Datenschutzprofil

Für die Einstellung des Datenschutzprofils in Microsoft 365 unter Berücksichtigung der DSGVO sollten Sie folgende Schritte beachten:

• URL zur Datenschutzrichtlinie: Geben Sie die URL Ihrer Organisations-Datenschutzrichtlinie an. Stellen Sie sicher, dass sie DSGVO-konform, aktuell und für alle zugänglich ist.
• Datenschutzkontakt: Weisen Sie eine E-Mail-Adresse für Datenschutzanfragen zu. Diese sollte einer kompetenten Person oder Abteilung zugeordnet sein, die effizient und DSGVO-konform auf Anfragen reagieren kann.

Durch diese Schritte gewährleisten Sie DSGVO-Konformität und bieten eine verlässliche Anlaufstelle für Datenschutzfragen.

Kennwortablaufrichtlinie

Bei der Festlegung der Kennwortablaufrichtlinie in Ihrer Organisation sollten Sie folgende Aspekte beachten:

• Dauerhafte Kennwörter: Moderne Sicherheitsempfehlungen raten von häufigen Kennwortänderungen ab, da diese oft zu einfacheren, unsicheren Passwörtern führen.
• Starke Kennwortrichtlinien: Implementieren Sie Richtlinien für lange und komplexe Kennwörter, die Buchstaben, Zahlen und Sonderzeichen kombinieren.
• Multi-Faktor-Authentifizierung (MFA): Ergänzen Sie Kennwortrichtlinien durch MFA, um die Sicherheit zu erhöhen.
• Mitarbeiterschulung: Schulen Sie Ihre Mitarbeiter in sicheren Kennwortpraktiken und im Umgang mit Phishing-Angriffen.
• Überwachung und Reaktion: Setzen Sie Systeme zur Überwachung verdächtiger Anmeldeaktivitäten ein und reagieren Sie schnell auf Sicherheitsverletzungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ebenfalls, von regelmäßigen Kennwortänderungen abzusehen, um die Sicherheit zu verbessern. [zum BSI]

Leerlaufsitzungstimeout

Die Einstellung des Leerlaufsitzungstimeouts in Microsoft 365 auf 12 Stunden Inaktivität ist ein ausgewogener Ansatz, um die Sicherheit zu erhöhen und gleichzeitig die Benutzerfreundlichkeit zu wahren. Diese Einstellung ist besonders wichtig, um das Risiko unbefugten Zugriffs zu minimieren, wenn Benutzer ihre Arbeitsplätze verlassen, ohne sich abzumelden oder ihre Geräte zu sperren.

Durch das automatische Abmelden nach 12 Stunden Inaktivität wird sichergestellt, dass Benutzerkonten nicht über einen längeren Zeitraum hinweg offen und anfällig für unbefugte Zugriffe bleiben..

Gleichzeitig ist ein Zeitraum von 12 Stunden lang genug, um zu verhindern, dass Benutzer bei normaler Nutzung des Tages zu häufig neu anmelden müssen. Dies trägt zur Aufrechterhaltung einer guten Benutzererfahrung bei, ohne die Sicherheit zu beeinträchtigen.

Microsoft Graph Data Connect-Anwendungen

Für die DSGVO-konforme Verwaltung von Microsoft Graph Data Connect (MGDC)-Anwendungen in Ihrer Organisation empfiehlt es sich, die Funktion deaktiviert zu lassen. Dies minimiert das Risiko unkontrollierter Datenzugriffe und -verarbeitungen, die nicht den strengen Datenschutzbestimmungen der DSGVO entsprechen könnten.

Wenn Sie sich jedoch entscheiden, MGDC zu aktivieren, sollten Sie sicherstellen, dass alle Anwendungen eine strenge Überprüfung und Genehmigung durch die Administratoren durchlaufen. Dies umfasst die Bewertung der Datenschutzpraktiken jeder Anwendung und die Überprüfung ihrer Konformität mit den Datenschutzrichtlinien Ihrer Organisation und der DSGVO.

Zusätzlich sollten Sie regelmäßige Überprüfungen durchführen, um die fortlaufende Einhaltung der Datenschutzbestimmungen zu gewährleisten und schnell auf mögliche Sicherheits- oder Datenschutzprobleme reagieren zu können.

