Nachdem ersten Beitrag, welcher erläutert, wie man an der Preview teilnehmen kann, folgt nun ein Beitrag über die Funktionen und Möglichkeiten des neuen Privacy Management in Microsoft 365.
5 teilige Blogserie
- Rollen und Einrichtung Privacy Management
- Funktionen und Möglichkeiten des Privacy Management
- Datenschutz und Datenfluss beim Privacy Management
- Hinweise zur Rollenverteilung im Unternehmen (folgt)
- Zukunft des Privacy Management und Ausblick (folgt)
Sonderbeitrag:
- Was bringt das Privacy Management in Deutschland? (folgt)
- Erstellen eines eigenen Schema zum Erkennen von personenbezogenen Daten am Beispiel von Sozialdaten. (folgt)
Sinn und Zweck des Privacy Management
Das Privacy Management ist aus Sicht der USA mit europäischem Einfluss zu sehen. So geht es hauptsächlich um Daten, Datenklassifikation und Anforderungen wie die Datenminimierung. Der technische Datenschutz und die Cloudnutzung beginnt mit der Datenklassifizierung.
Folgende Kernthemen sind zu identifizieren:
- Suchen, Erkennen und Visualisieren von personenbezogenen Daten
Hierbei geht es um das Verständnis welche Daten und wo diese Daten innerhalb des Unternehmens gespeichert werden. Dies ist aktuell immer noch eine große Herausforderung, da viele Systeme diese Informationen nicht preisgeben können und Daten nicht klassifiziert sind.
Microsoft bietet hier einen von Microsoft finanzierten Accelerator Workshop an, welchen ich schon mehrfach durchführen konnte. Es zeigt sich immer, dass schon ein reines labeln sehr zum Schutz der Daten beiträgt und neben Datenschutzanforderungen auch Anforderungen des Gesetzes zum Schutz von Geschäftsgeheimnissen beiträgt. - Erkennen und Verwalten von Datenschutzrisiken
Nach der Auswertung folgt das Verwaltung und angehen von Datenschutzrisiken, wie dem Datenabfluss. Es werden integrierte Systeme wie DLP eingesetzt, um Warnungen und Probleme wie unbeabsichtigte Überteilung, Offenlegung oder unnötige Speicherung persönlicher Informationen zu beheben. - Erfüllung von Betroffenenanfragen
Das Data Subjekt Request, also die Betroffenenanfragen sind nun in diesem Punkt eingebraut worden und erhalten eine neuen Wizard und eine neue Oberfläche.
Die Datenschutzverwaltung bietet also Werkzeuge, die euch helfen, wichtige Aufgaben zu automatisieren und Ihre Datenverarbeitungsworkflows einfach zu verwalten.
Funktionen – Alles neu?
Microsoft stellt bereits bestehende Funktionen zusammen und macht daraus ein Privacy Management. So werden Datenklassifikation, Regeln und auch Betroffenenanfragen nun zentralisiert:
Übersicht und Start
Zu Beginn sieht die Übersicht noch leer aus, zeigt aber schon mal was uns nach einigen Tagen erwartet:
- Wo befinden sich die meisten personenbezogenen Daten?
- Aktive Policy Alerts
- personenbezogene Daten im Unternehmen
- Datentransfer
- ungenutzte personenbezogene Daten
- Anträge auf Schutzrechte/ Betroffenenrechte nach Wohnsitz
- Übersicht über Betroffenenrechte
Einstellungen und Settings
Die folgenden Einstellungen gelten für das gesamte Privacy Management und kann von den einzelnen Unterseiten erreicht werden.
