Freigeben über


Office 365 Benachrichtigungen bei Datenschutzverletzungen im Rahmen der DSGVO

Als Datenverarbeiter stellt Office 365 sicher, dass unsere Kunden in der Lage sind, die Dsgvo-Anforderungen zur Benachrichtigung von Sicherheitsverletzungen als Datenverantwortliche zu erfüllen. Zu diesem Zweck verpflichten wir uns zu den folgenden Aktionen:

  • Bereitstellung der Möglichkeit für Kunden, einen speziellen Ansprechpartner für den Datenschutz festzulegen, der im Falle einer Datenschutzverletzung benachrichtigt wird. Kunden können diesen Kontakt über die Rolleneinstellungen des Datenschutzlesers für das Nachrichtencenter angeben.
  • Benachrichtigung der Kunden über eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung. Benachrichtigungen werden im Nachrichtencenter veröffentlicht, das über das Microsoft 365 Admin Center zugänglich ist. Zusätzlich werden E-Mail-Benachrichtigungen an bestimmte Kontakte gesendet, die anzeigen, dass ein neuer Beitrag im Nachrichtencenter veröffentlicht wurde.
  • Die anfängliche Benachrichtigung enthält zumindest eine Beschreibung der Art der Sicherheitsverletzung, eine Annäherung an die Auswirkungen der Benutzer und die Schritte zur Entschärfung (falls zutreffend). Wenn unsere Untersuchung zum Zeitpunkt der ersten Benachrichtigung nicht abgeschlossen ist, geben wir in unserer ersten Benachrichtigung die nächsten Schritte und Zeitpläne für die nachfolgende Kommunikation an.

Microsoft erkennt an, dass datenverantwortliche Verantwortliche für die Durchführung von Risikobewertungen und die Entscheidung, ob eine Sicherheitsverletzung eine Benachrichtigung über die DPA des Kunden erfordert, verantwortlich sind, und dass unsere Benachrichtigung an Kunden die informationen bereitstellt, die für diese Bewertung erforderlich sind. Microsoft wird Kunden daher über jede Verletzung personenbezogener Daten informieren, mit Ausnahme der Fälle, in denen bestätigt wird, dass personenbezogene Daten unverständlich sind (z. B. verschlüsselte Daten, bei denen die Integrität der Schlüssel bestätigt wird).

Office 365-Investitionen in Datensicherheit

Neben unserer Zusage, rechtzeitig über Datenschutzverletzungen zu benachrichtigen, investiert Office 365 in Systeme, Prozesse und Mitarbeiter, um die Wahrscheinlichkeit von Verletzungen des Schutzes personenbezogener Daten zu verringern, und Verletzungen, wenn sie auftreten, schnell zu erkennen und ihre Auswirkungen zu mindern.

Hier finden Sie eine Beschreibung einiger unserer Investitionen in diesen Bereich:

  • Access Control Systems. Office 365 verwaltet eine Richtlinie für "keinen stehenden Zugriff", was bedeutet, dass Techniker keinen Zugriff auf den Dienst haben, es sei denn, er wird explizit als Reaktion auf einen bestimmten Vorfall gewährt, der eine Rechteerweiterung erfordert. Wenn der Zugriff gewährt wird, erfolgt dies nach dem Prinzip der geringsten Rechte: Die für eine bestimmte Anforderung gewährte Berechtigung lässt nur einen minimalen Satz von Aktionen zu, die zum Verarbeiten dieser Anforderung erforderlich sind. Dazu behält Office 365 eine strikte Trennung zwischen "Rechteerweiterungsrollen" bei, wobei jede Rolle nur bestimmte vordefinierte Aktionen zulässt. Die Rolle "Zugriff auf Kundendaten" unterscheidet sich von anderen Rollen, die häufiger zur Verwaltung des Diensts verwendet werden, und wird vor der Genehmigung am intensivsten überprüft. Zusammengenommen verringern diese Investitionen in die Zugriffssteuerung die Wahrscheinlichkeit, dass ein Techniker in Office 365 unangemessen auf Kundendaten zugreift.