Pronomen

Bei der Entscheidung, ob Pronomen in den Profilinformationen von Benutzern in Microsoft 365 einbezogen werden sollen, sollten Sie folgende Punkte berücksichtigen:

• Inklusion und Vielfalt: Das Erlauben von Pronomen unterstützt ein inklusives Arbeitsumfeld, in dem sich alle Mitarbeiter respektiert und anerkannt fühlen.
• Benutzerfreundlichkeit: Pronomen in Profilen können die Kommunikation innerhalb der Organisation erleichtern und Missverständnisse vermeiden.
• Datenschutz: Stellen Sie sicher, dass die Handhabung von Pronomen den Datenschutzrichtlinien Ihrer Organisation entspricht.
• Implementierungszeit: Beachten Sie, dass Änderungen an dieser Einstellung bis zu 7 Stunden dauern können, um wirksam zu werden.
• Rückgängigmachung der Einstellung: Wenn die Einstellung rückgängig gemacht wird, werden gespeicherte Pronomen innerhalb von 30 Tagen gelöscht, es sei denn, die Einstellung wird erneut aktiviert.

Durch die Berücksichtigung dieser Aspekte können Sie eine Entscheidung treffen, die sowohl die Diversität als auch den Datenschutz in Ihrer Organisation fördert.

Sammlung von Hilfe- und Supportanfragen

Für die Einstellung der Sammlung von Hilfe- und Supportanfragen in Microsoft 365 unter Berücksichtigung der DSGVO empfehle ich, diese Funktion zu deaktivieren. Dies trägt dazu bei:

• Datenschutz stärken: Durch Deaktivieren wird verhindert, dass Microsoft Abfragen sammelt, die möglicherweise sensible Informationen enthalten könnten.
• Kontrolle über Daten: Es gewährleistet, dass keine potenziell vertraulichen Daten aus Ihren Supportanfragen außerhalb Ihrer Organisation gesammelt und analysiert werden.
• DSGVO-Konformität: Diese Vorsichtsmaßnahme hilft, die Einhaltung der DSGVO zu gewährleisten, indem sie die Sammlung und Verarbeitung von personenbezogenen Daten minimiert.

Denken Sie daran, dass diese Einstellung die Qualität der Supportergebnisse, die Microsoft bereitstellen kann, beeinflussen könnte. Es ist wichtig, das Gleichgewicht zwischen Datenschutz und der Nützlichkeit von Supportdiensten zu finden.

Self-Service-Kennwortzurücksetzung

Die Aktivierung der Self-Service-Kennwortzurücksetzung in Microsoft 365 bietet Vorteile für die DSGVO-Konformität und Benutzerunabhängigkeit:

• Benutzerunabhängigkeit: Ermöglicht Benutzern, ihre Kennwörter selbstständig zurückzusetzen, was die IT-Abteilung entlastet.
• Sicherheit: Durch verifizierte Kontaktinformationen und Identitätsbestätigung mittels Code wird die Sicherheit bei der Kennwortzurücksetzung erhöht.
• DSGVO-Konformität: Sichert die korrekte Verarbeitung personenbezogener Daten und unterstützt die Einhaltung der DSGVO.
• Benutzerinformation: Wichtig ist die Aufklärung der Benutzer über die Funktion und sichere Kennwortpraktiken.
• Überwachung: Regelmäßige Überprüfung der Nutzung und Sicherheit der Funktion ist empfehlenswert.

Diese Maßnahmen verbessern die Benutzererfahrung und stärken die Sicherheit und Datenschutzkonformität in Ihrer Organisation.

Teilen

Für die Einstellung des „Teilen“-Features in Microsoft 365 unter Berücksichtigung der DSGVO und organisatorischen Sicherheitsrichtlinien sollten Sie folgende Empfehlungen beachten:

• Eingeschränkter Gastzugang: Deaktivieren Sie standardmäßig die Möglichkeit für alle Benutzer, externe Gäste hinzuzufügen. Dies minimiert das Risiko unkontrollierter Datenfreigabe und erhöht die Datensicherheit.
• Administratorenkontrolle: Beschränken Sie das Hinzufügen von Gästen auf Administratoren. Dies gewährleistet eine sorgfältige Überprüfung und Genehmigung externer Zugriffe.
• Branchenspezifische Anpassung: Passen Sie die Einstellungen an die spezifischen Anforderungen Ihrer Branche und die Datenschutzrichtlinien Ihrer Organisation an. In sensiblen Branchen wie dem Gesundheitswesen oder der Finanzdienstleistung ist besondere Vorsicht geboten.
• Benutzerinformation und -schulung: Informieren und schulen Sie die Benutzer über die Richtlinien und Verfahren für das Teilen von Daten und den Umgang mit externen Gästen.
• Überprüfung und Anpassung: Überwachen Sie regelmäßig die Nutzung des Gastzugangs und passen Sie die Richtlinien bei Bedarf an, um die Sicherheit und DSGVO-Konformität zu gewährleisten.

Durch diese Maßnahmen können Sie ein sicheres und kontrolliertes Umfeld für das Teilen von Informationen in Ihrer Organisation schaffen, während Sie gleichzeitig Datenschutz und Compliance sicherstellen.