Freigeben über


DSGVO-Aktionsplan für Microsoft 365: die wichtigsten Prioritäten für die ersten 30 Tage, 90 Tage und danach

Dieser Artikel enthält einen priorisierten Aktionsplan, den Sie befolgen können, wenn Sie daran arbeiten, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Dieser Aktionsplan wurde in Zusammenarbeit mit Protiviti entwickelt, einem Microsoft-Partner, der sich auf die Einhaltung gesetzlicher Bestimmungen spezialisiert hat.

Mit der DSGVO wurden neue Vorschriften für Unternehmen, Regierungsbehörden, gemeinnützige Organisationen und andere Organisationen eingeführt, die Waren und Dienstleistungen für Menschen in der Europäischen Union (EU) anbieten oder Daten für Eu-Bürger sammeln und analysieren. Die DSGVO gilt unabhängig davon, wo Sie oder Ihr Unternehmen sich befinden.

Ergebnisse des Aktionsplans

Unsere Empfehlungen sind in drei Phasen gegliedert und in logischer Reihenfolge angeordnet. Erreicht werden sollen die nachfolgend beschriebenen Ergebnisse:

Phase Ergebnisse
30 Tage Überblick über die zu erfüllenden DSGVO-Anforderungen und Hinzuziehung eines Microsoft GDPR Advisory Partner
* Bewertung der Bereitschaft Ihres Unternehmens und Einholung von Empfehlungen für weitere Schritte.
* Hinzuziehung eines Microsoft GDRP Advisory Partner zwecks Ausarbeitung interner Richtlinien für die Beantwortung von Anfragen betroffener Personen (Data Subject Requests, DSRs), die Durchführung einer Lückenanalyse der DSGVO-Compliance Ihres Unternehmens und die Aufstellung einer Compliance-Roadmap.

Überblick über die gespeicherten Typen von personenbezogenen Daten inklusive ihrer Speicherorte als Grundlage für die Beantwortung von Anfragen betroffener Personen
* Unternehmensweite Identifizierung personenbezogener Daten mithilfe der Inhaltssuche und der eDiscovery im Security & Compliance Center.
* Wenn Sie mit großen Mengen von Inhalten arbeiten, verwenden Sie Microsoft Purview-eDiscovery (Premium), die von Machine Learning-Technologien unterstützt werden, um effizientere und präzisere Inhaltssuchen durchzuführen.
90 Tage Beginn der Implementierung der Compliancevorgaben mithilfe der Microsoft 365-Funktionen für Data Governance und Compliance
* Bewerten und verwalten Sie Ihre Compliancerisiken mithilfe von Microsoft Purview Compliance Manager.
* Unterstützung der Benutzer bei der Identifizierung und Klassifizierung personenbezogener Daten gemäß den Definitionen der DSGVO.

Vermeidung von Datenschutzverletzungen und Implementierung von Schutzmaßnahmen für personenbezogene Daten mithilfe der Sicherheitsfunktionen von Microsoft 365
* Schutz von Administratorkonten und Endbenutzerkonten.
* Schutz vor Schadcode und Implementierung von Verfahren zur Vermeidung von und Reaktion auf Datenschutzverletzungen.
* Verwendung der Überwachungsprotokollierung zur Überwachung auf potenziell böswillige Aktivitäten sowie als Grundlage für die forensische Analyse von Datenschutzverletzungen.
* Verwenden Sie DLP-Richtlinien (Data Loss Prevention), um vertrauliche Daten zu identifizieren und zu schützen.
* Absicherung gegen die häufigsten Angriffsvektoren wie Phishing-E-Mails und Office-Dokumente mit gefährlichen Links und Anlagen.
Nach 90 Tagen Implementierung fortlaufender Governanceprogramme für personenbezogene Daten mithilfe der erweiterten Data-Governance-Tools und Informationssicherheitsfunktionen in Microsoft 365
* Automatische Identifizierung persönlicher Informationen in Dokumenten und E-Mails.
* Unternehmensweiter Schutz von auf Geräten gespeicherten personenbezogenen Daten und Gewährleistung, dass auf vertrauliche Daten nur mit konformen Unternehmensgeräten zugegriffen wird.
* Gewährleistung der Einhaltung von Unternehmensrichtlinien bei der Speicherung von vertraulichen persönlichen Informationen sowie dem Zugriff auf solche Informationen.
* Implementieren Sie Datenaufbewahrungsrichtlinien, um sicherzustellen, dass Sie personenbezogene Daten nur so lange wie erforderlich aufbewahren.

