Drücke "Enter", um den Text zu überspringen.

Neues Datenschutz Management im Microsoft 365 Compliance Center – Teil 2 Funktionen

Nachdem ersten Beitrag, welcher erläutert, wie man an der Preview teilnehmen kann, folgt nun ein Beitrag über die Funktionen und Möglichkeiten des neuen Privacy Management in Microsoft 365.

5 teilige Blogserie

  1. Rollen und Einrichtung Privacy Management 
  2. Funktionen und Möglichkeiten  des Privacy Management 
  3. Datenschutz und Datenfluss beim Privacy Management 
  4. Hinweise zur Rollenverteilung im Unternehmen (folgt)
  5. Zukunft des Privacy Management und Ausblick (folgt)

Sonderbeitrag:

  1. Was bringt das Privacy Management in Deutschland? (folgt)
  2. Erstellen eines eigenen Schema zum Erkennen von personenbezogenen Daten am Beispiel von Sozialdaten. (folgt)

 

 

Sinn und Zweck des Privacy Management

Das Privacy Management ist aus Sicht der USA mit europäischem Einfluss zu sehen. So geht es hauptsächlich um Daten, Datenklassifikation und Anforderungen wie die Datenminimierung. Der technische Datenschutz und die Cloudnutzung beginnt mit der Datenklassifizierung.

Folgende Kernthemen sind zu identifizieren: 

  1. Suchen, Erkennen und Visualisieren von personenbezogenen Daten
    Hierbei geht es um das Verständnis welche Daten und wo diese Daten innerhalb des Unternehmens gespeichert werden. Dies ist aktuell immer noch eine große Herausforderung, da viele Systeme diese Informationen nicht preisgeben können und Daten nicht klassifiziert sind. 
    Microsoft bietet hier einen von Microsoft finanzierten Accelerator Workshop an, welchen ich schon mehrfach durchführen konnte. Es zeigt sich immer, dass schon ein reines labeln sehr zum Schutz der Daten beiträgt und neben Datenschutzanforderungen auch Anforderungen des Gesetzes zum Schutz von Geschäftsgeheimnissen beiträgt.
  2. Erkennen und Verwalten von Datenschutzrisiken
    Nach der Auswertung folgt das Verwaltung und angehen von Datenschutzrisiken, wie dem Datenabfluss. Es werden integrierte Systeme wie DLP eingesetzt, um Warnungen und Probleme wie unbeabsichtigte Überteilung, Offenlegung oder unnötige Speicherung persönlicher Informationen zu beheben.
  3. Erfüllung von Betroffenenanfragen
    Das Data Subjekt Request, also die Betroffenenanfragen sind nun in diesem Punkt eingebraut worden und erhalten eine neuen Wizard und eine neue Oberfläche. 

Die Datenschutzverwaltung bietet also Werkzeuge, die euch helfen, wichtige Aufgaben zu automatisieren und Ihre Datenverarbeitungsworkflows einfach zu verwalten.

Funktionen – Alles neu? 

Microsoft stellt bereits bestehende Funktionen zusammen und macht daraus ein Privacy Management. So werden Datenklassifikation, Regeln und auch Betroffenenanfragen nun zentralisiert:

 

Übersicht und Start

Zu Beginn sieht die Übersicht noch leer aus, zeigt aber schon mal was uns nach einigen Tagen erwartet:

  • Wo befinden sich die meisten personenbezogenen Daten?
  • Aktive Policy Alerts
  • personenbezogene Daten im Unternehmen
  • Datentransfer 
  • ungenutzte personenbezogene Daten
  • Anträge auf Schutzrechte/ Betroffenenrechte nach Wohnsitz
  • Übersicht über Betroffenenrechte

 

Einstellungen und Settings

Die folgenden Einstellungen gelten für das gesamte Privacy Management und kann von den einzelnen Unterseiten erreicht werden.

