Microsoft365: optimale Datenschutzeinstellungen?

14. Mai 2022 masterPhin Microsoft365 0

Microsoft 365 ist ein beliebtes Produkt für Unternehmen, um ihre Arbeitsabläufe zu vereinfachen und zu optimieren. Wenn Sie einen neuen Tenant erstellen möchten, gibt es jedoch wichtige Punkte zu beachten, um sicherzustellen, dass Ihre Datenverarbeitung den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht.

das wichtigste auf einen Blick

  1. Vertragliche Vereinbarungen: Bevor Sie einen neuen Tenant erstellen, sollten Sie sicherstellen, dass Sie eine vertragliche Vereinbarung mit Microsoft abschließen, die den Anforderungen der DSGVO entspricht. In der Regel stellt Microsoft hierfür standardisierte Vertragsvorlagen zur Verfügung.
    • Sie können den Vertrag zur Auftragsverarbeitung und das Verarbeitungsverzeichnis in der Microsoft 365-Compliance Center-Verwaltung erstellen und verwalten. Gehen Sie dazu auf https://compliance.microsoft.com und wählen Sie das Dashboard für „den Vertrag zur Auftragsverarbeitung“ oder „das Verarbeitungsverzeichnis“ aus.
    • Die Datenschutzerklärung können Sie im Microsoft 365 Admin Center verwalten. Gehen Sie dazu auf https://admin.microsoft.com und wählen Sie im linken Menü die Option „Datenschutz“ aus.
  2. Datenspeicherung: Stellen Sie sicher, dass Sie die Speicherorte Ihrer Daten kennen und dass diese innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums liegen. Dies ist wichtig, um sicherzustellen, dass Ihre Datenverarbeitung den Anforderungen der DSGVO entspricht.
  3. Datenschutzeinstellungen konfigurieren: Microsoft 365 bietet eine Vielzahl von Datenschutzeinstellungen, die Ihnen helfen können, die DSGVO-Anforderungen einzuhalten. Dazu gehören unter anderem Datenschutzeinstellungen für Office-Anwendungen, Teams, SharePoint und OneDrive. Sie sollten sicherstellen, dass diese Einstellungen gemäß den Datenschutzanforderungen Ihrer Organisation konfiguriert sind.
  4. Zugriffsrechte: Stellen Sie sicher, dass Sie nur diejenigen Mitarbeiter Zugriff auf die personenbezogenen Daten geben, die diesen Zugriff auch benötigen. Zudem sollten Sie sicherstellen, dass alle Zugriffe auf die personenbezogenen Daten protokolliert werden.
  5. Datensicherheit: Stellen Sie sicher, dass Sie angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Dies umfasst die Umsetzung von Zugriffskontrollen, Verschlüsselung und regelmäßigen Sicherheitsüberprüfungen.
    • Die Datensicherheitseinstellungen können im Microsoft 365 Security & Compliance Center vorgenommen werden. Gehen Sie dazu auf https://protection.office.com und wählen Sie die Option „Sicherheits- und Compliance-Center“ aus.

Insgesamt gibt es also einige wichtige Punkte zu beachten, wenn Sie einen neuen Microsoft 365 Tenant erstellen und sicherstellen möchten, dass Ihre Datenverarbeitung den Anforderungen der DSGVO entspricht. Beachten Sie, dass dies nur eine Zusammenfassung der wichtigsten Punkte ist -KEINE Rechtsberatung ist und der Text keine rechtliche Bindung hat!

Microsoft 365 – Admin Center

Zu aller erst geht Ihr auf die Microsoft Office Seite, www.office.com, und meldet euch dort mit dem Tenant Administrator (z.B.: admin@TENANTname.onmicrosoft.com) an.

Im Office-Portal angekommen auf das Menü rechts oben klicken und auf den „Admin“ Menüpunkt gehen. Das „Microsoft 365 Admin Center“ öffnet sich in einem neuem Tab.

Je nach Microsoft 365 Plan, hat das Menü mehr oder weniger Punkte. Die Grundeinstellungen sind jedoch bei jedem Plan gleich!