Überwachung auf fortlaufende Compliance in Microsoft 365 und anderen Cloudanwendungen Erwägen Sie, die Anforderungen an die Datenresidenz für personenbezogene Daten in der EU zu erfüllen.
* Überwachung der Nutzung von Cloudanwendungen im Unternehmen und Implementierung von erweiterten Benachrichtigungsrichtlinien.
* Einhaltung von Anforderungen bezüglich des Datenaufbewahrungsorts bei gleichzeitiger Beibehaltung globaler Abläufe.

30 Tage – Leistungsstarke Schnellgewinne

Diese Aufgaben sind schnell und effektiv und haben geringe Auswirkungen auf die Benutzer.

Bereich Aufgaben
Überblick über die zu erfüllenden DSGVO-Anforderungen und Hinzuziehung eines Microsoft GDPR Advisory Partner * Bewerten und verwalten Sie Ihre Compliancerisiken mithilfe von Microsoft Purview Compliance Manager im Microsoft Purview-Complianceportal, um eine DSGVO-Bewertung Ihrer organization durchzuführen.
* Hinzuziehung eines Microsoft GDPR Advisory Partners zwecks Ausarbeitung interner Richtlinien für die Beantwortung von Anfragen betroffener Personen (Data Subject Requests, DSRs) sowie die Aufstellung einer Ausschlussliste für solche Anfragen.
* Hinzuziehung eines Microsoft GDPR Advisory Partners zwecks Durchführung einer Lückenanalyse der DSGVO-Compliance Ihres Unternehmens sowie zur Aufstellung einer Roadmap für die Implementierung von DSGVO-Compliance.
* Erfahren Sie, wie Sie das DSGVO-Dashboard und die Funktion "Datensubjektanforderung" im Microsoft Purview-Complianceportal verwenden.
Überblick über die gespeicherten Typen von personenbezogenen Daten inklusive ihrer Speicherorte als Grundlage für die Beantwortung von Anfragen betroffener Personen * Verwenden Sie Die Inhaltssuche und eDiscovery-Fälle (Standard), um problemlos in Postfächern, öffentlichen Ordnern, Microsoft 365-Gruppen, Microsoft Teams, SharePoint-Websites, One Drive for Business-Websites und Skype for Business Unterhaltungen zu suchen. Erfahren Sie, wie Sie vertrauliche Informationstypen für die Suche nach personenbezogenen Daten von EU-Bürgern verwenden.
* Wenn Sie mit großen Mengen von Inhalten arbeiten, identifizieren Sie Dokumente, die für ein bestimmtes Thema relevant sind (z. B. eine Compliance-Untersuchung), schnell und präziser als herkömmliche Schlüsselwort (keyword) Suchvorgänge mit Microsoft Purview-eDiscovery (Premium), die von Machine Learning-Technologien unterstützt werden.
* Anzeigen einer Vorschau der Suchergebnisse, Abrufen Schlüsselwort (keyword) Statistiken für eine oder mehrere Suchvorgänge, Massenbearbeitung von Inhaltssuchen und Exportieren der Ergebnisse mithilfe des Security & Compliance Center.

90 Tage: Verbesserte Compliance

Die Planung und Implementierung dieser Aufgaben nimmt etwas mehr Zeit in Anspruch, kann aber Ihre gesamten Bemühungen zur DSGVO-Compliance verbessern.

