Sammlung aller Berichte
| Hessen | https://www.zaftda.de/tb-bundeslaender/hessen/landesdatenschutzbeauftragter-2/807-50-tb-lfd-hessen-2022-20-8296-vom-08-06-2022/file
50. |
Archives
Planner – Speicherort, Auditlogs, Customer Key und mehr
Eine spannende Frage ist der Speicherort und Auditlogs von Planner. Planner wird mit einer Microsoft 365 Groups
Aufbau einer Microsoft 365 Gruppe
- Microsoft 365 Groups
- Exchange Online
- SharePoint Online
- Azure Active Directory
- Planner
- Wiki (ACHTUNG: wird abgestellt)
Speicherorte
Planner ist ein aufgesplittet Werkzeug in verschiedene Bereiche:
| Aufgaben | Azure | Es wird vermutet, dass es in einer Cosmos DB liegt, ähnlich wie ToDo und Teams Chats.
Feststeht, dass es in der Standard-Region des Tenants liegen bleibt. |
| Aufgaben Kopie | Exchange Postfach des Users | Seit Februar 2021 wird eine Kopie der Aufgaben in dem Exchange Postfach des zugewiesenen Nutzers kopiert. |
| Dateien | SharePoint Libary | Die Dateien liegen in der SharePoint Bibliothek der Microsoft 365 Group. |
Planner verwendet einen Ordner namens AllToDoTasks, um seine Compliance-Datensätze zu speichern. Dieser Ordner enthält auch Compliance-Datensätze für Aufgaben. Um nur die Elemente für Planner-Aufgaben zu generieren, verfügt Exchange Online über einen MAPI-Suchordner namens Folder Memberships\Assigned to Me. Planner zeigt den Inhalt dieses Ordners an, wenn Benutzer die Option Mir zugewiesen im Planner-Hub wählen.
Auditlogs
Das Thema Auditlogs und Planner ist ein schwieriges Thema. Es gibt keine Auditlogs im Compliance Center/Purview Center von Microsoft.
Graph: https://docs.microsoft.com/en-us/graph/api/resources/planner-overview?view=graph-rest-1.0
eDiscovery
Seid der Kopie der Aufgaben in das Exchange Postfach des Nutzers, dem/der die Aufgabe zugewiesen wurde. Mit der Suche können die Tasks nun gefunden werden, auch die, die in Planner gelöscht wurden.
Customer Key
Dateien -> SharePoint Online
Aufgaben -> Nein
Planner -> Nein
KMU und die Microsoft Verträge im Zusammenhang mit dem Datenschutz
KMUs oder kleinere Mittelständler unterhalb von 500 Mitarbeiter:innen können keine Enterprise Agreement abschließen und sind drauf angewiesen Lizenzen über den direkten Bezug (Kreditkarte) oder über einen CSP (Tier 1 oder Tier 2) einzukaufen. In diesem Beitrag betrachte ich die Verträge im Blick auf den Datenschutz für KMUs ohne eine Branche wie z.B. Versicherungsvermittler, IT-Kritis oder eHealth; also einen klassischen Betrieb, Onlinehandel, Malerbetrieb oder Kiosk mit bis zu 50 Mitarbeiter:innen.
Mindestmaß
Es müssen mindestens aktuell für KMUs vorliegen:
- Kreditkarte/CSP Vertrag
- AGBs
- PT
- SLA
- DPA (15.09.2021)
- Zusatzvertrag
- Geheimhaltungsvereinbarung nach § 203 StGB
- Anlagen
- EU-Standardvertragsklauseln, neue Variante 2.0
- .pdf zu TIA von Microsoft
- Preisblatt (CSP)
- Support (CSP)
- Unterlagen aus dem Trust Center
- z.B: BSI C5, ISO 27001 usw.
Nachteile beim Directbezug
Im Rahmen des Bezugs von Lizenzen und des Tenants mit der Kreditkarte ist es nicht möglich Zusatzverträge zu erhalten oder eine Bestätigung, welche AGBs gelten etc.
Empfehlung: NIE diesen Weg wählen
Nachteile beim CSP
- nicht alle Zusatzverträge kann man erhalten
- keine Sonderveträge oder Absprachen mit Microsoft
- Nicht für IT-Kritis, BAIT, VAIT etc. geeignet
Empfehlung: CSP Tier 1 nutzen und vor Abschluss alle Verträge anfordern, nicht nur nach dem Preis gehen (Tier 1: Bechtle, Computacenter, Also, ADN usw.)
DSK Positionspaper 2019 zu Office 365
Abrufbar
Absicherung von Microsoft Teams Room Systems
Zoom veröffentlicht Checkliste für Empfehlungen der Datenschutzkonferenz
https://blog.zoom.us/de/zoom-veroffentlicht-checkliste-zu-datenschutzkonferenz-empfehlungen/
Mehrwerte von Customer Lockbox für Unternehmen
Was ist Customer Lockbox?
Customer Lockbox ist ein Zusatzmodul für den regulären Microsoft Support Prozess. Dies auch nur, wenn ein Microsoft Engineer Zugriff auf Kundendaten benötigt, um den Fehler zu beheben oder eine Fehleranalyse zu machen. Dann greift die Customer Lockbox, so dass der Kunde in seinem Admincenter den Zugriff des Engineers jeweils einzeln freigeben muss.
nur für
- SharePoint Online
- OneDrive for Business
- Microsoft Teams
- Exchange Online
Mehrwerte/ Risiken
Guideline zum Thema Einwilligung im Datenschutz des edbp
Am 4 Mai 2020 hat der edpb eine Guideline zum Thema Einwilligung veröffentlicht. Diese ist hier zu finden:
Datenschützer:innen im Unternehmen – Personalbedarf
Eine gute Zusammenstellung des GMDS, GDD und BvD findet sich hier:
https://gesundheitsdatenschutz.org/html/arbeitsaufwand_gesundheitsdatenschutz.php
Microsoft allgemeine Datenschutzerkärung
Die allgemeine Datenschutzerklärung der Microsoft dient für sehr viele Produkte bis hin zu verbundenen Diensten als Auffangerklärung für Datenschutz im Microsoft Universum.
Versionen
| November 2021 | 01.11.2021 |
| Dezember 2021 | zum 02.12.2021 / aktuelle Version |
Abrufbar:
Datenschutzerklärung von Microsoft – Microsoft-Datenschutz
Zukunft Vergleichsdokumente
Neue Version Februar 2022 (folgt noch)
- Änderung
- Änderungsdokument