Datenschutz und Compliance
Summary
- Für das rechtskonforme Datenmanagement und die Einhaltung der Datenschutz Anforderungen ist es erforderlich, die Datenbestände zu klassifizieren und die rechtskonforme Aufbewahrungsfrist zuzuordnen und nach Ablauf dieser Frist die Daten zu löschen.
- Microsoft 365 bietet hierfür die technischen Lösungsmodule Information Governance und Records Management an, welche im Compliance Center verfügbar sind. Um die Lösungen zu konfigurieren, muss das Anwenderunternehmen eine Information Governance Konzept erarbeiten.
- Für bestimmte Use Cases kann es sinnvoll sein M365, um Funktionen zu ergänzen, z.B. DocBox, welche Funktionen für das das Management von Aufbewahrungsfristen und die Steuerung von Löschprozessen bereitstellt.
In der Presse wird fast wöchentlich von neuen Skandalen im Bereich Datenschutz und Compliance berichtet. Der Fall „Deutsche Wohnen“ hat gezeigt, welche Risiken ein Unternehmen eingeht, wenn es Daten trotz Vorgaben des Datenschutzes nicht löscht [1]. Es sind dabei nicht nur Großunternehmen betroffen, sondern auch kleine und mittlere Unternehmen stehen vor der Herausforderung einer rechtskonformen Datenhaltung und insbesondere der Löschung von personenbezogenen Daten.
Um Organisation bei der Umsetzung der Compliance bei der Datenhaltung zu unterstützen hat Microsoft neue Funktionen im Rahmen seiner M365 Clouddienste vorgestellt. Im vorliegenden Beitrag werden die wichtigsten Funktionen und Herausforderungen bei der Einführung der Information Governance Funktionen erläutert.
Herausforderung Datenschutz und Compliance
Jede Organisation steht heute vor der Herausforderung, die ständig wachsende Menge an Unternehmens- und Kundendaten ordnungsgemäß und rechtkonform aufzubewahren. Seit dem Inkrafttreten der DS-GVO (Datenschutzgrundverordnung) haben Organisation organisatorischen Maßnahmen, wie z.B. die Benennung eines Datenschutzbeauftragten und die Anpassung von Verträgen mit Kunden- und Dienstleistern. Nun stehen die Unternehmen aber vor der Herausforderung auch technische Maßnahmen umzusetzen, um die Datenhaltung in Einklang mit den Vorgaben zu bringen. Da aber die Daten auf viele verschiedene IT-Systeme verteilt sind und auch Kopien an verschiedenen Speicherorten abgelegt sind, ist dies eine «Mammutaufgabe» für die nächsten Jahre. Relevante Daten sind im E-Mailsystem, in Applikationen und Archiven, aber auch im Filesystemen und in der Cloud gespeichert.
Microsoft will seine Kunden mit den Funktionen im Compliance Center bei der rechtskonformen Datenmanagement in der Cloud unterstützen. In diesem Beitrag werden wir die Funktionen „Information Governance“ und „Records Management“ näher betrachten. Diese Funktionen sind im Bereich „Information Protection und Governance“ angesiedelt [1].
Information Governance – Ordnung für das Datenchaos
Neben den Daten und Dokumenten zum Nachweis der Geschäftstätigkeit fallen im Unternehmen eine Vielzahl von weiteren Daten an, welche für eine gewisse Zeit relevant sind, aber nicht für die Ewigkeit aufbewahrt werden müssen. Somit muss jede Organisation entscheiden, welches die rechtsrelevanten und wichtigen Daten sind, welche für den Fortbestand der Organisation essentiell sind – quasi die Kronjuwelen. Diese müssen unter die Kontrolle des Records Management gestellt werden.
Um die Gesamtheit aller Daten in der Organisation zu kontrollieren ist eine unternehmensweite Information Governance notwendig. „Information Governance – beschreibt die Verfahren, Organisation und Technologien, welche benötigt werden, um Information während des gesamten Lebenszyklus in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und den externen und internen Vorschriften aktiv zu bewirtschaften“[3], [2].
Es könnte doch so einfach sein. In der Microsoft Dokumentation liest sich der Satz „Behalten Sie, was Sie brauchen, und löschen, was Sie nicht brauchen“[4]. Um Ordnung in die Daten zu bringen sind im M365 Compliance Center verschiedene Lösungsmodule enthalten, welche auch Microsoft Information Governance (MIG)-Funktionen bezeichnet werden.
Records Management für die Daten-Kronjuwelen
Während im USA die Disziplin Information Governance und Records Management etabliert ist, stellt es für europäische Unternehmen eine neue Herausforderung dar. Im deutschen Sprachraum sind die Begriffe Dokumentenmanagement und Archivierung gebräuchlich und nur in der öffentlichen Verwaltung spricht man von Aktenmanagement oder Schriftgutverwaltung. So ist auch die ISO Norm 15489 Records Management mit dem Wort „Schriftgutverwaltung“ übersetzt [2]. Microsoft übersetzt den Fachbegriff Records Management wörtlich mit „Datensatzverwaltung“. Ein Datensatz ist ein „Record“ im Sinne einer geschäftsrelevanten Aufzeichnung. Microsoft hat die beiden Begriffe «Record» und «Management» als einzelne Worte zwar korrekt übersetzt aber den neuen Begriff «Datensatzverwaltung» in der deutschen Sprache geschaffen, welcher bisher in Fachkreisen nicht verwendet wurde. Da auch weitere Fachbegriffe wie z.B. «Retention Policy» wörtlich übersetzt wurden und in der deutschen Microsoft User Interface als «Aufbewahrungsbezeichnungen» angezeigt werden bevorzugen viele Anwender die englische Version der Dokumentation und des User Interfaces.