1 Anonymisieren

In dieser Einstellung kann  man die Anonymisierung der Benutzernamen einstellen. So werden die Informationen im Portal anonymisiert. (Ich teste dies gerade)

2 Einstellungen zu Benachrichtigungen

Wenn wir eine Übereinstimmung mit Ihren Datenverarbeitungsrichtlinien feststellen, sendet die Datenschutzverwaltung eine E-Mail an den betroffenen Benutzer mit Korrekturmaßnahmen und einem Link zu einer Datenschutzschulung. Sie können die Häufigkeit der E-Mails und die URL der Schulung festlegen, wenn Sie eine Richtlinie erstellen oder bearbeiten.

Lerne mehr (Link)

Festlegen von Benutzer-E-Mail-Benachrichtigungen

Mit E-Mail-Benachrichtigungen erhalten Benutzer direkte Benachrichtigungen zu Richtlinienübereinstimmungen und wichtigen Aufgaben, die ausgeführt werden müssen. Die Empfänger erhalten E-Mail-Digests, in denen die zu überprüfenden Daten und mögliche Aktionen zusammengefasst werden, z. B. das Privatemachen von Dokumenten, das Beibehalten der Dateien in einer Datei, das Melden falsch positiver Übereinstimmungen und das Hinzufügen von Notizen für zukünftige Verweise. Diese E-Mails enthalten auch Links für Schulungsempfänger zum Umgang mit diesen Fällen. Das Bereitstellen dieser Links ist beim anfänglichen Einrichten von Benachrichtigungen erforderlich und sollte auf Ihre eigene interne Dokumentation zu Prozessen und bewährten Methoden verweisen.

Benachrichtigungen können für einzelne Richtlinien während der Erstellung einer benutzerdefinierten Richtlinie oder beim Bearbeiten einer Richtlinie aktiviert werden. Verwenden Sie den Abschnitt “Ergebnisse”, um zu definieren, was passiert, wenn eine Richtlinienübersprechung erkannt wird, einschließlich der Option zum Aktivieren dieser Benachrichtigungen, und legen Sie fest, wie oft diese Digests übermittelt werden sollen.

Die E-Mail-Benachrichtigungsfunktion wird auf globaler Ebene innerhalb Einstellungen gesteuert. Diese Anwendung ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, werden alle E-Mails beendet, auch wenn bestimmte Benachrichtigungen auf einer einzelnen Richtlinienebene konfiguriert wurden. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen unter Erste Schritte mit der Datenschutzverwaltung.” 

3 Einstellungen zur Koppelung mit Microsoft Teams

Neu und interessant ist es, dass es nun möglich ist die Aufgaben des privacy managements nun gemeinsam in einem Microsoft Teams zu bewältigen. Zunächst geht es nur um die Betroffnenanfragen.

“Integrieren Sie die Funktionen von Microsoft Teams in die Datenschutzverwaltung, um die Zusammenarbeit mit den Beteiligten zu verbessern. Jedes Mal, wenn eine Anfrage für Subjektrechte erstellt wird, wird ein zugehöriges Team erstellt. Benutzer können einem Team über die Registerkarte “Mitarbeiter” der Anfrage hinzugefügt werden.”

Zusammenarbeit an Anforderungen mit Teams

Das Datenschutzmanagement unterstützt die Zusammenarbeit über Microsoft Teams, damit Ihre Gruppe bei Anträgen auf Rechte von Antragstellern zusammenarbeiten kann. Wenn Sie eine neue Anforderung erstellen, wird automatisch ein Teams Kanal erstellt und ihrer Anforderung standardmäßig zugeordnet. Hier können Sie die Anforderung besprechen und Eingaben und Beiträge auf dem Weg zur Fertigstellung sicher teilen. Um an der Unterhaltung teilzunehmen, öffnen Sie Ihre Anforderung, und verwenden Sie die Option “Mit Mitarbeitern chatten”. Dadurch werden Microsoft Teams geöffnet, und Sie werden im Kanal “Allgemein” für die Teamwebsite Ihrer Antragstellerrechte-Anforderung platziert.