Im Microsoft 365 Admin Center, damit wir alle Bereiche angezeigt bekommen, links im Menü auf den untersten Punkt „Alle anzeigen“ klicken. Jetzt werden alle, passend zur Lizenz, Admin Center angezeigt.

2022-04-10-11_18_04-Microsoft-Office-Home
2022-04-10-10_58_58-Microsoft-Office-Home
2022-04-10-11_16_26-Home-Microsoft-365-admin-center

Microsoft 365Einstellungen der Organisation

Unter „Einstellungen„, „Einstellungen der Organisation“ folgende Punkte genau prüfen und gegebenenfalls anpassen.

Beispiel von Kundenanfragen: „können Sie diese Microsoft Spionage Mails abschalten?“ -> Gemeint ist damit „Microsoft Viva Insights“, welches den Benutzer täglich oder wöchentlich über seine Office 365 Tätigkeiten informiert.

2022-04-07-16_11_52-Einstellungen-Microsoft-365-admin-center
Microsoft-365-Teams-Admin-Center
Microsoft-365-Admin-Center-Teams
1 2 3
  • – 1 –DIENSTE
    • Briefing eMail von MS Vita -> deaktivieren
    • Cortana -> deaktivieren
    • Microsoft Viva Insights (ehemals MyAnalytics) -> deaktivieren
    • Microsoft Kommunikation mit Benutzern -> deaktivieren
    • Whiteboard
      • Diagnosedaten  ->  auf keine „KEINE“ stellen
      • Optionale verbundene Erfahrungen -> deaktivieren
2022-04-10-11_40_49-Einstellungen-Microsoft-365-admin-center
2022-04-10-11_43_17-Einstellungen-Microsoft-365-admin-center
2022-04-10-11_45_41-Einstellungen-Microsoft-365-admin-center
1 2 ... 4
  • – 2 –Sicherheit und Datenschutz
    • Datensammlung ‎Bing -> deaktivieren‎
    • Kennwortablaufrichtlinie definieren – empfohlene Werte:
      • Tage bis zum Ablaufen der Kennwörter: 90
      • Tage, bis ein Benutzer über den Ablauf informiert wird: 21
2022-04-10-12_00_57-Einstellungen-Microsoft-365-admin-center
2022-04-10-12_01_50-Einstellungen-Microsoft-365-admin-center
2022-04-10-12_02_46-Einstellungen-Microsoft-365-admin-center
1 2 3
  • – 3 –Organisationsprofil
    • Datenspeicherort  ->  hier sieht man, in welchem Rechenzentrum Microsoft die Tenant Daten ablegt
2022-04-10-12_04_37-Einstellungen-Microsoft-365-admin-center
2022-04-10-12_05_05-Einstellungen-Microsoft-365-admin-center
2022-04-09-19_44_33-Datenspeicherorte-fuer-die-Europaeische-Union-Microsoft-365-Enterprise-_-Microso
1 2 3

Microsoft 365Azure Active Directory Admin Center

Um sicherzustellen, dass Ihre Konfiguration den Anforderungen der DSGVO entspricht, sollten Sie die folgenden Datenschutzeinstellungen berücksichtigen:

