Microsoft 365 – behalten Sie die Kontrolle!
In unserem Gastartikel stellt Jörg Schanko, Geschäftsführer der Konverion UG (haftungsbeschränkt) das Tool Microsoft 365 Checker vor, mit dem der Betriebsrat überwachen kann, ob sich Änderungen an den Microsoft-Produkten auf den Datenschutz auswirken.
Microsoft 365 ist eine ausgesprochen umfangreiche und komplexe Plattform, die in zahlreichen Unternehmen als Basis für die gesamte Kommunikation und Zusammenarbeit – sowohl intern als auch mit Kunden und Partnern – genutzt wird.
Erhöht wird diese Komplexität durch den sogenannten „Evergreen“-Ansatz, nachdem Microsoft neue Funktionen und Erweiterungen nicht mehr in zeitlich festgelegten Abständen, sondern direkt nach Fertigstellung verfügbar macht.
Regelmäßige Überprüfung der TOMs
Der Umfang und die Dynamik stellen nicht nur IT-Abteilungen vor neue Herausforderungen. Insbesondere Betriebsräte sehen sich mit der scheinbar unlösbaren Aufgabe konfrontiert, einmal geschlossene Betriebsvereinbarung zu Microsoft 365 dann im laufenden Betrieb auf Einhaltung zu kontrollieren. Aber auch Datenschutzbeauftragte teilen dieses Schicksal. Schließlich besteht nach der EU Datenschutz-Grundverordnung die Verpflichtung, die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten regelmäßig zu überprüfen und zu dokumentieren.
Der Microsoft 365 Checker
Um hier eine Hilfestellung zu bieten, haben wir den „Microsoft 365 Checker“ entwickelt. Mit seiner Hilfe können alle mitbestimmungsrelevanten Konfigurationen aus den verschiedenen Microsoft 365 Komponenten (Azure Active Directory, Security, Compliance, Exchange, Teams…) ausgelesen und dokumentiert werden. Und das ohne tiefgreifende Microsoft 365 Kenntnisse!
Und so gehts:
Zuerst definiert man eine oder mehrere Vorlagen, in denen festgelegt wird, welche Konfigurationen ausgelesen werden sollen.
Nachdem die Vorlage gespeichert ist, kann man auf ihrer Basis Berichte erstellen, die in einer lokalen, verschlüsselten Datenbank abgelegt werden.
Gut zu wissen: Der Microsoft 365 Checker nutzt dazu „unter der Haube“ PowerShell, also die gleiche Technologie, die auch Administratoren verwenden, um komplexe Umgebungen zu verwalten.
Naturgemäß sind die ausgelesenen Informationen sehr technisch. Daher empfiehlt es sich, den initialen Bericht zwischen dem Betriebsrat bzw. dem Datenschutzbeauftragten und der IT zu besprechen.
Sind alle Einstellungen so, wie z.B. in der Betriebsvereinbarung zu Microsoft 365 festgelegt, markiert man den Bericht als „Vergleichsgrundlage“. Berichte, die zu einem späteren Zeitpunkt erstellt werden, können dann einfach mit dieser Grundlage verglichen werden. Sind Abweichungen zwischen den Berichten vorhanden, so werden die entsprechenden Bereiche hervorgehoben.
Man bekommt also einen schnellen Überblick, ob – und wenn ja, was sich in der Zwischenzeit geändert hat. Alle Berichte und Vergleiche können auch als Word-Dokument exportiert werden.
Teilt sich eine Unternehmensgruppe einen gemeinsamen Microsoft 365 Tenant (Mandant), so können die Berichte so konfiguriert werden, dass für jedes Gremium nur die personenbezogenen Daten von Mitarbeitern angezeigt werden, für die dieses Gremium auch zuständig ist. Damit lässt sich auch bei Kontrollen der Datenschutz gewährleisten.
Sichere interne Übermittlung der Berichte
Um einen Bericht erstellen zu können, benötigt man ein Benutzerkonto im Azure Active Directory, welches über die notwendigen Berechtigungen (in der Regel „Globaler Leser“ und „Sicherheitsleseberechtigter“) verfügt. Wenn diese Berechtigungen einem Gremium nicht direkt zur Verfügung gestellt werden können, so können die Berichte auch zentral von der IT erstellt und per Export verfügbar gemacht werden. Die Exportdateien sind verschlüsselt und mit einem Hashwert versehen, sodass inhaltlich Änderungen nicht möglich sind.
Generell stellt der Microsoft 365 Checker damit eine Kontrollmöglichkeit zur Verfügung, die für alle Parteien einfach und Zeit schonend ist.