1 Anonymisieren
In dieser Einstellung kann man die Anonymisierung der Benutzernamen einstellen. So werden die Informationen im Portal anonymisiert. (Ich teste dies gerade)
2 Einstellungen zu Benachrichtigungen
Wenn wir eine Übereinstimmung mit Ihren Datenverarbeitungsrichtlinien feststellen, sendet die Datenschutzverwaltung eine E-Mail an den betroffenen Benutzer mit Korrekturmaßnahmen und einem Link zu einer Datenschutzschulung. Sie können die Häufigkeit der E-Mails und die URL der Schulung festlegen, wenn Sie eine Richtlinie erstellen oder bearbeiten.
Lerne mehr (Link)
” Festlegen von Benutzer-E-Mail-Benachrichtigungen
Mit E-Mail-Benachrichtigungen erhalten Benutzer direkte Benachrichtigungen zu Richtlinienübereinstimmungen und wichtigen Aufgaben, die ausgeführt werden müssen. Die Empfänger erhalten E-Mail-Digests, in denen die zu überprüfenden Daten und mögliche Aktionen zusammengefasst werden, z. B. das Privatemachen von Dokumenten, das Beibehalten der Dateien in einer Datei, das Melden falsch positiver Übereinstimmungen und das Hinzufügen von Notizen für zukünftige Verweise. Diese E-Mails enthalten auch Links für Schulungsempfänger zum Umgang mit diesen Fällen. Das Bereitstellen dieser Links ist beim anfänglichen Einrichten von Benachrichtigungen erforderlich und sollte auf Ihre eigene interne Dokumentation zu Prozessen und bewährten Methoden verweisen.
Benachrichtigungen können für einzelne Richtlinien während der Erstellung einer benutzerdefinierten Richtlinie oder beim Bearbeiten einer Richtlinie aktiviert werden. Verwenden Sie den Abschnitt “Ergebnisse”, um zu definieren, was passiert, wenn eine Richtlinienübersprechung erkannt wird, einschließlich der Option zum Aktivieren dieser Benachrichtigungen, und legen Sie fest, wie oft diese Digests übermittelt werden sollen.
Die E-Mail-Benachrichtigungsfunktion wird auf globaler Ebene innerhalb Einstellungen gesteuert. Diese Anwendung ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, werden alle E-Mails beendet, auch wenn bestimmte Benachrichtigungen auf einer einzelnen Richtlinienebene konfiguriert wurden. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen unter Erste Schritte mit der Datenschutzverwaltung.”
3 Einstellungen zur Koppelung mit Microsoft Teams
Neu und interessant ist es, dass es nun möglich ist die Aufgaben des privacy managements nun gemeinsam in einem Microsoft Teams zu bewältigen. Zunächst geht es nur um die Betroffnenanfragen.
“Integrieren Sie die Funktionen von Microsoft Teams in die Datenschutzverwaltung, um die Zusammenarbeit mit den Beteiligten zu verbessern. Jedes Mal, wenn eine Anfrage für Subjektrechte erstellt wird, wird ein zugehöriges Team erstellt. Benutzer können einem Team über die Registerkarte “Mitarbeiter” der Anfrage hinzugefügt werden.”
“Zusammenarbeit an Anforderungen mit Teams
Das Datenschutzmanagement unterstützt die Zusammenarbeit über Microsoft Teams, damit Ihre Gruppe bei Anträgen auf Rechte von Antragstellern zusammenarbeiten kann. Wenn Sie eine neue Anforderung erstellen, wird automatisch ein Teams Kanal erstellt und ihrer Anforderung standardmäßig zugeordnet. Hier können Sie die Anforderung besprechen und Eingaben und Beiträge auf dem Weg zur Fertigstellung sicher teilen. Um an der Unterhaltung teilzunehmen, öffnen Sie Ihre Anforderung, und verwenden Sie die Option “Mit Mitarbeitern chatten”. Dadurch werden Microsoft Teams geöffnet, und Sie werden im Kanal “Allgemein” für die Teamwebsite Ihrer Antragstellerrechte-Anforderung platziert.
