Microsoft 365 DSGVO-konform nutzen – ein Leitfaden für KMU
Microsoft 365 ist DSGVO-fähig – aber die Verantwortung für die korrekte Konfiguration liegt bei dir als Verantwortlichem. Diese fünf Punkte sind für KMU besonders wichtig.
1. Auftragsverarbeitungsvertrag (AVV)
Microsoft stellt einen AVV bzw. Data Protection Addendum bereit. Er muss dokumentiert und im Verzeichnis der Verarbeitungstätigkeiten erfasst sein.
2. Datenstandort EU
Für viele Workloads kann der Speicherort auf die EU eingegrenzt werden („EU Data Boundary"). Prüfen, welche Dienste das tatsächlich abdecken.
3. Berechtigungen & Need-to-know
Personenbezogene Daten dürfen nur Personen einsehen, die sie für ihre Aufgabe brauchen. In der Praxis bedeutet das: SharePoint-Berechtigungen aufräumen und externe Freigaben begrenzen.
4. Protokollierung & Audit-Logs
Audit-Logs müssen aktiviert sein, damit Zugriffe nachvollziehbar sind. Wichtig für Datenschutzvorfälle und Auskunftsersuchen.
5. Löschkonzept
Retention Policies in Exchange, SharePoint und Teams stellen sicher, dass Daten nicht länger gespeichert werden als nötig.
Kostenloser DSGVO- & Sicherheitscheck
In 9 Fragen prüfen wir die wichtigsten DSGVO- und Sicherheitsaspekte deines Microsoft-365-Setups. Du bekommst sofort einen Score und konkrete Empfehlungen.