Um die Liste der aktiven Mitarbeiter zu überprüfen, die Ihre Teamwebsite anzeigen und dazu beitragen können, öffnen Sie in Ihrer Anfrage zu den Betreffrechten die Registerkarte “Mitarbeiter”. Um weitere Benutzer hinzuzufügen, die an dieser Anforderung zusammenarbeiten sollen, wählen Sie die Option zum Hinzufügen eines Mitarbeiters aus.

Um das Standardverhalten des Generierens von Teams Websites beim Erstellen einer Anforderung für Betreffrechte zu ändern, wählen Sie den Einstellungen Zahnrad in der oberen rechten Ecke der Anforderungsseite für Betreffrechte aus, und wählen Sie Teams Zusammenarbeit aus, um die Einstellung zu ändern.

Sie können auch die Option “Freigeben” in der oberen rechten Ecke innerhalb einer Anforderung für Betreffrechte verwenden, um Personen über Teams oder E-Mail einzugeben oder den Link zur Seite in der Datenschutzverwaltung zu kopieren. Die Freigabe über Teams ermöglicht es Ihnen, eine vorhandene Teams-Website auszuwählen, die für Ihr Konto verfügbar ist, und einen bestimmten Kanal auf dieser Website auszuwählen, in dem der Link zu diesem Fall zusammen mit allen von Ihnen bereitgestellten Nachrichten bereitgestellt wird.”

 

4. Data Matching / Personal data upload

Dies ist der wohl spannendste Punkt. Ich arbeite hier schon länger dran und werde einen Sonderbeitrag zum Thema Sozialdatenschutz schreiben.

Link: Verwalten von Anträgen auf Antragstellerrechte in der Microsoft-Datenschutzverwaltung (Vorschau) – Microsoft 365 Compliance | Microsoft Docs

 

5. Data review tags

Verwalten Sie hier Ihre benutzerdefinierten Tags. Diese Tags werden verwendet, um Dateien zu markieren, die im Rahmen einer Anfrage nach Subjektrechten abgerufen werden.

Manage privacy management settings (preview) – Microsoft 365 Compliance | Microsoft Docs

“Verwalten Sie die Tags, die Sie verwenden, um Dateien zu kennzeichnen, die in einer Anfrage nach Subjektrechten abgerufen werden. In diesem Abschnitt können Sie die Namen und Beschreibungen für benutzerdefinierte Tags bearbeiten. Sie können auch Tag-Beschreibungen für die vom System bereitgestellten Tags bearbeiten. Die Namen für System-Tags können nicht geändert werden. Weitere Informationen zu Subjektrechteanfragen finden Sie unter Verwalten von Subjektrechteanfragen.”

Funktionen erklärt

In diesem Kapitel betrachten wir die einzelnen Möglichkeiten und Funktionen von Beginn an.

1) Privacy management: Data profile (preview)

In diesem Bereich erhaltet ihr eine Übersicht über die Daten in eurer Umgebung mit Fokus auf personenbezogene Daten. Dies jedoch auch nur, wenn ihr entsprechend bereits mit DLP/MIP/Information Types arbeitet. Dafür ist es sinnvoll das M365 E5 Information Protection und Information Governance Add-On pro zu erwerben, um eben Daten auch automatisch zu klassifizieren.

Gerade bei dieser Funktion merkt man noch, dass es sich um eine Preview handelt. Bitte nutzt für einen aktuellen Einblick “Data classification” im Compliance Center. 

 

2) Privacy management: Policies (preview)

Diese Funktion ist neu und kommt erst mit dem privacy management. Diese sollen helfen, dass ihr einen besseren Überblick über eure Daten erhaltet:

Bei den Policies handelt es sich um zunächst folgende Regeln:

Bereits angelegt Standardpolicies:

  • Default data minimization
  • Default data tranfer
  • Default data overexposure
  • Default open access policy (Testing)

Durch euch anzulegende Regeln:

  • Datatransfer rule
    Hier könnt ihr einstellen, wohin eure Daten gehen, also transferiert werden. Ihr stellt Sender und Empfänger Land ein und erhaltet entsprechende Informationen.
  • Data overexposure
    Verwendet diese Vorlage, um eine Richtlinie zu erstellen, die übermäßig exponierte persönliche Daten erkennt und die Benutzer auffordert, diese zu sichern.
  • Data minimization
    Verwenden Sie diese Vorlage, um eine Richtlinie zu erstellen, die den Benutzern hilft, die Menge der ungenutzten personenbezogenen Daten im Unternehmen zu ermitteln und zu reduzieren..
  • Custom
    Hier könnt ihr selbstständig Regeln erstellen. Dies mache ich weiter unten in diesem Beitrag.