  1. Multi-Faktor-Authentifizierung (MFA): Die Verwendung von MFA kann dazu beitragen, den Zugriff auf Benutzerkonten zu sichern und die Identität von Benutzern zu überprüfen. Sie sollten daher sicherstellen, dass MFA in Ihrer Azure AD-Konfiguration aktiviert ist, insbesondere für Konten mit Zugriff auf sensible Daten.
  2. Benutzerkonten- und Zugriffsverwaltung: Azure AD bietet verschiedene Einstellungen zur Verwaltung von Benutzerkonten und Zugriffen auf Ressourcen. Sie sollten sicherstellen, dass die Konten von Benutzern, die Zugriff auf personenbezogene Daten haben, angemessen geschützt sind, z.B. durch regelmäßige Überprüfung der Zugriffsrechte und Durchführung von Audits.
  3. Datenschutz- und Compliance-Einstellungen: Azure AD bietet verschiedene Einstellungen zur Sicherstellung von Datenschutz und Compliance. Sie sollten sicherstellen, dass Sie die erforderlichen Einstellungen konfigurieren, um den Schutz personenbezogener Daten zu gewährleisten und sicherzustellen, dass Sie den Anforderungen der DSGVO entsprechen.
  4. Überwachung und Protokollierung: Azure AD ermöglicht es Ihnen, die Aktivitäten von Benutzern in Ihrem System zu überwachen und Protokolle zu erstellen. Sie sollten sicherstellen, dass Sie Überwachungs- und Protokollierungseinstellungen konfigurieren, um die Sicherheit Ihrer Daten zu gewährleisten und mögliche Datenschutzverletzungen zu erkennen.
  5. Externer Zugriff und Zusammenarbeit: Wenn Sie mit externen Benutzern zusammenarbeiten oder diesen Zugriff auf Ihre Azure AD-Ressourcen gewähren, sollten Sie sicherstellen, dass Sie angemessene Zugriffs- und Sicherheitskontrollen eingerichtet haben. Sie sollten auch sicherstellen, dass Sie die Zusammenarbeit mit externen Benutzern einschränken, um sicherzustellen, dass vertrauliche Informationen nicht versehentlich offengelegt werden.

Um dies alles anzupassen, geht es in das „Azure Active Directory Admin Center„, zu finden im „Admin Center„, oder direkt aufzurufen unter -> portal.azure.com.

Falls das „Azure Admin Center“ im „Microsoft Admin Center“ nicht angezeigt wird, im Menü unten auf „Alle anzeigen“ klicken.

2022-04-10-11_18_04-Microsoft-Office-Home
2022-04-10-10_58_58-Microsoft-Office-Home
Microsoft-365-admin-center-e1649526759259
1 2 ... 4

Die folgenden Einstellungen sind in Absprache mit den Firmen / Kunden anzupassen und sollten NICHT eigenmächtig angepasst werden.

SICHERHEIT  –  BENUTZER

Normale Benutzer haben in den Standard Einstellungen die Möglichkeit auf das Azure-Verwaltungsportal zuzugreifen, Benutzer einzusehen und sogar Gastbenutzer hinzuzufügen!

Gastbenutzer können wiederum in den Standard Einstellungen weitere Gäste hinzufügen!!!

Daher geht es im ersten Schritt im „Azure Active Directory Admin Center“ auf den Reiter „Benutzer“. Im darauf folgenden Fenster links auf die „Benutzereinstellungen“ klicken.

Folgende Einstellungen sind hier zu prüfen und anzupassen:

  • App-Registrierungen
    • „Benutzer können Anwendungen registrieren“ -> NEIN
  • Verwaltungsportal:
    • „Zugriff auf Azure AD-Verwaltungsportal einschränken“ -> JA
  • LinkedIn-Kontoverbindungen
    • „Gestatten Sie Benutzern Geschäfts, Schul- oder Unikonto mit LinkedIn zu verknüpfen“ -> NEIN
  • Externe Benutzer:
    • „Externe Einstellungen zur Zusammenarbeit verwalten“ -> kann man wie folgt anpassen:
GastbenutzerzugriffDer Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt
Einstellungen für GasteinladungenNur Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen
Einschränkungen für die Zusammenarbeitnach den Vorgaben des Kunden
2022-04-10-12_29_56-PhinIT-Microsoft-Azure_User
2022-04-10-12_33_09-Benutzer-Microsoft-Azure_U1
2022-04-10-12_33_09-Benutzer-Microsoft-Azure_U2
1 2 3

SICHERHEIT  –  Gruppen

Benutzer haben in den Standard Einstellungen die Möglichkeit Sicherheitsgruppen und MS365 Gruppen zu erstellen!

Um das zu unterbinden, geht es im „Azure Active Directory Admin Center“ auf den Reiter „Gruppen“. Im darauf folgenden Fenster links, unter Einstellungen, auf Allgemein klicken.

Folgende Einstellungen sind hier zu prüfen und anzupassen:

  • Beschränken Sie die Möglichkeit des Benutzers, auf Gruppenfunktionen im Zugriffsbereich zuzugreifen
    • – JA –
  • Sicherheitsgruppen
    • – NEIN –
  • Microsoft-365-Gruppen
    • – NEIN –
2022-04-10-12_29_56-PhinIT-Microsoft-Azure_Gruppen
2022-04-10-12_40_16-Gruppen-Microsoft-Azure_G1
2022-04-10-12_40_16-Gruppen-Microsoft-Azure_G2
1 2 3

Microsoft 365SharePoint / OneDrive

Um sicherzustellen, dass Ihre SharePoint-Konfiguration den Anforderungen der DSGVO entspricht, sollten Sie die folgenden Datenschutzeinstellungen berücksichtigen:

  1. Berechtigungen und Zugriffskontrolle: SharePoint bietet verschiedene Optionen zur Steuerung des Zugriffs auf Dokumentbibliotheken, Listen und andere Inhalte. Sie können beispielsweise Benutzern unterschiedliche Berechtigungen zuweisen, um sicherzustellen, dass nur autorisierte Personen auf sensible Daten zugreifen können. Es wird empfohlen, den Zugriff auf vertrauliche Informationen auf eine Gruppe von Personen zu beschränken und dafür zu sorgen, dass keine unbefugten Personen Zugriff auf diese Daten haben.
  2. Sicherheits- und Compliance-Einstellungen: SharePoint bietet verschiedene Einstellungen für die Sicherheit und Compliance. Sie können beispielsweise festlegen, wer auf bestimmte Dokumente zugreifen darf, wer Änderungen an Dokumenten vornehmen kann und wer auf die Versionshistorie zugreifen darf. Sie können auch Regeln für die Aufbewahrung von Daten festlegen und sicherstellen, dass Ihre SharePoint-Daten sicher und geschützt sind.
  3. Dokument- und Informationsklassifikation: SharePoint ermöglicht es Ihnen, Dokumente und andere Inhalte mit Klassifikationen zu versehen, um sicherzustellen, dass vertrauliche Informationen nur von autorisierten Personen eingesehen werden können. Sie können beispielsweise Klassifikationen wie „Intern“, „Vertraulich“ oder „Persönlich identifizierbare Informationen“ erstellen und diese Klassifikationen dann auf Dokumente anwenden.
  4. Einhaltung von Vorschriften: Wenn Sie personenbezogene Daten in SharePoint verarbeiten, sollten Sie sicherstellen, dass Sie die Anforderungen der DSGVO und anderer Vorschriften einhalten. Sie können beispielsweise festlegen, welche personenbezogenen Daten in SharePoint gespeichert werden dürfen und wer darauf zugreifen darf. Sie können auch sicherstellen, dass die Aufbewahrung und Löschung von Daten den Anforderungen der DSGVO entspricht.
  5. Externer Zugriff und Zusammenarbeit: Wenn Sie SharePoint-Websites mit externen Benutzern teilen, sollten Sie sicherstellen, dass nur autorisierte Benutzer auf die Daten zugreifen können. Sie können beispielsweise die Zugriffssteuerung für externe Benutzer einschränken oder bestimmte Inhalte nur für interne Benutzer freigeben. Außerdem können Sie die Zusammenarbeit mit externen Benutzern einschränken, um sicherzustellen, dass vertrauliche Informationen nicht versehentlich offengelegt werden.
    • Die Einstellungen für den „Externer Zugriff“ sind im „SharePoint Admin Center“ zu finden
2022-04-10-11_18_04-Microsoft-Office-Home
2022-04-10-10_58_58-Microsoft-Office-Home
2022-04-10-12_53_16-Einstellungen-Microsoft-365-admin-center_SharePoint
1 2 3

Unter dem Punkt „Richtlinien„, „Teilen“ solltet Ihr folgende Punkte anpassen, damit sich der gegenüber zumindest Autorisieren muss. Wenn aufgrund der Kunden die Einstellung nicht ohne weiteres angepasst werden kann, so sollte man zumindest beim Teilen den Passwortschutz und Global ein Ablaufdatum (z.B.: +14Tage) definieren!

Hier ein Beispiel, wenn die Einstellung „JEDER“ hinterlegt sein muss:

2022 04 13 17 31 05 SharePoint Admin Center

Folgende Einstellungen sollten als Standard definiert werden. Somit ist unter anderem sichergestellt, das Benutzer sich vor dem Herunterladen einer Datei, sich autorisieren müssen.

  • Externes Teilen
    • von „jeder“ auf die nächste Stufe „Neue und vorhandene Gäste“

  • Datei- und Ordnerlinks
    • „Wählen Sie den Typ des Links aus, der standardmäßig ausgewählt wird, …“
      • diese Einstellungen, wenn nicht schon vorausgewählt, auf „Nur Personen in meiner Organisation“
    • „Wählen Sie die Berechtigung aus, die standardmäßig für Freigabelinks ausgewählt ist“:
      • hier sollte man auf „Anzeigen“ beschränken.
2022-04-10-12_53_16-Einstellungen-Microsoft-365-admin-center_SharePoint_Teilen1
2022-04-10-12_53_16-Einstellungen-Microsoft-365-admin-center_SharePoint_Teilen2

Achtung – Globale Einstellungen überschreiben die Benutzerrechte

Microsoft 365Teams

Für den Datenschutz in Microsoft Teams gibt es verschiedene Einstellungen. Hier sind einige wichtige Einstellungen, die Sie überprüfen sollten

  1. Gästekonto-Einstellungen: Wenn Sie in Microsoft Teams Gäste einladen, um mit Ihnen zu kommunizieren, sollten Sie sicherstellen, dass Sie die richtigen Einstellungen für Gästekonten aktiviert haben. Sie können beispielsweise festlegen, welche Aktionen Gäste durchführen dürfen, ob sie Dateien freigeben können und ob sie mit anderen Gästen chatten dürfen.
  2. Sicherheits- und Compliance-Einstellungen: Sie können beispielsweise festlegen, wer auf bestimmte Kanäle und Dateien zugreifen darf, wer Änderungen an Dateien vornehmen kann, und wer auf Gesprächsverläufe zugreifen kann. Sie können auch Regeln für die Aufbewahrung von Daten festlegen und sicherstellen, dass Ihre Teams-Daten sicher und geschützt sind.
  3. Datenschutzeinstellungen für Besprechungen: Sie können beispielsweise festlegen, ob Besprechungen aufgezeichnet werden dürfen und wer aufgezeichnete Besprechungen anzeigen darf. Sie können auch festlegen, wer eine Besprechung starten darf und wer automatisch an einer Besprechung teilnehmen darf.
  4. Teamberechtigungen: Sie können die Berechtigungen für Ihre Teams festlegen, um sicherzustellen, dass nur die erforderlichen Personen auf bestimmte Funktionen zugreifen können. Sie können beispielsweise festlegen, wer Kanäle erstellen oder löschen darf, wer Mitglieder hinzufügen oder entfernen darf, und wer Dateien bearbeiten oder löschen darf.
  5. Einhaltung von Vorschriften: Wenn Sie mit Microsoft Teams personenbezogene Daten verarbeiten, sollten Sie sicherstellen, dass Sie die Anforderungen der DSGVO und anderer Vorschriften einhalten. Sie können beispielsweise festlegen, welche personenbezogenen Daten in Microsoft Teams gespeichert werden dürfen und wer darauf zugreifen darf.
2022-04-10-11_18_04-Microsoft-Office-Home
2022-04-10-10_58_58-Microsoft-Office-Home
Microsoft-365-Admin-Center-Teams
Microsoft-365-Teams-Admin-Center
Microsoft-365-Teams-Admin-Center-Gastzugriff_loeschen
Microsoft-365-Teams-Admin-Center-Externer-Zugriff
1 2

wichtige Links

Ersten Kommentar schreiben

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.