KöllnService Microsoft 365 Datenschutzmodell

KöllnService Microsoft 365 Datenschutzmodell

Im Rahmen von Assessments und Prüfungen beschäftigen wir uns seit über 20 Jahren mit Exchange, SharePoint, BPOS, Office 365 und nun auch Microsoft 365 dem SaaS Dienst. Das Thema Datenschutz wurde mit der DSGVO nun der Fokus erhöht.

6 Elemente des Modells

Das Modell besteht aus den verschiedenen Elementen:

  • 0. Element – Verträge
  • 1. Element – Paperwork
  • 2. Element – technische Konfiguration
  • 3. Element – Prozesse
  • 4. Element – Risikoübernahmen
  • 5. Element – Beteiligung / kollektives Arbeitsrecht / Betriebsrat und Personalrat

Element Verträge

In diesem Modul werden die Verträge und vertraglichen Beziehung geprüft, dokumentiert und zu 100% gibt es fehlende Verträge ergänzt. Bevor eine Nutzung von Microsoft 365 beginnen kann, müssen alle Verträge geschlossen und vorliegen. Eine Vertragsverwaltung ist extrem wichtig, sowie die Zusammenarbeit mit Einkauf und IT-Abteilung. Dieser Prozess muss der erste Prozess sein.

Element Paperwork

Im Bereich des Paperwork werden Dokumente, Argumentationspaper, Betriebsvereinbarungen, TIAs und Datenschutzfolgenabschätzungen erstellt. Dieser Punkt gehört zur Schaffung von Rechtsgrundlagen, sowie einer Risikobetrachtung, um überhaupt technische- und organisatorische Maßnahmen treffen zu können. In Teilen ist dieser Teil parallel zur technischen Konfiguration und Einführung der Werkzeuge möglich. Es darf jedoch nie passieren, dass eine technische Konfiguration ohne eine Risikominimierung stattfindet, sie also macht, weil es geht.

Beispiele: DSFA, TIA, Argumentationspaper für Führungskräfte

Element technische Konfiguration

In diesem Element wird eine technische Konfiguration durchgeführt und Prozesse geschaffen, die einen Betrieb von Microsoft 365 in der Linie gewährleisten können. Dazu gilt es ein Risiko-Maßnahmen Model auch im Evergreen gemeinsam mit dem Betriebsrat herzustellen. Dazu gehört es auch eine Konfiguration sei es über Office 365 DSC oder auch Azure DevOps oder andere Systeme herzustellen, damit eine UI nicht verwendet werden muss.

Beispiele: Datenklassifikation, Data Lifecylce oder auch DLP

Prüfung von Werkzeugen: Priva, otris, OneTrust z.B.

Element Prozesse

In diesem Element müssen Prozesse geschaffen werden. Dazu gehört es die oben schon erstellten Prozesse einem Review zu unterziehen. Ebenso sollte man bestehende Prozesse prüfen und Microsoft 365 integrieren. Als Letztes gilt es die Prozesse zu testen und einem jährlichen Review zu unterziehen.

Beispiel: Betroffenenanfrage beantworten

Element Risikoübernahmen

Eine Risikoübernahme oder sogar mehrere innerhalb von Microsoft 365 gehören zwingend dazu, wie die anderen Elemente dieses Modells. Die Risikoübernahmen im Anschluss an Risikobetrachtungen wie einer DSFA müssen regelmäßig angepasst und wiederholt werden. CEOs, Geschäftsführer, CISOs und auch Datenschutzbeauftragte, wie auch Betriebsräte sind zu beteiligen.

Sie wollen diese Elemente nicht selber durchführen oder brauchen einen Managed Services, der Sie von der Last befreit? Dann melden sie sich: Vertrieb@koellnservice.de

Kommentare sind geschlossen.