Sicherheit und Datenschutz

Organisationen können ihren Benutzern erlauben, die Aussprache ihres Namens in den jeweiligen Profilinformationen aufzuzeichnen. Diese Funktion fördert die korrekte Ansprache und Wertschätzung von Vielfalt, da die aufgezeichneten Aussprachen für andere sichtbar sind, wenn sie Microsoft 365 verwenden.

Wird die Funktion zur Namensaussprache aktiviert und später wieder deaktiviert, werden die gespeicherten Audiodateien nach spätestens 30 Tagen aus Microsoft 365 entfernt. Sollte die Funktion innerhalb dieses Zeitraums erneut aktiviert werden, stehen die zuvor gespeicherten Aussprachen wieder zur Verfügung.

Weitere Details und praktische Hinweise finden Sie in der offiziellen Dokumentation:

https://learn.microsoft.com/de-DE/graph/namepronunciation-configure-namepronunciation-availability

Eine DSGVO-konforme IT-Struktur basiert auf einem starken Datenschutzprofil, das klar kommuniziert und transparent umgesetzt werden muss.

Die Datenschutzrichtlinie sollte stets aktuell, leicht auffindbar und vollständig sein; alle wichtigen Aspekte wie Datenverarbeitung, Rechte und Kontaktmöglichkeiten müssen deutlich angegeben werden.

Ein zentraler Ansprechpartner für Datenschutzanfragen ist essenziell – am besten über eine spezialisierte E-Mail-Adresse, damit Benachrichtigungen schnell und zuverlässig bearbeitet werden.

Klare Empfehlung:
Halten Sie die Richtlinien aktuell und benennen Sie einen kompetenten Datenschutzkontakt.

Für reine Microsoft-Cloudkonten gibt es eine vordefinierte Kennwortrichtlinie: Sie können nur steuern, ob und wie oft Kennwörter ablaufen sollen. Weitere Einstellungen wie Mindestlänge oder Zeichenzusammensetzung sind nicht anpassbar.

Experten wie das BSI empfehlen robuste, lange und komplexe Passwörter. Diese sollten aus Buchstaben, Zahlen und Sonderzeichen bestehen, um die Sicherheit zu erhöhen. [zum BSI]

Empfohlene Praxis für alle Microsoft 365-Benutzer:

• Setzen Sie auf individuelle, lange Passwörter (mindestens 14 Zeichen für administrative Konten).
• Verzichten Sie auf starre Komplexitätsregeln (Sonderzeichen, Zahlen, Großbuchstaben sind nicht zwingend).
• Verbieten Sie die Nutzung häufiger oder leicht zu erratender Passwörter (z.B. „password“, „123456“).
• Empfehlen Sie Passphrasen oder gut merkbare, aber einzigartige Kombinationen.
• Stellen Sie sicher, dass Kennwörter nicht für andere Dienste wiederverwendet werden.
• Mehrstufige Authentifizierung (MFA) ist Pflicht für alle wichtigen Konten – aktivieren Sie auch risikobasierte MFA-Herausforderungen.
• Aktualisieren Sie regelmäßig Kontakt- und Sicherheitsinformationen, um im Notfall reagieren zu können.
• Schulen Sie Ihre Anwender regelmäßig zum sicheren Umgang mit Passwörtern und MFA sowie zu den Risiken von Phishing.

So schützen Sie Ihre Organisation effektiv vor Kennwortangriffen und erfüllen die aktuellen Microsoft-Empfehlungen für 2025.

• https://docs.microsoft.com/de-DE/microsoft-365/admin/misc/password-policy-recommendations

In sicherheitsrelevanten Bereichen, insbesondere beim Zugriff von nicht verwalteten Geräten, ist es ratsam, die Zeitspanne für den Leerlaufsitzungstimeout spürbar zu verkürzen. Fachleute empfehlen hier beispielsweise Intervalle zwischen 2 und 4 Stunden, in besonders sensiblen Fällen sogar bis zu 1 Stunde, um das Schutzniveau maßgeblich zu erhöhen.

Zur weiteren Verbesserung der Sicherheit sollte der Timeout-Wert für Microsoft 365 in Abhängigkeit von der Art der verarbeiteten Daten und dem bestehenden Zugriffsrisiko angepasst werden. Ein niedrigerer Wert ist insbesondere dann zu wählen, wenn mit besonders schützenswerten Informationen gearbeitet wird oder wenn das Risiko unautorisierter Zugriffe erhöht ist.

Die Festlegung des optimalen Leerlaufsitzungstimeouts sollte immer auf Basis einer individuellen Risikoanalyse erfolgen und an die spezifischen Schutzanforderungen des jeweiligen Unternehmens angepasst werden. So gelingt es, Benutzerkonten effektiv vor unbefugtem Zugriff zu schützen, ohne die Produktivität der Mitarbeitenden unnötig einzuschränken.

• https://docs.microsoft.com/de-DE/microsoft-365/admin/manage/idle-session-timeout-web-apps

Die Angabe von Pronomen im Profil trägt maßgeblich zu einem inklusiven Arbeitsumfeld bei und unterstützt die Kommunikation innerhalb der Organisation. Um das Pronomenfeature in Microsoft 365 datenschutzkonform zu verwenden, beachten Sie Folgendes:

• Administratoren können das Feature aktivieren oder deaktivieren; Änderungen werden nach bis zu sieben Stunden wirksam.
• Nach dem Entfernen von Pronomen bleiben diese Daten bis zu 30 Tage im System und können in dieser Zeit wiederhergestellt werden. Transparente Information der Nutzenden ist erforderlich.
• Pronomen sind nur innerhalb der eigenen Organisation sichtbar, eine Weitergabe an Externe erfolgt nicht automatisch, sollte aber regelmäßig überprüft werden.
• Microsoft Copilot nutzt gespeicherte Pronomen für personalisierte Vorschläge; Mitarbeitende sollten darüber informiert sein.

Empfohlene Maßnahmen: Die Angabe von Pronomen bleibt freiwillig; Datenverarbeitung erfolgt gemäß Datenschutzrichtlinien. Mitarbeitende sollten über Funktionsweise, Sichtbarkeit und Löschfristen der Pronomenfunktion informiert werden. Klare Anlaufstellen für Fragen zum Datenschutz sind zu benennen, um Inklusion und verantwortungsvollen Umgang mit personenbezogenen Daten zu gewährleisten.

• https://learn.microsoft.com/de-DE/microsoft-365/admin/add-users/turn-pronouns-on-or-off