Um die Liste der aktiven Mitarbeiter zu überprüfen, die Ihre Teamwebsite anzeigen und dazu beitragen können, öffnen Sie in Ihrer Anfrage zu den Betreffrechten die Registerkarte “Mitarbeiter”. Um weitere Benutzer hinzuzufügen, die an dieser Anforderung zusammenarbeiten sollen, wählen Sie die Option zum Hinzufügen eines Mitarbeiters aus.
Um das Standardverhalten des Generierens von Teams Websites beim Erstellen einer Anforderung für Betreffrechte zu ändern, wählen Sie den Einstellungen Zahnrad in der oberen rechten Ecke der Anforderungsseite für Betreffrechte aus, und wählen Sie Teams Zusammenarbeit aus, um die Einstellung zu ändern.
Sie können auch die Option “Freigeben” in der oberen rechten Ecke innerhalb einer Anforderung für Betreffrechte verwenden, um Personen über Teams oder E-Mail einzugeben oder den Link zur Seite in der Datenschutzverwaltung zu kopieren. Die Freigabe über Teams ermöglicht es Ihnen, eine vorhandene Teams-Website auszuwählen, die für Ihr Konto verfügbar ist, und einen bestimmten Kanal auf dieser Website auszuwählen, in dem der Link zu diesem Fall zusammen mit allen von Ihnen bereitgestellten Nachrichten bereitgestellt wird.”
4. Data Matching / Personal data upload
Dies ist der wohl spannendste Punkt. Ich arbeite hier schon länger dran und werde einen Sonderbeitrag zum Thema Sozialdatenschutz schreiben.
5. Data review tags
Verwalten Sie hier Ihre benutzerdefinierten Tags. Diese Tags werden verwendet, um Dateien zu markieren, die im Rahmen einer Anfrage nach Subjektrechten abgerufen werden.
Manage privacy management settings (preview) – Microsoft 365 Compliance | Microsoft Docs
“Verwalten Sie die Tags, die Sie verwenden, um Dateien zu kennzeichnen, die in einer Anfrage nach Subjektrechten abgerufen werden. In diesem Abschnitt können Sie die Namen und Beschreibungen für benutzerdefinierte Tags bearbeiten. Sie können auch Tag-Beschreibungen für die vom System bereitgestellten Tags bearbeiten. Die Namen für System-Tags können nicht geändert werden. Weitere Informationen zu Subjektrechteanfragen finden Sie unter Verwalten von Subjektrechteanfragen.”
Funktionen erklärt
In diesem Kapitel betrachten wir die einzelnen Möglichkeiten und Funktionen von Beginn an.
1) Privacy management: Data profile (preview)
In diesem Bereich erhaltet ihr eine Übersicht über die Daten in eurer Umgebung mit Fokus auf personenbezogene Daten. Dies jedoch auch nur, wenn ihr entsprechend bereits mit DLP/MIP/Information Types arbeitet. Dafür ist es sinnvoll das M365 E5 Information Protection und Information Governance Add-On pro zu erwerben, um eben Daten auch automatisch zu klassifizieren.
Gerade bei dieser Funktion merkt man noch, dass es sich um eine Preview handelt. Bitte nutzt für einen aktuellen Einblick “Data classification” im Compliance Center.
2) Privacy management: Policies (preview)
Diese Funktion ist neu und kommt erst mit dem privacy management. Diese sollen helfen, dass ihr einen besseren Überblick über eure Daten erhaltet:
Bei den Policies handelt es sich um zunächst folgende Regeln:
Bereits angelegt Standardpolicies:
- Default data minimization
- Default data tranfer
- Default data overexposure
- Default open access policy (Testing)
Durch euch anzulegende Regeln:
- Datatransfer rule
Hier könnt ihr einstellen, wohin eure Daten gehen, also transferiert werden. Ihr stellt Sender und Empfänger Land ein und erhaltet entsprechende Informationen. - Data overexposure
Verwendet diese Vorlage, um eine Richtlinie zu erstellen, die übermäßig exponierte persönliche Daten erkennt und die Benutzer auffordert, diese zu sichern. - Data minimization
Verwenden Sie diese Vorlage, um eine Richtlinie zu erstellen, die den Benutzern hilft, die Menge der ungenutzten personenbezogenen Daten im Unternehmen zu ermitteln und zu reduzieren.. - Custom
Hier könnt ihr selbstständig Regeln erstellen. Dies mache ich weiter unten in diesem Beitrag.
