichen, die per E-Mail oder mittels gemeinsamer Nutzung über SharePoint Online und OneDrive for Business an Dritte übertragen wurden.
  • Verwenden Sie die Exchange-Nachrichtenverfolgung, um den Empfänger einer E-Mail zu bestimmen und festzustellen, ob die Nachricht empfangen, abgelehnt, zurückgestellt oder zugestellt wurde.
  • Verwenden Sie die Office 365 Management Activity API, um die Freigabeaktivitäten von Nutzern in Exchange Online und SharePoint Online zu identifizieren.

Die DSGVO stellt Anforderungen in Bezug auf den Fluss von personenbezogenen Daten in und aus der EU sowie den Fluss von personenbezogenen Daten an Dienste von Drittanbietern. Microsoft verringert durch die Strategie regionaler Rechenzentren für Office 365 eventuelle Risiken, die mit einer unnötigen grenzüberschreitenden Datenübertragung einhergehen können.

Microsoft beschränkt auch den Zugriff auf personenbezogene Daten durch Dritte (Subunternehmer) und legt die Namen der Dritt-Dienstleister offen, die Zugriff auf Kundendaten haben. Die entsprechenden Dokumente sind die Microsoft Online Services Subcontractors-Liste und die Liste der Microsoft Professional Services-Vertragspartner.

Unternehmen, die personenbezogene Daten verarbeiten, müssen gegebenenfalls Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIA) durchführen. Microsoft bietet Kunden, die Hilfe bei der Durchführung einer DPIA in Bezug auf die Nutzung von Office 365 benötigen, detaillierte Informationen zur Verarbeitung von Kundendaten und zu den Sicherheitsmaßnahmen, mit denen diese Daten geschützt werden. Diese Informationen können im Microsoft Trust Center abgerufen werden.

Optimieren Sie Anfragen von betroffenen Personen gemäß der DSGVO in Office 365

Für Office 365 gibt es eine Vorschau, Anforderungen in Bezug auf die Korrektur, Änderung, Löschung oder den Export personenbezogener Daten von Einzelpersonen, die den Kern der DSGVO-Compliance ausmachen, schnell und problemlos auszuführen.

Testen Sie die Office 365-Vorschau in Bezug auf Anfragen von betroffenen Personen      

Lernen Sie Office 365 kennen

Holen Sie sich eine kostenlose Testversion für ein Office 365-Abonnement, und erleben Sie die umfassende, sicherste Cloudlösung für Produktivität und Zusammenarbeit.