Die Aktivitäten des Records Management umfassen die Planung, Steuerung und Kontrolle der Aktivitäten zur ordnungsgemäßen Aufbewahrung und Archivierung von geschäftsrelevanten Daten und Dokumenten [3].
Fallbeispiel Records Management
Eine Organisation hat für die geschäftsrelevanten Datenbestände, welche in M356 aufbewahrt werden, die Aufbewahrungsfristen definiert und abgeklärt, ob eine automatische Löschung nach Ende der Aufbewahrung erfolgen soll oder ob ein Reviewprozess zur Freigabe der Löschung erforderlich ist. Diese Vorgaben werden im Records Management Modul unter „Fileplan“ definiert und den Dokumenten wird automatisch ein „Retention Label“ zugeordnet. Ist das Ende der Aufbewahrungsfrist erreicht wird die definierte Löschaktion durchgeführt.
Nutzen vom Microsoft Information Governance
M365 MIG ermöglicht die Verwaltung von Aufbewahrungsfristen (Retention Management) und somit einen Ansatz für das Information Lifecycle Management für die Datenbestände, welche in M365 gespeichert sind: Sharepoint, OneDrive, Teams, Outlook etc. In Zeiten von verteilter Homeoffice Arbeit und steigenden Cyberrisiken sind diese Funktionen notwendig, um ein unkontrolliertes Wachstum der Daten zu verhindern.
Der Einsatz der Information Governance Funktionen bildet die Grundlage für ein datenschutzkonformes Datenmanagement. Im Modul M365 Compliance Manager stehen eine Vielzahl von Vorgaben und Sicherheitsstandards als interaktive Checkliste zur Verfügung. Beispielsweise sind die Kontrollpunkte für die DSGVO verfügbar und es werden technischen und organisatorische Maßnahmen empfohlen. Einige dieser technischen Maßnahmen beziehen sich auf die Umsetzung von Aufbewahrungsfristen im Information Governance Lösungsmodul.
Voraussetzungen für die Nutzung M365 Compliance
Für die Nutzung der Compliance Funktionen sind entsprechende Lizenzen, u.a. die Enterprise Lizenz E5 Voraussetzung. Somit muss jede Organisation beurteilen, ob die Zusatzkosten sich für diesen Fall lohnen.
Alternativen
Falls die Compliance Funktion nicht genutzt werden muss sich die Anwenderorganisation Konzepte entwickeln, wie die Daten u.a. in anderen Systemen rechtskonform verwaltet werden können. Meist kommen hier klassische Dokumentenmanagementsysteme und Archiv zum Einsatz. Auch Anbieter von Collaboration-Lösungen wie owncloud haben neue Funktionen eingeführt wie das „File Lifecycle Management“ [2]. Diese Zusatzfunktion ermöglicht es für die Daten in owncloud Archivierungs- und Löschfristen zu definieren.
Checkliste –Abklärungen vor der Einführung M365 Information Governance
Folgende Checkliste ist ein erster Einstieg in das Thema M365 Compliance:
- Wer ist in unserer Organisation für das rechtskonforme Datenmanagement verantwortlich und wer soll die Konfigurations- und Kontrolltätigkeiten im Microsoft M365 Compliance Center durchführen?
- Welche externen Anforderungen und internen Richtlinien für den Umgang mit Informationen gibt es und wie werden diese im M365 Information Governance abgebildet?
- Welche Anforderungen stellt der Datenschutz an das Datenmanagement und welche technischen und organisatorischen Maßnahmen sind in M365 durchzuführen?
- Welche Aufbewahrungsfristen gelten und wer erteilt die interne Freigabe bevor eine Konfiguration in M365 erfolgt?
- Sollen die Daten nach Ende der Aufbewahrungsfrist automatisch gelöscht werden oder erfolgt ein Review – wer führt diesen Review durch?
- Wie wird sichergestellt, dass die Daten an allen Speicherorten und in Fachapplikation, Archiv und auf Backups gelöscht werden?
- Gibt es eine Übersicht, welche Daten in welchen Prozessen und Systemen verarbeitet werden?
- Wie reagiere ich auf ein Datenschutz-Auskunftsbegehren einer Person?
- Wie gehen wir mit Datenbeständen um, welche nicht in M365 Umgebung aufbewahrt werden?
Fazit
Mit Hilfe der Compliance- und Information Governance Funktionen lässt sich das rechtskonforme Datenmanagement in Microsoft 365 verbessern. Voraussetzung ist aber, dass die Organisation die notwendigen Richtlinien, Datenklassifikationen und Aufbewahrungsfristen erarbeitet hat und korrekt in M365 umsetzt. Angesichts der steigenden Compliance- und Cybersecurity Herausforderungen steht vielen Unternehmen hier noch viel Arbeit bevor.
Dr. Daniel Burgwinkel
Datenschutz und Compliance fordern, dass geschäftsrelevante Daten für eine definierte Frist aufbewahrt werden und dann gelöscht werden. Microsoft 365 bietet mit dem Compliance Center hierfür neue Funktionen im Bereich Information Governance und Records Management an.