Grundlegendes zu den Policies
“Wir starten diese Richtlinie im Testmodus, damit Sie sehen können, wie sie funktioniert. Es wird mit den Standardeinstellungen nach Übereinstimmungen der letzten 30 Tage gesucht. Wenn die Daten eintreffen, sehen Sie, wie viele Nutzer betroffen sind und welche Arten personenbezogener Daten von welchen Standorten aus übertragen wurden. Nachdem der Test einige Tage lang gelaufen ist, verfügen Sie über die nötigen Informationen, um Warnungen einzurichten, Benachrichtigungen zu erstellen, mit denen Benutzer aufgefordert werden, Probleme zu beheben und Schulungen zu absolvieren, und die Richtlinie zu aktivieren. Die Seite mit den Richtliniendetails bietet fortlaufende Einblicke in Problembereiche, Schweregrad und Trends der Warnungen sowie in die ergriffenen Abhilfemaßnahmen”
Wichtig zu wissen ist, dass auch diese Policies wieder auf den information types basieren, die schon für DLP und das Autolabeling von MIP und Retention verwendet werden. Umso wichtiger ist es entsprechende infotypes vorher angelegt zu haben und zu entwickeln. Hierzu gibt es einen gesonderten Beitrag von mir und in Zukunft einen zu Sozialdaten.
Eine Policy anlegen (Datatransfer)
Nun lege ich einmal eine Datatransfer Policy an. Diese ist für mich aktuell am spannendsten, da man überwachen kann, ob Daten in die USA übertragen werden (Schrems2) und ob Daten Deutschland verlassen (Exportregeln/z.B. IP).
Vorbereitung/Preparing
Ihr benötigt eine Webseite oder Intranetseite zum “privacy Training”. Diese müsst ihr im Wizard immer angeben, damit Nutzer die Meldungen erhalten, entsprechend Informationen erhalten, was sie falsch gemacht haben und trainieren können.
-
Name anlegen und grundlegendes Template (1 von 3)
2) Welche Daten sollen überwacht werden?
Hier müsst ihr auswählen, welche Daten überwacht werden sollen. In Europa oder Deutschland relevant ist aktuell nur GDPR. Hier zeigen sich wieder die information types, die ihr auch individuell wieder zusammenstellen können (bis 10 Stück).
und fertig GDPR ausgewählt:
3) Auswahl der Nutzer oder spezieller Gruppen
Ihr könnt alle AD items überwachen, dies heißt Member des Tenants und auch Gäste. Es ist ratsam eine Security Group dafür zu erstellen, wenn man die eigene Governance wahren will.
4) Auswahl der Datenlokationen, die überwacht werden sollen
In dieser Auswahl könnt ihr euch entscheiden, welche Daten überwacht werden sollen:
- Exchange Mailboxen
- OneDrive Accounts
- Team Chats und Kanalnachrichten
- SharePoint Sites
Bei den SharePoint Sites könnt ihr auswählen, welche Sites ihr überwachen wollt oder generell alle Sites.
5 ) Conditions
In diesem fünften Punkt könnt ihr die Policy durch Konditionen granularer konfigurieren und so bessere Ergebnisse erhalten. In diesem Fall habe ich den Datatransfer ausgewählt und gebe an, zwischen welchen Ländern der Transfer überwacht werden soll.