Grundlegendes zu den Policies

“Wir starten diese Richtlinie im Testmodus, damit Sie sehen können, wie sie funktioniert. Es wird mit den Standardeinstellungen nach Übereinstimmungen der letzten 30 Tage gesucht. Wenn die Daten eintreffen, sehen Sie, wie viele Nutzer betroffen sind und welche Arten personenbezogener Daten von welchen Standorten aus übertragen wurden. Nachdem der Test einige Tage lang gelaufen ist, verfügen Sie über die nötigen Informationen, um Warnungen einzurichten, Benachrichtigungen zu erstellen, mit denen Benutzer aufgefordert werden, Probleme zu beheben und Schulungen zu absolvieren, und die Richtlinie zu aktivieren. Die Seite mit den Richtliniendetails bietet fortlaufende Einblicke in Problembereiche, Schweregrad und Trends der Warnungen sowie in die ergriffenen Abhilfemaßnahmen”

Wichtig zu wissen ist, dass auch diese Policies wieder auf den information types basieren, die schon für DLP und das Autolabeling von MIP und Retention verwendet werden. Umso wichtiger ist es entsprechende infotypes vorher angelegt zu haben und zu entwickeln. Hierzu gibt es einen gesonderten Beitrag von mir und in Zukunft einen zu Sozialdaten. 

Erstellen und Verwalten von Richtlinien in Microsoft Privacy Management (Vorschau) – Microsoft 365 Compliance | Microsoft Docs

Eine Policy anlegen (Datatransfer)

Nun lege ich einmal eine Datatransfer Policy an. Diese ist für mich aktuell am spannendsten, da man überwachen kann, ob Daten in die USA übertragen werden (Schrems2) und ob Daten Deutschland verlassen (Exportregeln/z.B. IP). 

Vorbereitung/Preparing

Ihr benötigt eine Webseite oder Intranetseite zum “privacy Training”. Diese müsst ihr im Wizard immer angeben, damit Nutzer die Meldungen erhalten, entsprechend Informationen erhalten, was sie falsch gemacht haben und trainieren können.

 

  1. Name anlegen und grundlegendes Template (1 von 3)

2) Welche Daten sollen überwacht werden?

Hier müsst ihr auswählen, welche Daten überwacht werden sollen. In Europa oder Deutschland relevant ist aktuell nur GDPR. Hier zeigen sich wieder die information types, die ihr auch individuell wieder zusammenstellen können (bis 10 Stück). 

und fertig GDPR ausgewählt:

 

3) Auswahl der Nutzer oder spezieller Gruppen

Ihr könnt alle AD items überwachen, dies heißt Member des Tenants und auch Gäste. Es ist ratsam eine Security Group dafür zu erstellen, wenn man die eigene Governance wahren will. 

4) Auswahl der Datenlokationen, die überwacht werden sollen

In dieser Auswahl könnt ihr euch entscheiden, welche Daten überwacht werden sollen:

  • Exchange Mailboxen
  • OneDrive Accounts
  • Team Chats und Kanalnachrichten
  • SharePoint Sites

Bei den SharePoint Sites könnt ihr auswählen, welche Sites ihr überwachen wollt oder generell alle Sites. 

5 ) Conditions

In diesem fünften Punkt könnt ihr die Policy durch Konditionen granularer konfigurieren und so bessere Ergebnisse erhalten. In diesem Fall habe ich den Datatransfer ausgewählt und gebe an, zwischen welchen Ländern der Transfer überwacht werden soll.

