Microsoft 365 und Datenschutz – Das große FAQ
In diesem Beitrag fassen wir typische Fragen von Kunden zusammen und bilden eine große FAQ. Diese sollte auch ein Teil des Intranets sein, um Beschäftigte aufzuklären und proaktiv zu kommunizieren. Sollten Sie Fragen oder Hilfestellung benötigen, dann wenden Sie sich an uns unter kontakt@koellnservice.de.
Sie haben Fragen für das große FAQ? Dann schreiben Sie uns an kontakt@koellnservice.de
Wann ist das EU Boundary Program abgeschlossen?
Das EU Boundary Program befindet sich in der zweiten von drei Phasen in März 2023. Phase 1 war das Halten und Verarbeiten von Kundendaten innerhalb der EU Grenzen. Dies wurde Großteils schon erfolgt und ist in den Produktterms und in den neuen Subcontractor Liste zu sehen. Die Phase 2 hat den Schwerpunkt, dass die Telemetrie- und Diagnosedaten in die EU zu verschieben und nur noch anonymisierte Daten zu verschieben (Ende Mai 2023). Als Phase 3 folgt dann der Microsoft Support, dass dieser lediglich über Azure virtual Desktop gehostet in Dublin auf Kundendaten in Europa zugreifen kann und nicht direkt. Das EU Boundary Program soll Mitte 2024 komplett ausgeführt worden sein.
Was ist BYOK in Microsoft 365?
Als Maßnahme von vielen Datenschützern im Unternehmen und Rechtsgutachten diverser Rechtsanwälte soll BYOK zum Schutz vor US-Behörden und deren Zugriff dienen.
Unter BYOK versteht man Bring-your-own-key, also der eigene Schlüssel zur Verschlüsselung wird vom Unternehmen mitgebracht, um Daten in Microsoft 365 zu verschlüsseln. Hierbei muss man bei Microsoft 365 zwischen Customer Key und Microsoft Purview Information Protection unterscheiden.
Customer Key ist eine Compliance E5 Funktion, die es ermöglicht in einem eigenen Azure Key Vault (2 pro Werkzeug) den eigenen Schlüssel hineinzulegen und über die Freigabe Microsoft erlaubt für die AtRest / ruhende Daten den Kundenschlüssel zu verwenden und diesen auch rotieren zu können. Microsoft hat daneben immer einen Verfügbarkeitsschlüssel, um Support leisten zu können und im Notfall den Kundenschlüssel zu ersetzen. Ziel des Customer Key ist es einen EXIT früher durchführen zu können. Der Verfügbarkeitsschlüssel kann durch eine vorher bestimmte Person (z.B. CIO) zurückgerufen werden und auch der Customer Key kann selber widerrufen werden.
Wird jeder Support aus der EU erbracht?
Aktuell wird der Support auch in den USA erbracht und entsprechend der Uhrzeit und des Thema verteilt. In Zukunft nach Phase 3 des EU Boundary Program soll der Support hauptsächlich aus der EU kommen, dafür werden mehr Kapazitäten geschaffen. Es kann im Support auch danach aus den USA erfolgen, aber ein Zugriff lediglich unter 3% aller Fälle über AvD in Dublin. Im Bereich Cybersecurity können Daten entsprechende Daten auch weiterhin vollständig in die USA durch das Unternehmen aktiv fließen können, um die Experten in den USA und Israel helfen zu lassen.
Exchange Online Cloud als Grund des Verbots?
Exchange Online Server und Postfächer, Kalender und Aufgaben des Exchange Online sind für Europäische Rechnungsadressen (Tenant in EU, Deutschland, Schweiz, Frankreich) lediglich in Europa, bzw. der lokalen Region. Dies ist Teil der DPA, der PT, als auch besteht die Möglichkeit dies mit der Data Advanced Lizenz auch für die Verarbeitungen in der lokalen Region gehalten werden.
Als Administrator kann man sich dies sogar in der Netzwerkconnectivität ansehen:
https://connectivity.office.com/
In diesem Fall ist der nächste Server zu dem Exchange Online Frankfurt in Hessen. Mein Exchange Online Postfach liegt jedoch in Amsterdam und wird so innerhalb des Microsoft Netzes von Frankfurt nach Amsterdam geschickt.
Welchen Unterschied macht der konkrete Serverstandort auf den Cloud Act, wenn alle Daten eines US-Unternehmens gleich des Standortes durch US-Behörden abgegriffen werden können?
Hat Microsoft bei CMK Zugriff auf den Key?
Werden die Unterlagen von Microsoft angepasst, um vollumfänglich offenlegen, welche Verarbeitungen im Einzelnen stattfinden? Werden die Vertragsunterlagen von Microsoft angepasst? (Folge DSK Festlegung)
Gibt Microsoft an US-Geheimdienste personenbezogene Daten bei einem Beschluss weiter oder auch ohne? (Cloud Act)
Wie kann man als Unternehmen sicherstellen, dass die Server in einem unerlaubten Gebiet stehen, wenn der Unterbau auch in Brasilien stehen kann?
Wo findet man die aktuell DPA? Wann gilt diese für uns als Unternehmen?
Die DPA kann immer unter aka.ms/dpa abgerufen werden. Seit Januar 2023 und der DPA sind die DPA für alle Kunden gültig.
Die DPA gilt nur zunächst von der Eröffnung des Tenants.