DSGVO-Aktionsplan für Microsoft 365: die wichtigsten Prioritäten für die ersten 30 Tage, 90 Tage und danach
Dieser Artikel enthält einen priorisierten Aktionsplan, den Sie befolgen können, wenn Sie an den Anforderungen der Datenschutz-Grundverordnung (DSGVO) arbeiten. Dieser Aktionsplan wurde in Zusammenarbeit mit Protiviti entwickelt, einem Microsoft-Partner, der sich auf die Einhaltung gesetzlicher Vorschriften spezialisiert hat.
Mit der DSGVO wurden neue Regeln für Unternehmen, Regierungsbehörden, gemeinnützige Organisationen und andere Organisationen eingeführt, die Waren und Dienstleistungen für Personen in der Europäischen Union (EU) anbieten oder Daten für Eu-Bürger sammeln und analysieren. Die DSGVO gilt unabhängig davon, wo Sie oder Ihr Unternehmen sich befinden.
Ergebnisse des Aktionsplans
Unsere Empfehlungen sind in drei Phasen gegliedert und in logischer Reihenfolge angeordnet. Erreicht werden sollen die nachfolgend beschriebenen Ergebnisse:
| Phase | Ergebnisse |
|---|---|
| 30 Tage | Überblick über die zu erfüllenden DSGVO-Anforderungen und Hinzuziehung eines Microsoft GDPR Advisory Partner * Bewertung der Bereitschaft Ihres Unternehmens und Einholung von Empfehlungen für weitere Schritte. * Hinzuziehung eines Microsoft GDRP Advisory Partner zwecks Ausarbeitung interner Richtlinien für die Beantwortung von Anfragen betroffener Personen (Data Subject Requests, DSRs), die Durchführung einer Lückenanalyse der DSGVO-Compliance Ihres Unternehmens und die Aufstellung einer Compliance-Roadmap. Überblick über die gespeicherten Typen von personenbezogenen Daten inklusive ihrer Speicherorte als Grundlage für die Beantwortung von Anfragen betroffener Personen * Unternehmensweite Identifizierung personenbezogener Daten mithilfe der Inhaltssuche und der eDiscovery im Security & Compliance Center. * Wenn Sie mit großen Mengen an Inhalten arbeiten, verwenden Sie Microsoft Purview-eDiscovery (Premium), unterstützt von Machine Learning-Technologien, um effizientere und präzisere Inhaltssuchen durchzuführen. |
| 90 Tage | Beginn der Implementierung der Compliancevorgaben mithilfe der Microsoft 365-Funktionen für Data Governance und Compliance * Bewerten und verwalten Sie Ihre Compliancerisiken mithilfe von Microsoft Purview Compliance Manager. * Unterstützung der Benutzer bei der Identifizierung und Klassifizierung personenbezogener Daten gemäß den Definitionen der DSGVO. Vermeidung von Datenschutzverletzungen und Implementierung von Schutzmaßnahmen für personenbezogene Daten mithilfe der Sicherheitsfunktionen von Microsoft 365 * Schutz von Administratorkonten und Endbenutzerkonten. * Schutz vor Schadcode und Implementierung von Verfahren zur Vermeidung von und Reaktion auf Datenschutzverletzungen. * Verwendung der Überwachungsprotokollierung zur Überwachung auf potenziell böswillige Aktivitäten sowie als Grundlage für die forensische Analyse von Datenschutzverletzungen. * Verwenden Sie DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust), um vertrauliche Daten zu identifizieren und zu schützen. * Absicherung gegen die häufigsten Angriffsvektoren wie Phishing-E-Mails und Office-Dokumente mit gefährlichen Links und Anlagen. |
