Die grundlegende DSGVO-Frage fuer Cloud-Nutzer

Jedes Mal, wenn personenbezogene Daten — Kundennamen, E-Mail-Adressen, Mitarbeiterdaten, Bestellhistorie — in einen Cloud-Dienst gelangen, beauftragen Sie einen Auftragsverarbeiter. Gemaess DSGVO Artikel 28 muessen Sie vor jeder Datenuebertragung einen Auftragsverarbeitungsvertrag (AVV) mit diesem Verarbeiter abgeschlossen haben. Microsoft stellt fuer alle M365- und Azure-Kunden einen Standard-AVV bereit, der im Microsoft Admin Center verfuegbar ist. Die Unterzeichnung ist ein verbindlicher erster Schritt, keine bloss formale Anforderung.

Die zweite Frage betrifft den Datenspeicherort. Das Schrems-II-Urteil des EuGH (2020) hat den Privacy Shield fuer ungueltig erklaert und schafft anhaltende Unsicherheit bei der Uebertragung personenbezogener EU-Daten in die USA. Mit der EU-Datengrenze von Microsoft — 2022 angekuendigt und schrittweise ausgebaut — werden Kern-M365- und Azure-Daten fuer Kunden, die sich anmelden, vollstaendig innerhalb der EU gespeichert und verarbeitet.

Fuenf DSGVO-Compliance-Saulen fuer Cloud-nutzende KMU

Microsoft 365 DSGVO-Konfiguration: Was zu aktivieren ist

Microsoft Purview Compliance-Portal

Microsoft 365 Business Premium und hoeher enthalten Microsoft Purview, die Compliance-Verwaltungsplattform. Fuer die DSGVO-Compliance sind folgende Funktionen unmittelbar handlungsrelevant:

• Ueberwachung (Standard): Protokolliert Benutzer- und Administratoraktivitaeten in Exchange, SharePoint, Teams und OneDrive. Standardmaessig 90 Tage aufbewahrt. Aktivieren Sie dies sofort — es ist in neuen Mandanten standardmaessig deaktiviert. Navigieren Sie zu Purview > Ueberwachung > Aufzeichnung von Benutzer- und Administratoraktivitaeten starten.
• Inhaltssuche und eDiscovery: Erforderlich fuer die Beantwortung von DSGVO-Betroffenenrechtsanfragen. Wenn eine betroffene Person Sie auffordert, alle von Ihnen gespeicherten Daten bereitzustellen, ermoeglicht die Inhaltssuche deren Auffindung in Postfaechern, SharePoint und Teams.
• Verhinderung von Datenverlust (DLP): Definieren Sie Richtlinien, die personenbezogene Daten — deutsche Personalausweisnummern, IBAN-Nummern, Gesundheitsdaten — erkennen und deren externe Weitergabe per E-Mail oder Upload verhindern.
• Aufbewahrungsrichtlinien: Die DSGVO verlangt, dass Daten nur so lange aufbewahrt werden, wie es notwendig ist. Aufbewahrungsrichtlinien in Purview automatisieren die Loeschung von E-Mails, Teams-Nachrichten und SharePoint-Inhalten nach definierten Zeitraeumen.

Entra-ID-Zugangskontrollen

Zugangskontrolle ist die technische Massnahme, die am leichtesten von einer Datenschutzbehoerde geprueft werden kann. Fuer DSGVO-Zwecke sind die wichtigsten Entra-ID-Einstellungen:

• Conditional Access mit MFA: Erzwingt starke Authentifizierung vor dem Zugriff auf personenbezogene Daten. Erfullt direkt die Anforderung “geeigneter technischer Massnahmen” aus Artikel 32.
• Privileged Identity Management (PIM): Die Rollen “Globaler Administrator” und “SharePoint-Administrator” sollten nicht dauerhaft zugewiesen sein. PIM erfordert Just-in-Time-Erhoehung mit Genehmigung und Protokollierung.
• Gastzugriffsueberprueefungen: Externe Mitarbeiter, denen Zugriff auf SharePoint-Bibliotheken oder Teams-Kanaele mit personenbezogenen Daten gewaehrt wurde, sollten vierteljaehrlich ueberprueft werden.

Das Verzeichnis von Verarbeitungstaetigkeiten (Artikel 30)

DSGVO Artikel 30 verpflichtet Unternehmen, ein schriftliches Verzeichnis aller Verarbeitungstaetigkeiten mit personenbezogenen Daten zu fuehren. In einem Microsoft 365-Kontext umfassen die typischen Eintraege: Personalakten in SharePoint/OneDrive, Kundenkommunikation in Exchange Online, Finanzdaten in SharePoint oder ERP, Teams-Besprechungsaufzeichnungen und CRM-Daten. Fuer jeden Eintrag verweisen Sie auf den AVV mit Microsoft und dokumentieren, dass die EU-Datengrenze aktiviert wurde.

72-Stunden-Meldepflicht: Koennen Sie sie einhalten?

DSGVO Artikel 33 verlangt die Meldung an die Aufsichtsbehoerde innerhalb von 72 Stunden nach Bekanntwerden einer Datenpanne. “Bekanntwerden” startet die Uhr — was bedeutet, dass Ihre Faehigkeit, die Frist einzuhalten, vollstaendig davon abhaengt, wie schnell Sie eine Panne erkennen und ihren Umfang bestimmen koennen. Konfigurieren Sie Warnungsrichtlinien im Microsoft Defender-Portal unter E-Mail & Zusammenarbeit > Richtlinien & Regeln > Warnungsrichtlinie. Aktivieren Sie Warnungen fuer: “Massenhafter Dateidownload”, “Ungewoehnliches Volumen an Dateiloeschungen”, “Weiterleitungs-/Umleitungsregel erstellt” und “Hochstufung zu Exchange-Administratorberechtigungen”.

Was IT Experts Berlin fuer DSGVO-Cloud-Compliance liefert

Unser DSGVO-Cloud-Compliance-Service fuer Berliner KMU umfasst drei Leistungen: eine Cloud-Tool-Inventur aller SaaS-Dienste, die derzeit personenbezogene Daten verarbeiten, eine M365- und Azure-Konfigurationspruefung anhand technischer DSGVO-Anforderungen (Zugangskontrolle, Verschluesselung, Protokollierung, Datenspeicherort) sowie einen Entwurf des Verzeichnisses von Verarbeitungstaetigkeiten fuer Ihre primaeren Cloud-Workloads. Wir koordinieren mit Ihrem Datenschutzbeauftragten oder externem DSGVO-Berater und liefern technische Dokumentation im fuer Behoerdeneinreichungen erforderlichen Format. Kontaktieren Sie uns fuer eine kostenlose Erstberatung.