Auswahl der Länder für Sender und Empfänger: 

fertige Auswahl

Ziel: Deutschland als Sender für den deutschen Tenant, alle anderen Drittländer inkl. USA als Empfänger (ok auch sichere Drittländer dabei, aber man will es doch wissen) 

 

6) Outcomes/ Ergebnisse

Ihr könnt einstellen, wie oft die Nutzer und ihr die Ergebnisse gesendet bekommen sollt. Wichtig ist, dass ihr eine Intranetseite oder Webseite benötigt, um diese bei privacy training zu hinterlegen. 

7) Benachrichtigungen

Nun geht es darum die Benachrichtigungen zu konfigurieren. Dies ist sinnvoll, so dass ihr nicht mit Warnungen überhäuft werdet und dann den Überblick für die wichtige Information verliert.

Ich nutze hier einmal die zweite Option und sage, dass es ein Qualität eines Medium Alert hat. Ihr könnt und das habe ich später geändert hier eher High auswählen, da der Transfer in unsichere Drittländer eher hohe Risiken beinhaltet.

8) Testmode oder aktivieren?

Nun könnt ihr den Testmode einschalten oder die Policy direkt aktivieren. Ich empfehle mit dem Testmode zu starten und erst  zu aktivieren, wenn ihr eure MitarbeiterInnen informiert habt. Überraschende Emails sollten diese nur verwirren und helfen nicht als TOM. 

10) fertig und Übersicht

Nun habt ihr die Policy eingerichtet und könnt auf Ergebnisse warten. Ich empfehle aktuell nach der private Preview und den ersten Tagen mit der Preview, dass ihr gut 7 Werktage wartet. 

 

3) Privacy management: Betroffenenanfragen

Betroffenenanfragen zu beantworten ist seit 2018 und der DSGVO zum Standard geworden. Die Anzahl der Betroffenenfragen hat sich im Jahr 2021 fast verdoppelt und das Bußgeldrisiko daraus erwachsen ist erhöht.

Übersicht zu Beginn

Anfrage erstellen

Nun wollen wir doch direkt mal eine Anfrage erstellen. Eine Person mit Namen Raphael Köllner möchte Auskunft über seine Datenverarbeitung und Export haben.

 

1) Betroffenen registrieren

Nun trage ich also den Betroffenen ein und benötige dafür:

  • Vorname
  • Nachname
  • Email
  • Wohnort, besser das Land
  • Attribute, die die Person haben möchte, damit dieser extrahiert werden und gesucht.

2) Betroffenen klassifizieren

Hierbei geht es zur Auswahl, wer der Betroffene ist. Ist dieser ein Kunde, ein Mitarbeiter, ein ehemaliger Mitarbeiter, ein Bewerber oder eine andere Kategorie. 

 

3) Art der Anfrage

Als Nächstes kommt die Auswahl, welche Art die Anfrage hat. In unserem Fall möchte der Betroffene einen Export, also wähle ich diese Option.

Möglich ist:

  • Zugang
  • Export
  • Auskunft = Zusammenfassung der Daten

Dazu wähle ich die Anforderung. In diesem Fall die GDPR. Ihr könnt auch auf Regulatorien aus den USA und bis zu 16 verschiedene Auswählen.

4) Namen und Beschreibung für die Betroffenenanfrage

Als Letztes müsst ihr der Anfrage einen Namen geben und eine Beschreibung ausfüllen. Ich bitte euch hier gerade bei den Namen auf ein bereits verwendetes Schema hinzuweisen und dieses zu nutzen. Es bietet sich an:

Betroffener-Art-Datum

5) fertig und Beginn

 

Übersicht der Anfragen nach der Erstellung einer Anfrage

Nun haben wir eine Anfrage erstellt und diese taucht nun in diesem wirklich besserem Dashboard auf. Dieses ist wesentlich besser als früher in der AAD oder im Compliance Center.

 

Nutzer einbinden und den Datenschutz stärken

Ihr bekommt kurz nach der Einrichtung einen Hinweis, die Nutzer mit einzubinden:

Drei Funktionen stehen zur Verfügung

 

 

 

Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.