Microsoft Lists in in aller Munde. Es gibt unzählige Beiträge zu Templates und zum Einsatz. In diesem Bezug ist es doch einmal spannend sich diese neue SharePoint Funktion einmal genauer aus Sicht der Compliance anzuschauen.
Allgemeines
In Bezug auch auf Microsoft Lists sind natürlich auch die üblichen Herausforderungen, die sich auf Microsoft und Cloud Dienste im Allgemeinen beziehen. So sind Risiken / Themen rund um Cloud Act und die tatsächlich Einhaltung der EU Standardvertragsklauseln in den USA. Diese Betrachtung lasse ich in diesem Beitrag aus, sondern beziehe mich nur auf die Microsoft Lists spezifischen Punkte.
Verträge und Zertifizierungen
Microsoft Lists gehört zu den üblichen Vertragswerken von MSPA über CSP bis EA. Bei einem genaueren Blick ist Microsoft Lists unter Microsoft Teams im Anhang 1 der Microsoft Online Service Terms zu finden. Diese Funktion ist dementsprechend Microsoft Teams und nicht dem SharePoint Online zuzuordnen. Dennoch gelten auch für Lists die Microsoft Online Service Terms, der DPA Anhang und damit auch die EU Standardvertragsklauseln und laut Dokumentation auch die entsprechenden Zertifizierungen (z.B. SOC2) und Richtlinien.
Status: erfüllt die Anforderungen
Aufbewahrung/Backup
Zu einer Nutzung der Funktion in einem Enterprise Umfeld, müssen einige Parameter eingehalten werden. Hierzu zählt die Möglichkeit die Microsoft Lists zu backupen und auch RetentionPolicies darauf anzuwenden.
Tests
Bei einer genauen Betrachtung und einigen eigenen Tests mit VEEAM Backup und den Microsoft Retention Policies ist es so, dass beides funktioniert hat. Ich behalte dies im Blick und werde es in den nächsten Wochen mit verschieden Werkzeugen und Zeiträumen ausprobieren.
Sensitivity Labeling
Es ist möglich in den neuen Listen sowohl Retention als auch Sensitvity Labels auszuwählen und den Objekten zuzuordnen. Aktuell konnte ich jedoch nicht validieren, dass es möglich war ein Retention Label als Standard zusetzen, jedoch konnte ich trainable Classifier darauf anwenden. Ich werde weiter an dem Thema bleiben und dies weiter z.B. mit dem Double Key prüfen.
Datenschutz
In Bezug auf den Datenschutz können entsprechende Einstellungen und TOMs definiert werden. Sensitivity Label und Retention Label reagieren und es ist möglich diese in Lists auszuwählen. Ebenso ist es möglich eine Einwilligung einzuholen und auch Approval Prozesse zu setzen. Lists sind in den entsprechenden Verträgen als Core-Tools verzeichnet und die DPAs gelten.
Die allgemeinen Herausforderungen sind auch für Microsoft Lists gültig.
Status: erfüllt
Zusammenfassung
Microsoft Lists ist im Hintergrund nur ein SharePoint Online. Die Listen können entsprechend konfiguriert und genutzt werden. Ich wünsche allen viel Spaß mit Lists und in einem der folgenden Posts zeige ich nach meinen Tests, wie man Lists für ein Verarbeitungsverzeichnis und als Datenschutzmanagementsystem nutzen kann.