| Nach 90 Tagen | Implementierung fortlaufender Governanceprogramme für personenbezogene Daten mithilfe der erweiterten Data-Governance-Tools und Informationssicherheitsfunktionen in Microsoft 365 * Automatische Identifizierung persönlicher Informationen in Dokumenten und E-Mails. * Unternehmensweiter Schutz von auf Geräten gespeicherten personenbezogenen Daten und Gewährleistung, dass auf vertrauliche Daten nur mit konformen Unternehmensgeräten zugegriffen wird. * Gewährleistung der Einhaltung von Unternehmensrichtlinien bei der Speicherung von vertraulichen persönlichen Informationen sowie dem Zugriff auf solche Informationen. * Implementieren Sie Datenaufbewahrungsrichtlinien, um sicherzustellen, dass Sie personenbezogene Daten nur so lange wie nötig aufbewahren. Überwachung auf fortlaufende Compliance in Microsoft 365 und anderen Cloudanwendungen Erwägen Sie, die Anforderungen an die Datenaufbewahrung für personenbezogene Daten in der EU zu erfüllen. * Überwachung der Nutzung von Cloudanwendungen im Unternehmen und Implementierung von erweiterten Benachrichtigungsrichtlinien. * Einhaltung von Anforderungen bezüglich des Datenaufbewahrungsorts bei gleichzeitiger Beibehaltung globaler Abläufe. |
30 Tage – Leistungsstarke Schnellsiege
Diese Aufgaben sind schnell und effektiv und haben geringe Auswirkungen auf die Benutzer.
| Bereich | Aufgaben |
|---|---|
| Überblick über die zu erfüllenden DSGVO-Anforderungen und Hinzuziehung eines Microsoft GDPR Advisory Partner | * Bewerten und verwalten Sie Ihre Compliancerisiken mithilfe von Microsoft Purview Compliance Manager in der Microsoft Purview-Complianceportal, um eine DSGVO-Bewertung Ihrer Organisation durchzuführen. * Hinzuziehung eines Microsoft GDPR Advisory Partners zwecks Ausarbeitung interner Richtlinien für die Beantwortung von Anfragen betroffener Personen (Data Subject Requests, DSRs) sowie die Aufstellung einer Ausschlussliste für solche Anfragen. * Hinzuziehung eines Microsoft GDPR Advisory Partners zwecks Durchführung einer Lückenanalyse der DSGVO-Compliance Ihres Unternehmens sowie zur Aufstellung einer Roadmap für die Implementierung von DSGVO-Compliance. * Erfahren Sie, wie Sie das DSGVO-Dashboard und die Datensubjektanforderungsfunktion in der Microsoft Purview-Complianceportal verwenden. |
| Überblick über die gespeicherten Typen von personenbezogenen Daten inklusive ihrer Speicherorte als Grundlage für die Beantwortung von Anfragen betroffener Personen | * Verwenden Sie Inhaltssuche- und eDiscovery-Fälle (Standardfälle), um auf einfache Weise postfächer, öffentliche Ordner, Microsoft 365-Gruppen, Microsoft Teams, SharePoint Online-Websites, One Drive for Business-Websites und Skype for Business Unterhaltungen zu durchsuchen. Erfahren Sie, wie Sie vertrauliche Informationstypen für die Suche nach personenbezogenen Daten von EU-Bürgern verwenden. * Identifizieren Sie bei der Arbeit mit umfangreichen Inhaltsmengen Dokumente, die für ein bestimmtes Thema relevant sind (z. B. eine Compliance-Untersuchung), schnell und präziser als herkömmliche Stichwortsuchen mit Microsoft Purview-eDiscovery (Premium), die von Machine Learning-Technologien unterstützt werden. * Mit Vorschau auf Suchergebnisse, erhalten Sie Schlüsselwortstatistiken für eine oder mehrere Suchen, Massenbearbeitung von Inhaltssuchen und Export der Ergebnisse über das Microsoft 365 Security & & Compliance Center. |
90 Tage: Verbesserte Compliance
Die Planung und Implementierung dieser Aufgaben nimmt etwas mehr Zeit in Anspruch, kann aber Ihre gesamten Bemühungen zur DSGVO-Compliance verbessern.
