In den Einstellungen findet sich die Möglichkeit der “Anonymization”. Dies schauen wir uns etwas genauer an. Ist es wirklich eine Anonymisierung der personenbezogenen Daten?
Einstellungen des privacy management
Die folgende Einstellung ist möglich:
- Anonymisierung der Usernamen
- Klarnamen
Unter der Option 1 werden die Usernamen im Bereich des privacy managements unkenntlich gemacht. Dies gilt für Policies, Warnungen, Betroffenenanfragen und mehr.
Was steht in der Dokumentation?
“Anonymisierung
Mit diesem Feature können Sie anonymisierte Versionen von Benutzernamen innerhalb von Datenschutzverwaltungsfeatures für Benutzer in bestimmten Rollen anzeigen. Dadurch werden identifizierbare Anzeigenamen wie “Grace Grace” durch eine generische Bezeichnung wie “AnonyIS8-988” ersetzt, um die Identitäten Ihrer Benutzer beim Überprüfen vertraulicher Daten zu maskieren. Diese Option gilt nicht für das Anforderungsmodul für Betreffrechte.“
Betroffenenrechte = Betreffrechte, hier ist die automatische Übersetzung einmal falsch abgebogen.
Was bedeutet dies?
Aus der Sicht der DSGVO handelt es sich hier um eine Pseudonymisierung. Die Benutzernamen werden durch kryptische nicht zu zuordnete Kennungen ersetzt. Dies bedeutet jedoch, dass Microsoft hin und her wechseln kann und der Benutzername dennoch verarbeitet wird. Eine Anonymisierung ist dies nicht. Dies hat zur Folge, dass es sich trotz der Einstellung um personenbezogene Daten handelt. Jedoch kann es eine TOM sein, um eben die Namen der Personen z.B. vor anderen Administratoren oder Betriebsräten zu schützen. Also besser mit der Einstellung, die in default an ist als ohne.
Die Erläuterung ist nur etwas verwirrend, aber nicht komplett unrichtig. Ich habe hier bereits das entsprechende Team bei Microsoft informiert und neben einigen Übersetzungsfehlern auf den Umstand hingewiesen.
Dank an Johannes und Markus für die Diskussion:
Anonymität oder Pseudonym?
Was meint ihr? #Teamdatenschutz @JoNehlsen @AnsgarJahns
Privacy Management #Microsoft365 pic.twitter.com/0qZKnQDV01
— Raphael Koellner #teamdatenschutz (@Ra_Koellner) August 14, 2021