Verarbeitungsverzeichnisfrage: MS365

Hallo liebes Forum,

ich bin gerade dabei ein VerarbeitungsVZ aufzubauen und verzweifel gerade etwas daran wie ich MS365 korrekt dort abbilde. Als ITler weiss ich nur zu gut wie sehr MS365 Daten tracked (und sich das auch kaum verhindern lässt). Gibts da irgendeine Vorlage wie man das sauber im VVZ abbilden kann?

vielen Dank schonmal für eure Hilfe und viele Grüsse

Daniel

Ich würde hier (zumindest nicht im ersten Schritt) M365 als Verarbeitung sehene, sondern z.B. E-Mail Bearbeitung und als System/Empfänger dann M365 angeben.

Wenn dann noch was übrig bleibt kann man ja noch eine Verarbeitung nur für M365 machen.

1 „Gefällt mir“

Danke für den Tipp!
Das Problem wird sein, dass ich mit der Vorgehensweise dann ja für jeden Dienst den wir von MS365 nutzen (und das sind echt ne Menge) das machen müsste mit MS365 als Empfänger.
Ich würde das gern (sofern möglich) als Ganzes bearbeiten, natürlich mit den einzelnen Diensten die wir nutzen gelistet. Die ganzen Telemetriedaten werden ja auch gesamtheitlich, also über alle Dienste hinweg zusammengeführt teilweise (leider).
Ist dieser Ansatz überhaupt generell praktikabel sowas im Gesamten abzufertigen?

Ich würde sogar sagen, dass es nur so geht.

Auf der einen Seite die Verarbeitungszwecke (auch als Anforderungen), auf der anderen Seite die Systeme (auch als… Lösungen). Für diese kann man Bausteine machen (Dienst als Datenempfänger, ggf. Auftragsverarbeiter, Drittlandabsicherung, systemspezifische Konfiguration der Verarbeitungsdauer, TOM). In Einträgen von Verarbeitungen wo das jeweilige System eingesetzt wird (ggf. mehrere Systeme) auf die System-Bausteine verweisen.

D., der diesen Ansatz verfolgt, soweit jemand mit ihm über diese Punkte sprechen möchte bzw. willens ist, bestimmte Einsatzbereiche und halbwegs passende Konfigurationen festzulegen. Problematische Dienste werden mit der Methode nicht automatisch zulässiger. (Ändert mal eure Verträge und denkt euch weniger kreative Überraschungen aus, Microsoft!) Seufz…

1 „Gefällt mir“

Eine ähnliche Diskussion hatten wir beim Gehaltssysstem.

Wir haben das so gelöst, dass es eine Hauptverarbeitung “Personalverwaltungssystem” mit 8 Unterverarbeitungen (Abrechnung, Administration, Reisekosten, Zweitwirtschaft, …) gibt.

Wenn wir M365 einführen werden, werden wir das analog aufbauen. M365 als Hauptverarbeitung und die einzelnen Dienste darunter (Exchange, Onedrive, Teams, SP, …)

1 „Gefällt mir“

Vielen Dank für die Tipps, ich baue das jetzt auch genauso auf, aber mit soviel MS365 spezifischen Standardblocks.

Andere Frage: Kann man bei MS365 von gemeinsamer Verantwortlichkeit ausgehen? Ich würde sagen ja oder?

Dazu hätte ich gern eine Aufstellung, welche Teile der Verarbeitung der Auftragsverarbeitung unterliegen und für welche sich Microsoft selbst zum Verantwortlichen erklärt. Aktuell ist alles ziemlich durcheinander. Versteckt?

Die Microsoft-eigenen Zwecke wären von der nutzenden Stelle als Datenübermittlung an Micrsoft als Dritten zu rechtfertigen.

Dann kommt die gar nicht so einfache Zuweisung, was davon jeweils (auch) gemeinsame Verantwortung ist. Wo werden gemeinsam Zwecke und Mittel festgelegt?

Saubere Auftragsverarbeitung ist es jedenfalls nicht… Auch nicht für Teile davon, weil die unterscheidbar sein müssten. Für die Art.-26-Vereinbarung sollte man ebenfalls erkennen können, wo sie anfängt und wo sie aufhört.

D., für den das noch lange nicht klar ist. Es wäre schon vor Beginn der Verarbeitung zu klären. Man muss doch wissen, was man beauftragt; wofür man verantwortlich ist; was wenigstens ungefähr passiert; was man zu tun und zu informieren hat…