Die Datenschutz-Grundverordnung (DS-GVO) stellt Unternehmen vor die Herausforderung, ihre IT-Systeme und Prozesse so zu gestalten, dass sie den hohen Anforderungen an den Datenschutz gerecht werden. SharePoint Online, ein integraler Bestandteil von Microsoft 365, ist dabei keine Ausnahme. Die Frage, ob SharePoint Online DSGVO-konform genutzt werden kann, ist weniger eine Frage der Möglichkeit als vielmehr der korrekten Anwendung und Konfiguration durch die Nutzer.
Wichtige Anmerkung: Dieser Artikel stellt keine rechtsverbindliche Beratung zum Thema DSGVO-Konformität dar. In diesem Artikel gebe ich nur meine Erfahrung und wichtige Informationen aus der Praxis weiter, die bei der Systemeinführung oder Migration nützlich sein können.
Microsoft hat als Anbieter von SharePoint Online verschiedene Maßnahmen ergriffen, um die Einhaltung der DS-GVO zu unterstützen. Dazu gehören beispielsweise die Bereitstellung von Datenschutzkontrollen und die Möglichkeit, Daten innerhalb der EU zu speichern. Dennoch liegt die Verantwortung für die DSGVO-konforme Nutzung letztendlich bei den Unternehmen selbst. Microsoft agiert hier als Auftragsverarbeiter.
Es gibt online viele Anbieter, die Checklisten für Datenschutzkonformität anbieten. Auch Microsoft selbst bietet 30- 60- und 90-Tage Pläne um einen DSGVO-Aktionsplan zu erstellen (Link führt zu learn.microsoft.com). Auch im eigenen Microsoft 365 Admin Center gibt es eine Setup-Seite hierfür (Setup – Microsoft 365 admin center). Unten nur einige Beispiele von zielführende und weniger zielführende Maßnahmen.
Beispiele für Maßnahmen, die eine datenschutzkonforme Nutzung ermöglichen, wäre die Einrichtung von Richtlinien für den Zugriff, die Speicherung und die Weitergabe von Daten, die sicherstellen, dass nur berechtigte Personen Zugang zu sensiblen Informationen haben. Dies lies sich bereits mit SharePoint Server durchführen, online geht das durch das Microsoft Purview Portal (https://purview.microsoft.com). Zudem sollten Unternehmen regelmäßige Überprüfungen (Audits) durchführen, um sicherzustellen, dass die Einstellungen und Berechtigungen aktuell und korrekt sind.
Auf der anderen Seite kann eine nicht-konforme Nutzung von SharePoint Online beispielsweise dann vorliegen, wenn Mitarbeiterdaten ohne Betriebsvereinbarung oder personenbezogene Daten von Kunden ohne ausreichende Sicherheitsmaßnahmen gespeichert oder an Dritte weitergegeben werden, die nicht den DSGVO-Standards entsprechen.
Es ist daher entscheidend, dass Unternehmen nicht nur die technischen Möglichkeiten von SharePoint Online und Microsoft 365 allgemein nutzen, sondern auch die notwendigen Datenschutzpraktiken umsetzen und einhalten. Dies erfordert einerseits ein tiefes Verständnis der DS-GVO und der spezifischen Anforderungen, die sie an die Datenverarbeitung stellt.
Sie sehen: Die DSGVO-konforme Nutzung von SharePoint Online ist also grundsätzlich möglich, aber eine sorgfältige Planung, Konfiguration und Verwaltung durch die Nutzer erfordert. Diese Planung kann durch Checklisten oder Best Practices und Experten unterstützt werden (bsp. Dr. Datenschutz, Datenschutzexperte.de und weitere).
7 Datenschutzkontrollen für SharePoint Online
Die Liste unten ist keineswegs abschließend und basiert auf Microsoft-Angaben im Trust Center (Onlineabruf zuletzt am 24.09.2024)
| Kontrolle | Erläuterung |
| Datenbesitz | Nutzer behalten die volle Kontrolle über ihre Daten. Microsoft agiert als Datenverarbeiter und nicht als Datenbesitzer, was bedeutet, dass Kunden die Eigentümer ihrer Daten bleiben. Für Microsoft 365 kann man den Datenstandort bei der Erstellungs des Tenants festlegen (Datenresidenz). |
| Zugriffskontrolle | Der Zugriff auf SharePoint und OneDrive erfordert eine Zwei-Faktor-Authentifizierung (2FA oder MFA), und Microsoft-Techniker haben lt. Microsoft-Angaben keinen ständigen Zugriff auf den Dienst. Zugriffsanforderungen müssen begründet und genehmigt werden, und ein Überwachungsereignis wird für jede Anforderung generiert. (Quelle: Zugriffssteuerung für Microsoft 365 Servicetechniker) |
| Kunden-Lockbox | Dieses Feature ermöglicht es Kunden, den Zugriff auf ihre Daten zu genehmigen oder abzulehnen, wenn Microsoft-Techniker für bestimmte Aufgaben Zugriff benötigen. Dies erhöht die Transparenz und Kontrolle über den Zugriff auf Daten. (Quelle: Zugriffssteuerung für Microsoft 365 Servicetechniker) |
| Mehrstufige Authentifizierung | Eine der wichtigsten Maßnahmen zum Schutz von Daten ist die Implementierung einer mehrstufigen Authentifizierung für Identitäten in Microsoft 365, die das Risiko von kompromittierten Kennwörtern verringert. (Einrichtung: Richten Sie Ihre Microsoft 365-Anmeldung für die mehrstufige Authentifizierung ein – Microsoft-Support) |
| Gerätebasierter bedingter Zugriff (conditional access) | Mit Microsoft Entra können Unternehmen den Zugriff auf ihre Daten von nicht verwalteten Geräten wie öffentlichen Kiosken einschränken oder blockieren. |
| Automatische Ablauf von externem Zugriff | SharePoint Online ermöglicht es, den externen Zugriff auf Inhalte automatisch verfallen zu lassen, um sicherzustellen, dass keine Datenverluste entstehen, nachdem ein externes Projekt abgeschlossen ist. (Hier die Anleitung: Verwalten des Ablaufs von Gästen für eine Website – Microsoft-Support) |
| Vertraulichkeitsbezeichnungen | Benutzer können Vertraulichkeitsbezeichnungen (Sensitivity Labels) anwenden und anzeigen, um Dateien in SharePoint zu klassifizieren und zu schützen. (Hier die Anleitung: Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive | Microsoft Learn) |