| Bereich | Aufgaben |
|---|---|
| Beginn der Implementierung der Compliancevorgaben mithilfe der Microsoft 365-Funktionen für Data Governance und Compliance | * Verwalten Sie Ihre DSGVO-Compliance mit Microsoft Purview Compliance Manager innerhalb der Microsoft Purview-Complianceportal. * Unterstützung von Benutzern bei der Identifizierung und Klassifizierung personenbezogener Daten gemäß den Definitionen der DSGVO, mit einem Klassifizierungsschema samt zugehöriger Office 365-Bezeichnungen für Exchange-E-Mail, SharePoint-Websites, OneDrive for Business-Websites und Microsoft 365-Gruppen. Weitere Informationen finden Sie unter Bereitstellen von Datenschutzbestimmungen mit Microsoft 365. |
| Vermeidung von Datenschutzverletzungen und Implementierung von Schutzmaßnahmen für personenbezogene Daten mithilfe der Sicherheitsfunktionen von Microsoft 365 | * Verbesserung der Authentifizierung von Administratoren und Endbenutzern in der Microsoft Cloud durch Implementierung einer mehrstufigen Authentifizierung für alle Benutzerkonten und einer modernen Authentifizierung für alle Apps. Informationen zur empfohlenen Richtlinienkonfiguration finden Sie unter Identitäts- und Gerätezugriffskonfigurationen. * Bereitstellung von Microsoft Defender Advanced Threat Protection (ATP) auf allen Desktops zum Schutz vor Schadcode sowie zur Verhinderung von und Reaktion auf Datenlecks. * Aktivierung der Überwachungsprotokollierung und der Postfachüberwachung für alle Exchange-Postfächer zur Überwachung auf potenziell böswillige Aktivitäten sowie als Grundlage für die forensische Analyse von Datenschutzverletzungen. * Konfiguration, Test und Bereitstellung von Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) zur Identifizierung, Überwachung und automatischem Schutz von mehr als 80 gängigen Typen vertraulicher Daten in Dokumenten und E-Mails, einschließlich Finanzinformationen, medizinischen Informationen und personenbezogenen Informationen. * Implementieren Sie Office 365-Sicherheitslösungen, um die häufigsten Angriffsvektoren wie Phishing-E-Mails und Office-Dokumente mit schädlichen Links und Anlagen zu verhindern. |
Nach 90 Tagen: kontinuierliche Sicherheit, Data Governance und Berichterstellung
Diese Konfigurationen sind wichtige Sicherheitsmaßnahmen, die auf vorangegangenen Arbeiten aufbauen.
| Bereich | Aufgaben |
|---|---|
| Implementierung fortlaufender Governanceprogramme für personenbezogene Daten mithilfe der erweiterten Data-Governance-Tools und Informationssicherheitsfunktionen in Microsoft 365 | * Verwenden Sie Vertraulichkeitsbezeichnungen, um persönliche Informationen in Dokumenten und E-Mails zu identifizieren. * Bereitstellung von Microsoft Intune zum unternehmensweiten Schutz von auf Geräten gespeicherten, personenbezogenen Daten. * Implementierung von AAD-Richtlinien für bedingten Zugriff mit Microsoft Intune, um sicherzustellen, dass die Unternehmensrichtlinien bei der Speicherung von sensiblen personenbezogenen Daten sowie dem Zugriff auf diese eingehalten werden. Informationen zur empfohlenen Richtlinienkonfiguration finden Sie unter Identitäts- und Gerätezugriffskonfigurationen. * Implementieren Sie Datenaufbewahrungsrichtlinien mit Vertraulichkeitsbezeichnungen, Microsoft Purview-Datenlebenszyklusverwaltung und Aufbewahrungsrichtlinien, um personenbezogene Daten so lange wie nötig in Ihrer Zuständigkeit aufzubewahren. |
| Überwachung auf fortlaufende Compliance in Microsoft 365 und anderen Cloudanwendungen Erwägen Sie, die Anforderungen an die Datenaufbewahrung für personenbezogene Daten in der EU zu erfüllen. |