Auswahl der Länder für Sender und Empfänger:
fertige Auswahl
Ziel: Deutschland als Sender für den deutschen Tenant, alle anderen Drittländer inkl. USA als Empfänger (ok auch sichere Drittländer dabei, aber man will es doch wissen)
6) Outcomes/ Ergebnisse
Ihr könnt einstellen, wie oft die Nutzer und ihr die Ergebnisse gesendet bekommen sollt. Wichtig ist, dass ihr eine Intranetseite oder Webseite benötigt, um diese bei privacy training zu hinterlegen.
7) Benachrichtigungen
Nun geht es darum die Benachrichtigungen zu konfigurieren. Dies ist sinnvoll, so dass ihr nicht mit Warnungen überhäuft werdet und dann den Überblick für die wichtige Information verliert.
Ich nutze hier einmal die zweite Option und sage, dass es ein Qualität eines Medium Alert hat. Ihr könnt und das habe ich später geändert hier eher High auswählen, da der Transfer in unsichere Drittländer eher hohe Risiken beinhaltet.
8) Testmode oder aktivieren?
Nun könnt ihr den Testmode einschalten oder die Policy direkt aktivieren. Ich empfehle mit dem Testmode zu starten und erst zu aktivieren, wenn ihr eure MitarbeiterInnen informiert habt. Überraschende Emails sollten diese nur verwirren und helfen nicht als TOM.
10) fertig und Übersicht
Nun habt ihr die Policy eingerichtet und könnt auf Ergebnisse warten. Ich empfehle aktuell nach der private Preview und den ersten Tagen mit der Preview, dass ihr gut 7 Werktage wartet.
3) Privacy management: Betroffenenanfragen
Betroffenenanfragen zu beantworten ist seit 2018 und der DSGVO zum Standard geworden. Die Anzahl der Betroffenenfragen hat sich im Jahr 2021 fast verdoppelt und das Bußgeldrisiko daraus erwachsen ist erhöht.
Übersicht zu Beginn
Anfrage erstellen
Nun wollen wir doch direkt mal eine Anfrage erstellen. Eine Person mit Namen Raphael Köllner möchte Auskunft über seine Datenverarbeitung und Export haben.
1) Betroffenen registrieren
Nun trage ich also den Betroffenen ein und benötige dafür:
- Vorname
- Nachname
- Wohnort, besser das Land
- Attribute, die die Person haben möchte, damit dieser extrahiert werden und gesucht.
2) Betroffenen klassifizieren
Hierbei geht es zur Auswahl, wer der Betroffene ist. Ist dieser ein Kunde, ein Mitarbeiter, ein ehemaliger Mitarbeiter, ein Bewerber oder eine andere Kategorie.
3) Art der Anfrage
Als Nächstes kommt die Auswahl, welche Art die Anfrage hat. In unserem Fall möchte der Betroffene einen Export, also wähle ich diese Option.
Möglich ist:
- Zugang
- Export
- Auskunft = Zusammenfassung der Daten
Dazu wähle ich die Anforderung. In diesem Fall die GDPR. Ihr könnt auch auf Regulatorien aus den USA und bis zu 16 verschiedene Auswählen.
4) Namen und Beschreibung für die Betroffenenanfrage
Als Letztes müsst ihr der Anfrage einen Namen geben und eine Beschreibung ausfüllen. Ich bitte euch hier gerade bei den Namen auf ein bereits verwendetes Schema hinzuweisen und dieses zu nutzen. Es bietet sich an:
Betroffener-Art-Datum
5) fertig und Beginn
Übersicht der Anfragen nach der Erstellung einer Anfrage
Nun haben wir eine Anfrage erstellt und diese taucht nun in diesem wirklich besserem Dashboard auf. Dieses ist wesentlich besser als früher in der AAD oder im Compliance Center.
Nutzer einbinden und den Datenschutz stärken
Ihr bekommt kurz nach der Einrichtung einen Hinweis, die Nutzer mit einzubinden:
Drei Funktionen stehen zur Verfügung
One comment
Comments are closed.