  • Sicherheitsüberwachungssysteme und -automatisierung: Office 365 verwaltet robuste Echtzeit-Sicherheitsüberwachungssysteme. Diese Systeme geben unter anderem Warnungen für Versuche aus, illegal auf Kundendaten zuzugreifen, oder bei Versuchen, Daten aus unserem Dienst zu übertragen. Im Zusammenhang mit den oben erwähnten Punkten zur Zugriffssteuerung führen unsere Sicherheitsüberwachungssysteme detaillierte Aufzeichnungen der gestellten Rechteanforderungen und der Für eine bestimmte Erhöhungsanforderung ausgeführten Aktionen. Office 365 verwaltet auch automatische Lösungen, die automatisch zur Abwehr von Bedrohungen als Reaktion auf von uns erkannte Probleme reagieren, und dedizierte Teams für die Reaktion auf Warnungen, die nicht automatisch aufgelöst werden können. Zur Überprüfung unserer Sicherheitsüberwachungssysteme führt Office 365 regelmäßig Red-Team-Übungen durch, bei denen ein internes Penetrationstestteam das Verhalten von Angreifern gegen die Liveumgebung simuliert. Diese Übungen führen zu regelmäßigen Verbesserungen unserer Sicherheitsüberwachungs- und Reaktionsfunktionen.

  • Personal und Prozesse: Zusätzlich zur zuvor beschriebenen Automatisierung verwaltet Office 365 Prozesse und Teams, die sowohl für die Schulung der breiteren Organisation über Datenschutz- und Incidentverwaltungsprozesse als auch für die Ausführung dieser Prozesse während einer Sicherheitsverletzung verantwortlich sind. Beispielsweise wird ein detailliertes SoP (Standard Operating Procedure, Standard Operating Procedure) für Datenschutzverletzungen verwaltet und für Teams in der gesamten Organisation freigegeben. Dieser SOP beschreibt im Detail die Rollen und Zuständigkeiten einzelner Teams innerhalb Office 365 und zentralisierter Teams zur Reaktion auf Sicherheitsvorfälle. Diese Zuständigkeiten umfassen sowohl das, was Teams tun müssen, um ihren eigenen Sicherheitsstatus zu verbessern (Durchführen von Sicherheitsüberprüfungen, Integration in zentrale Sicherheitsüberwachungssysteme und andere bewährte Methoden) als auch, was Teams bei einer tatsächlichen Sicherheitsverletzung tun müssen (schnelle Eskalation zur Reaktion auf Vorfälle, Verwalten und Bereitstellen bestimmter Datenquellen, die verwendet werden, um den Reaktionsprozess zu beschleunigen). Teams werden auch regelmäßig in der Datenklassifizierung sowie in der korrekten Handhabung und Speicherung personenbezogener Daten geschult.

Die wichtigste Erkenntnis ist, dass Office 365 stark in die Verringerung der Wahrscheinlichkeit und der Folgen von Verletzungen personenbezogener Daten investiert, die sich auf unsere Kunden auswirken. Wenn es zu einer Verletzung personenbezogener Daten kommt, sind wir verpflichtet, unsere Kunden schnell zu benachrichtigen, sobald diese Verletzung bestätigt wurde.

Was Sie im Falle einer Datenschutzverletzung erwarten können

Im obigen Abschnitt werden die Investitionen Office 365 zur Verringerung der Wahrscheinlichkeit von Datenverletzungen beschrieben. Im unwahrscheinlichen Fall, dass eine Sicherheitsverletzung auftritt, sollten Kunden eine vorhersagbare Erfahrung in Bezug auf die folgenden Antworten erwarten:

  • Konsistenter Lebenszyklus der Reaktion auf Vorfälle innerhalb Office 365. Wie oben beschrieben, verwaltet Office 365 detaillierte SOPs zur Reaktion auf Vorfälle, die beschreiben, wie Sich Teams auf Sicherheitsverletzungen vorbereiten sollten und wie sie im Falle einer Sicherheitsverletzung vorgehen sollten. Dadurch wird sichergestellt, dass unsere Schutzmaßnahmen und Prozesse im gesamten Dienst gelten.

