Beiträge

Wir prüfen Microsoft Office 365 auf 5 Aspekte von Datenschutz und Datensicherheit

Office 365 und die DSGVO – Wie sicher sind unsere Daten

/in /von

Wussten Sie, dass seit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Betreibern von Rechenzentren auch die Anbieter von Cloud-Plattformen und Cloud-Diensten.

Dazu zählt somit Microsoft mit seinem Cloud-Service Office 365. Es lohnt sich also, auch den amerikanischen Softwareriesen und seine Produkte im Hinblick auf die datenschutzrechtlichen Entwicklungen der EU-Staaten zu bewerten.

Datenschutz und Datensicherheit im Microsoft Office

Bei der in Office 365 integrierten Sicherheit setzt Microsoft auf die folgenden 5 Aspekte in Puncto Datenschutz und Datensicherheit.

  • Physische Sicherheit

    • Rund um die Uhr überwachte Rechenzentren
    • Mehrfaktor-Authentifizierung einschließlich biometrischer Scans für den Zugang zum Rechenzentrum
    • Das interne Netzwerk des Rechenzentrums ist vom externen Netzwerk isoliert
    • Dank Rollentrennung werden die Speicherorte bestimmter Kundendaten für Mitarbeiter, die physischen Zugriff haben, unverständlich dargestellt
    • Fehlerhafte Laufwerke und andere Hardwarekomponenten werden entmagnetisiert und zerstört

  • Logische Sicherheit

    • Lockbox-Prozesse für streng überwachte Eskalationsprozesse schränken den menschlichen Zugriff auf Ihre Daten weitestgehend ein
    • Server führen nur Prozesse aus, die sich auf Whitelists befinden, wodurch sich das Risiko verringert, dass Schadsoftware ausgeführt wird
    • Threat Management Teams sind in der Lage, Angriffe auf Daten proaktiv vorherzusehen, zu verhindern und abzuschwächen
    • Durch die Überwachung von Ports und die Erkennung von Netzwerkschwachstellen und Angriffen können unbefugte Zugriffe verhindert oder erkannt werden

  • Datensicherheit

    • Die Verschlüsselung im Ruhezustand schützt Ihre Daten auf den Servern
    • Ihre Daten sind bei der Übermittlung zwischen Ihnen und Microsoft durch die SSL/TLS-Verschlüsselung geschützt
    • Dank Threat Management, Sicherheitsüberwachung und Datei-/Datenintegrität kann jede Art der Datenmanipulation erkannt und verhindert werden
    • Exchange Online Protection bietet erweiterte Sicherheitsfunktionen gegen Spam und Schadsoftware sowie Ausfallsicherheit zum Schutz Ihrer Informationen und E-Mails

  • Kontrollfunktionen für Benutzer

    • Die Office 365-Nachrichtenverschlüsselung ermöglicht Benutzern, verschlüsselte E-Mails an beliebige Empfänger zu senden, ganz gleich, welchen E-Mail-Dienst diese verwenden
    • DLP (Verhinderung von Datenverlust) kann mit Rights Management und der Nachrichtenverschlüsselung kombiniert werden, um Administratoren mehr Kontrolle und geeignete Richtlinien zum Schutz sensibler Daten an die Hand zu geben
    • S/MIME ermöglicht den sicheren E-Mail-Zugriff auf der Basis von Zertifikaten
    • Azure Rights Management gewährt Benutzern nur Zugriff auf Dateiebene, wenn sie die richtigen Anmeldeinformationen eingeben

  • Kontrollfunktionen für Administratoren

    • Mittels Multi-Factor-Authentication wird der Zugriff auf den Dienst zum Beispiel mit einem Telefonanruf kombiniert
    • DLP (Verhinderung von Datenverlust) schützt Daten vor Zugriffen von außen wie von innen und bezieht die Mitarbeiter aktiv in Schutzmaßnahmen ein
    • Integrierte Verwaltungsfunktionen für mobile Geräte ermöglichen Ihnen, den Zugriff auf Unternehmensdaten zu kontrollieren
    • Die Verwaltung mobiler Office-Apps wird über Intune gesteuert und bietet differenzierte Kontrollen zum Schutz der in diesen Apps befindlichen Daten
    • Integrierte Antiviren- und Antispamprogramme schützen zusammen mit Advanced Threat Protection vor externen Bedrohungen
    • Office 365 Cloud App Security verbessert die Kontrolle und Transparenz Ihrer Office 365-Umgebung

Sichere Unternehmenssoftware von kreITiv

Egal ob Auswahl, Migration oder rechtskonforme Konfiguration eines passenden Microsoft Office Paketes – Die IT- Infrastrukturexperten der kreITiv GmbH helfen Ihnen und Ihrem Unternehmen gern weiter und beraten Sie zu allen Belangen bezüglich Office365 und der neuen DSGVO > zum Anfrageformular

Im Mai 2018 tritt die DSGVO in Kraft. Wir unterstützen Unternehmen bei der Umsetzung.

Die EU-DSGVO – Segen für Verbraucher, Herausforderung für Unternehmen

/in /von

Ab dem 25. Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DSGVO). In Kraft getreten ist sie bereits vor etwa zwei Jahren am 24. Mai 2016. Eine lange Zeit also für Unternehmen, Behörden, öffentliche Stellen und Vereine oder Verbände diese umzusetzen, müsste man meinen.

Doch wie es in der Natur des Menschen liegt, schieben wir Dinge gern auf und das ganz besonders dann, wenn wir wissen, dass wir noch viel Zeit dafür haben. Im Frühjahr 2018 sind nun viele Unternehmen spät dran und kommen bei der Umsetzung gut ins Schwitzen. Die meisten haben den Aufwand wahrscheinlich gehörig unterschätzt oder waren sich gar nicht bewusst, dass die Gesetzesänderung auch in ihren Geltungsbereich fällt.

“Nur rund jedes achte Unternehmen wird nach eigener Einschätzung bis zum Stichtag die Vorgaben der DSGVO vollständig umgesetzt haben”, sagt der deutsche Verband der Digitalwirtschaft Bitkom.

Die DSGVO ist für die Verbraucherseite eine große Errungenschaft und ein wichtiger Meilenstein für den europäischen Datenschutz. Für Unternehmen und Organisationen stellt die Umsetzung aber eine große Herausforderung dar. Einen groben Überblick über die Datenschutzgrundverordnung und die Herausforderungen für Unternehmen wollen wir in diesem Blogartikel geben.

Was sind eigentlich personenbezogene Daten nach DSGVO?

Allgemein formuliert gelten alle Informationen als personenbezogen, die sich auf “identifizierte oder identifizierbare lebende Personen” beziehen. Somit legt die EU diese Verordnung sehr weit aus. Neben Name, Anschrift und E-Mail-Adresse gelten als solche auch Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDS und Gesundheitsdaten aus Krankenhäusern oder bei Ärzten, die zur eindeutigen Identifizierung einer Person führen könnten.

Erst wenn die Daten so anonymisiert wurden, dass auch mit größerem Aufwand keine Rückschlüsse mehr auf die betroffenen Personen gezogen werden können, gelten Daten als nicht mehr personenbezogen. Genau das stellt für Unternehmen in der Praxis durchaus einen sehr großen Aufwand dar. Was muss also beim Umgang mit personenbezogenen Daten beachtet werden?

Die 6 Grundsätze für die Verarbeitung von personenbezogenen Daten

Grundlegend ist das Verarbeiten von personenbezogenen Daten verboten, wenn nicht eine oder mehrere der folgenden Bedingungen erfüllt sind:

  1. Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  2. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  3. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen.
  4. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  5. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
  6. Die betroffene Person hat ihre Einwilligung gegeben.

Die Einwilligung ist durch die DSGVO für Unternehmen nun kompliziert geworden. Sie ist schwerer zu bekommen, muss aufwendig belegt werden und muss jederzeit widerrufbar sein.

Worauf müssen Unternehmen jetzt achten?

Mit der Neuregelung sind also der Aufwand und die Anforderung für die Verarbeiter erheblich gestiegen. Der Umgang mit Daten ist in Zeiten der Digitalisierung so alltäglich geworden, dass man schnell übersieht, ob und wann man tatsächlich mit kritischen Informationen hantiert. Jeder, der Informationen über Personen speichert, ist nun in der Bringpflicht. Das gilt nicht nur für IT-Unternehmen, sondern bspw. auch für Ärzte, Friseure, Wäschereien und Vereine. Dabei gibt es viel zu beachten und es winken hohe Bußgelder bei Nichteinhaltung.

  • Ein erster Schritt sollte sein, einen Datenschutzbeauftragten zu benennen, wenn dieser notwendig ist. Er ist Pflicht, wenn z. B. Kunden- und Mitarbeiterdaten automatisiert, also per EDV, verarbeitet werden. Für kleinere Unternehmen macht die Verordnung Ausnahmen. Sind weniger als neun Personen damit beschäftigt, personenbezogene Daten zu verarbeiten, braucht es keinen Datenschutzbeauftragten. In Abhängigkeit von der Sensibilität der Daten, kann er aber in speziellen Fällen doch notwendig sein.

  • Vorgesehen ist auch das Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten. Hört sich hochtrabend an, ist am Ende aber nur eine einfache Tabelle, in der aufgelistet wird, welche Daten wann, wie und warum im Unternehmen erhoben werden; etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

  • Darüber hinaus muss der Weg der Daten dokumentiert werden, von der Erhebung, Speicherung bis hin zur Nutzung. Diese Prozessdokumentation und -analyse soll bei der Identifikation von Fehlerstellen und der Optimierung von Abläufen helfen. Augenmerk sollte darauf gelegt werden, wie die Daten erhoben und verarbeitet werden. Letzteres ist über die DSGVO nun neu und komplex geregelt, speziell wie und worauf Betroffene einwilligen.

Datenauskunft, Datenschutzfolgenabschätzung und weitere Anforderungen

Den Betroffenen räumt der Gesetzgeber nun alle Möglichkeiten ein, weitreichende Auskunft über ihre Daten zu erhalten und ggf. das sofortige und permanente Löschen zu veranlassen.

Werden sehr sensible Daten verarbeitet – etwa in Arztpraxen oder durch Versicherungsmakler – ist nach DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person nach Themen wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten ermöglichen – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden.

Für Unternehmen empfiehlt sich künftig das Dokumentieren aller Anstrengungen im Bereich des Datenschutzes.

  • Welche Firewall wird benutzt?
  • Welche Verträge wurden mit Dienstleistern geschlossen?
  • Welche Seminare hat der Datenschutzbeauftragte besucht?

Bei guter Dokumentation und erkennbarer Bemühung, seiner Verpflichtung nach Datenschutz nachzukommen, bestehen gute Chancen, auch im Falle eines Vergehens ohne Bußgeld davonzukommen. Entsprechende Auskünfte sollten man aber umgehend erteilen und Unterlagen lückenlos vorlegen können.

Die neuen Dokumentations-, Nachweis- und Rechenschaftspflichten, die Auskunftspflichten gegenüber Betroffenen und erst recht die Herkulesaufgabe einer DSGVO-konformen Datenschutzerklärung sollte jedes Unternehmen schnellstens in Angriff nehmen. Dazu gehört mindestens die Lektüre des Rechtstextes selbst beziehungsweise eines juristischen Ratgebers. Für die meisten Unternehmen empfiehlt sich außerdem die Hinzuziehung interner oder externer Rechtsberatung. Das Team der kreITiv unterstützt Sie gern bei der Konzeption datenschutzkonformer IT-Systeme und Softwarelösungen. Mit dem kreITiv-DSGVO-Paket passen wir Ihre Webseite rechtskomform an.

Fragen Sie uns nach einer kostenlosen Erstberatung!