Bereich Aufgaben
Beginn der Implementierung der Compliancevorgaben mithilfe der Microsoft 365-Funktionen für Data Governance und Compliance * Verwalten Sie Ihre DSGVO-Compliance mit Microsoft Purview Compliance Manager innerhalb der Microsoft Purview-Complianceportal.
* Unterstützung von Benutzern beim Identifizieren und Klassifizieren personenbezogener Daten gemäß der DSGVO mit einem Klassifizierungsschema und zugeordneten Office 365 Bezeichnungen für Exchange-E-Mails, SharePoint-Websites, OneDrive für Geschäfts-, Schul- und Uniwebsites und Microsoft 365-Gruppen. Weitere Informationen finden Sie unter Bereitstellen von Datenschutzbestimmungen mit Microsoft 365.
Vermeidung von Datenschutzverletzungen und Implementierung von Schutzmaßnahmen für personenbezogene Daten mithilfe der Sicherheitsfunktionen von Microsoft 365 * Verbesserung der Authentifizierung von Administratoren und Endbenutzern in der Microsoft Cloud durch Implementierung einer mehrstufigen Authentifizierung für alle Benutzerkonten und einer modernen Authentifizierung für alle Apps. Informationen zur empfohlenen Richtlinienkonfiguration finden Sie unter Identitäts- und Gerätezugriffskonfigurationen.
* Bereitstellung von Microsoft Defender Advanced Threat Protection (ATP) auf allen Desktops zum Schutz vor Schadcode sowie zur Verhinderung von und Reaktion auf Datenlecks.
* Aktivierung der Überwachungsprotokollierung und der Postfachüberwachung für alle Exchange-Postfächer zur Überwachung auf potenziell böswillige Aktivitäten sowie als Grundlage für die forensische Analyse von Datenschutzverletzungen.
* Konfiguration, Test und Bereitstellung von Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) zur Identifizierung, Überwachung und automatischem Schutz von mehr als 80 gängigen Typen vertraulicher Daten in Dokumenten und E-Mails, einschließlich Finanzinformationen, medizinischen Informationen und personenbezogenen Informationen.
* Implementieren Sie Office 365-Sicherheitslösungen, um die häufigsten Angriffsvektoren wie Phishing-E-Mails und Office-Dokumente mit schädlichen Links und Anlagen zu verhindern.

Nach 90 Tagen: kontinuierliche Sicherheit, Data Governance und Berichterstellung

Diese Konfigurationen sind wichtige Sicherheitsmaßnahmen, die auf vorangegangenen Arbeiten aufbauen.

Bereich Aufgaben
Implementierung fortlaufender Governanceprogramme für personenbezogene Daten mithilfe der erweiterten Data-Governance-Tools und Informationssicherheitsfunktionen in Microsoft 365 * Verwenden Sie Vertraulichkeitsbezeichnungen, um persönliche Informationen in Dokumenten und E-Mails zu identifizieren.
* Bereitstellung von Microsoft Intune zum unternehmensweiten Schutz von auf Geräten gespeicherten, personenbezogenen Daten.
* Implementierung von AAD-Richtlinien für bedingten Zugriff mit Microsoft Intune, um sicherzustellen, dass die Unternehmensrichtlinien bei der Speicherung von sensiblen personenbezogenen Daten sowie dem Zugriff auf diese eingehalten werden. Informationen zur empfohlenen Richtlinienkonfiguration finden Sie unter Identitäts- und Gerätezugriffskonfigurationen.
* Implementieren Sie Datenaufbewahrungsrichtlinien mit Vertraulichkeitsbezeichnungen, Microsoft Purview-Datenlebenszyklusverwaltung und Aufbewahrungsrichtlinien, um personenbezogene Daten so lange aufzubewahren, wie dies in Ihrer Gerichtsbarkeit erforderlich ist.
Überwachung auf fortlaufende Compliance in Microsoft 365 und anderen Cloudanwendungen Erwägen Sie, die Anforderungen an die Datenresidenz für personenbezogene Daten in der EU zu erfüllen.
  • Verwenden Sie Berichte zur Verhinderung von Datenverlust und Microsoft Defender for Cloud Apps, um die Nutzung von Cloudanwendungen zu überwachen und erweiterte Warnungsrichtlinien basierend auf Heuristik und Benutzeraktivität zu implementieren.
  • Erfüllen Sie organisatorische, regionale und lokale Datenresidenzanforderungen, während Sie als eine globale organization mithilfe der Multi-Geo-Funktionen von Microsoft für Exchange Online Postfächer, OneDrive für Geschäfts-, Schul- und Uniwebsites und SharePoint-Websites konfiguriert sind.
  • Weitere Informationen