  • Konsistente Kriterien für die Benachrichtigung von Kunden. Unsere Benachrichtigungskriterien konzentrieren sich auf Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten. Office 365 werden Kunden direkt benachrichtigen, wenn die Vertraulichkeit oder Integrität von Kundendaten beeinträchtigt wird. Das heißt, wir benachrichtigen Kunden, wenn ohne ordnungsgemäße Autorisierung auf ihre Daten zugegriffen wird oder ob es zu unangemessener Zerstörung oder Datenverlust kommt. Office 365 melden auch Probleme, die sich auf die Datenverfügbarkeit auswirken, obwohl diese Aktion normalerweise über das Dienstintegritätsdashboard (SHD) ausgeführt wird.

  • Konsistente Benachrichtigungsdetails. Wenn Office 365 über Datenschutzverletzungen kommuniziert, können Kunden erwarten, dass bestimmte Details mitgeteilt werden: Wir geben mindestens die folgenden Details an:

    • Dauer der Verletzung und Zeitpunkt, zu dem die Verletzung bekannt wurde
    • Die ungefähre Anzahl der betroffenen Benutzer
    • Die Art von Benutzerdaten, die betroffen ist
    • Aktionen, die vom Verantwortlichen oder Auftragsverarbeiter ausgeführt werden müssen, um die Auswirkungen der Datenschutzverletzung zu mindern

Kunden sollten auch beachten, dass Office 365 als Datenverarbeiter das Risiko einer Datenverletzung nicht bestimmt. Wenn eine Verletzung personenbezogener Daten festgestellt wird, benachrichtigen wir unsere Kunden und stellen ihnen die Details zur Verfügung, die sie benötigen, um das Risiko für betroffene Benutzer genau zu bestimmen und zu entscheiden, ob eine weitere Meldung an die Aufsichtsbehörden erforderlich ist. Zu diesem Zweck wird von datenverantwortlichen Datenverantwortlichen erwartet, dass sie Folgendes über den Vorfall bestimmen:

  • Schweregrad der Verletzung (d. h. Risikobewertung)
  • Ob Endbenutzer benachrichtigt werden müssen
  • Ob Aufsichtsbehörden (Datenschutzbehörden) benachrichtigt werden müssen
  • Bestimmte Schritte, die vom Datenverantwortlichen ergriffen werden, um die Auswirkungen der Verletzung zu mindern

Kontaktaufnahme mit Microsoft

In einigen Szenarien wird ein Kunde möglicherweise auf eine Sicherheitsverletzung aufmerksam und möchte Microsoft benachrichtigen. Das aktuelle Protokoll ist für Kunden vorgesehen, um Microsoft-Support zu benachrichtigen, die dann mit Entwicklungsteams zusammenarbeiten, um weitere Informationen zu erhalten. In diesem Szenario sind die Microsoft-Entwicklungsteams auf ähnliche Weise verpflichtet, die Informationen, die Kunden benötigen, über ihren Supportkontakt zeitnah bereitzustellen.

Handlungsaufforderung für Kunden

Wie bereits erwähnt, verpflichtet sich Microsoft 365, Kunden innerhalb von 72 Stunden nach der Erklärung der Verletzung zu benachrichtigen. Der Mandantenadministrator des Kunden wird benachrichtigt. Darüber hinaus empfiehlt Microsoft 365 Kunden, eine oder mehrere Personen als Datenschutzleser im Nachrichtencenter zu benennen, was im Microsoft 365 Admin Center erfolgen kann. Im Falle einer Verletzung personenbezogener Daten können Ressourcen, denen die Rolle "Nachrichtencenter-Datenschutzleser" zugewiesen ist, auf das Nachrichtencenter zugreifen, um relevante Datenschutzbenachrichtigungen anzuzeigen, und je nach ihren Einstellungen für das Nachrichtencenter möglicherweise eine zugehörige E-Mail erhalten.

Weitere Informationen finden Sie unter: