Datenschutz im Unternehmen E-Book

DATENSCHUTZ IM UNTERNEHMEN

Achim Barth

Datenschutz im Unternehmen

Praktisch umgesetzt mit SharePoint Online und Microsoft Teams

Achim Barth (Jahrgang 1975) ist Unternehmer und Experte für Datenschutz. Für zahlreiche Unternehmen ist er als Datenschutzbeauftragter tätig und hilft bei einer praktikablen Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO). In Seminaren und Vorträgen tritt er ein für das »Datenschutzgrundverständnis« – also für ein grundsätzliches Verständnis bei Unternehmern und in Unternehmen für den Schutz personenbezogener Daten und die Implikationen, die sich daraus ergeben. Achim Barth hat unternehmerische Erfahrungen als Berater im Gesundheitswesen und er ist Fachkraft für Arbeitssicherheit. In seinem Online-Shop bietet er nützliche Helfer für angewandten Datenschutz an – zum Beispiel einen Mikrofonblocker fürs Smartphone und eine Tarnkappe fürs Handy. Achim Barth macht gerne Sport und lebt in Stuttgart.

Datenschutz im Unternehmen

Praktisch umgesetzt mit SharePoint Online und Microsoft Teams

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind unter www.dnb.de abrufbar.

ISBN 978-3-347-26330-7 (Paperback)

ISBN 978-3-347-29418-9 (E-Book)

© 2021 BARTH Datenschutz GmbH

Umschlaggestaltung: Sonja Löffelhardt, Kernen

Korrektorat: Ulrike Hollmann, Hambergen

1. Auflage, Stuttgart 2021

Nutzung mit Genehmigung von Microsoft

BARTH Datenschutz GmbH

Theodor-Veiel-Straße 94

D–70374 Stuttgart

https://www.barth-datenschutz.de

Das Werk und alle seine Teile sind urheberrechtlich geschützt. Jede vollständige oder teilweise Vervielfältigung, Verbreitung oder Veröffentlichung bedarf der ausdrücklichen schriftlichen Genehmigung des Verlags und des Autors.

Inhalt

Einführung

Mit der DSGVO kam die Rechenschaftspflicht

An wen richtet sich dieser Ratgeber?

Was ist SharePoint Online?

Was ist Microsoft Teams?

Die Vorteile von Microsoft Teams

DSGVO-konforme Nutzung von Microsoft 365

Zusammenfassung und Ausblick

Grundlagen von Microsoft Teams

Microsoft Teams installieren

Ein Team erstellen

Gäste in Microsoft Teams

Der Aufbau eines Teams

Funktionsbereiche

Kanäle und Register

Das OneNote-Notizbuch

Aufgabenmanagement in Teams

Aufgabenmanagement mit SharePoint-Listen

Dateimanagement in Teams

Zusammenfassung und Ausblick

Datenschutzmanagement mit SharePoint

Erstellen der SharePoint-Website

Dokumentenbibliotheken

SharePoint-Listen erstellen

Das OneNote-Notizbuch

Visualisierung der Teamwebsite

Praktisches Arbeiten im Datenschutz-Portal

Einrichten des Datenschutzmanagement-Teams

Der Kanal »Allgemein«

Der Kanal »Datenschutz-Portal«

Der Kanal »Einführungsprojekt«

Arbeiten in Microsoft Teams

Fazit

Hinweis zu den Abbildungen in diesem Buch:

Teilweise sind Screenshots vom Computerbildschirm in den Abbildungen nicht mehr gut lesbar. Für das Verständnis des Inhalts ist dies unkritisch. Dennoch haben Sie die Möglichkeit, alle Abbildungen über diesen QR-Code digital und in Farbe anzuschauen. Den QR-Code finden Sie hier und an ausgewählten Stellen im Buch.

Einführung

»Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.«

(Ernst Ferstl, Schriftsteller, * 1955)

Sie sind Verantwortlicher in einem Unternehmen, einem Verein oder einer anderen Organisation. Neben zahlreichen Pflichten sind Sie auch dafür zuständig, dass die Vorgaben aus den Datenschutzgesetzen eingehalten werden. Seit der Einführung der Datenschutzgrundverordnung (DSGVO) hat der Datenschutz in der allgemeinen Wahrnehmung einen großen Sprung nach vorne gemacht. Dies lag zunächst an den hohen Bußgeldern, die seit 2018 drohen, wenn gegen die DSGVO-Vorgaben verstoßen wird. Nun sind mehr als drei Jahre vergangen, die Millionenbußgelder halten sich – zumindest in Deutschland – in Grenzen. Mit über 35 Millionen Euro Bußgeld für grobe systematische Verstöße im Beschäftigtendatenschutz ist der schwedische Modekonzern H&M Spitzenreiter, gefolgt von der Deutschen Wohnen aus Berlin, die für eine umfassende Datenspeicherung von Kundendaten ohne Rechtsgrundlage ein Bußgeld von 14,5 Millionen Euro zahlen soll. Während H&M das Bußgeld akzeptierte, klagt die Deutsche Wohnen gegen den Entscheid der Behörde. Gewehrt hat sich auch 1&1 gegen ein Bußgeld von über 9 Millionen Euro, weil in einem einzelnen Fall eine Telefonnummer an die Ex-Freundin eines Kunden herausgegeben wurde. Das Landgericht Bonn urteilte, dass das Bußgeld zwar rechtens war, aber zu hoch, und reduzierte es deutlich auf 900.000 Euro.

Nicht im Fokus der Öffentlichkeit sind die kleinen Fälle. Das Bußgeld über 10.000 Euro, weil kein Datenschutzbeauftragter benannt wurde. Die 4.000 Euro, weil eine Auskunftsanfrage nicht beantwortet wurde, oder die 2.000 Euro, weil das Bild eines ehemaligen Mitarbeiters nicht von der Website genommen wurde. Wie Sie sich vor Bußgeldern praktisch schützen, indem Sie die DSGVO-Vorgaben innovativ umsetzen, erfahren Sie in diesem Buch.

Mit der DSGVO kam die Rechenschaftspflicht

Nicht nur die Vermeidung eines Bußgeldes bei einem Datenschutzverstoß zwingt Sie zum Handeln. Als Verantwortlicher verpflichtet Sie Artikel 5 der DSGVO seit dem 25. Mai 2018 auch dazu, Rechenschaft darüber zu leisten, dass Sie die Grundsätze für die Verarbeitung von personenbezogenen Daten erbringen. Absatz 1 beschreibt die neun Grundsätze und in Absatz 2 ist verankert: »Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (›Rechenschaftspflicht‹, vgl. Artikel 5 Abs. 2 DSGVO).«

Bei der Rechenschaftspflicht handelt es sich quasi um eine Beweislastumkehr. Vor dem 25. Mai 2018 musste die Datenschutzaufsicht einem Verantwortlichen nachweisen, dass er keine Maßnahmen zum Schutz personenbezogener Daten umsetzte. Jetzt ist es so, dass Sie als Verantwortlicher die Einhaltung der Datenschutzbehörde nachweisen müssen.

Somit reicht ein netter Brief der für Sie zuständigen Aufsichtsbehörde schon aus, um Sie in ernsthafte Nachweisschwierigkeiten zu bringen (vgl. z. B. https://qrco.de/anschreiben; Musterfragen angelehnt an Schreiben des BayLDA). Wenn Sie die Frist für eine befriedigende Antwort verpassen, müssen Sie mit einem Bußgeld rechnen und einem kostenintensiven Adhoc-Projekt, um die fehlenden Datenschutzprozesse kurzfristig einzuführen. Machen Sie das also besser jetzt sofort. Es spart auf alle Fälle Geld und, wenn Sie meinen folgenden Ausführungen folgen, auch »Nerven«.

An wen richtet sich dieser Ratgeber?

Eingangs habe ich Ihnen unterstellt, Sie sind Verantwortlicher. Mit einem Verantwortlichen meint die DSGVO, »die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet« (vgl. Artikel 4 Ziffer 7 DSGVO). Konkret sind damit die Inhaber, Unternehmer, Geschäftsführer, Vereinsvorstände, Behördenleiter und andere Personengruppen gemeint, die den Vorgaben von Artikel 4 Ziffer 7 DSGVO entsprechen.

Aber natürlich kann ein Verantwortlicher seine Pflichtaufgaben auch delegieren. Daher richtet sich dieses Buch an alle Personen im Unternehmen, die mit der Organisation des Datenschutzes betraut werden. Wenn Sie als Datenschutzkoordinator, Datenschutzreferent, Abteilungsleiter oder Assistent der Geschäftsleitung tätig sind, gelten Sie ebenso als Adressat dieses Ratgebers. Was Ihr »Chef« allerdings nicht delegieren kann, ist die Verantwortlichkeit. Wenn es bei Ihnen zu einem Datenschutzverstoß kommt, haften Sie nur dann, wenn Sie vorsätzlich die Unternehmensvorgaben missachtet haben. Sind Sie der Datenschutzbeauftragte im Unternehmen, wird Ihnen dieses Buch auch eine Unterstützung sein. Jedoch sehe ich Ihre Aufgabe nicht darin, das Managementsystem aufzubauen, sondern es zu auditieren und die Einhaltung der Datenschutzgrundsätze zu überprüfen sowie den Beschäftigten und dem Verantwortlichen beratend zur Seite zu stehen (vgl. Artikel 39 Abs. 1 DSGVO).

Was ist SharePoint Online?

Microsoft SharePoint Online ist eine webbasierte Plattform zur Zusammenarbeit. SharePoint Online ist im Regelfall in jeder Microsoft-365-Lizenz enthalten. Im SharePoint haben Sie die Möglichkeit, ein komplettes Intranet aufzusetzen. Sie können ein Dokumentenmanagement mit Freigabeprozessen und Berechtigungen darstellen, Aufgaben verteilen, Wissensdatenbanken anlegen und verwalten und ausgewählte Inhalte über Websites veröffentlichen.

SharePoint ist ein sehr umfassendes Werkzeug mit unzähligen Möglichkeiten der individuellen Anpassung. Die Anwendung wird kontinuierlich durch Microsoft weiterentwickelt und aktualisiert. Somit arbeiten Sie immer mit einer IT-Lösung auf dem Stand der Technik, was Innovation und Sicherheit betrifft. Sie können den SharePoint nutzen für die Umsetzung von Qualitätsmanagement und sämtlichen anderen Managementsystemen. In diesem Ratgeber beschreibe ich gezielt die Umsetzung von Tätigkeitsschritten, um ein Datenschutzmanagement-System aufzusetzen. Das hat sich im Praxiseinsatz schon bewährt.

Alle meine Kunden erhalten diese Plattform von mir zur Verfügung gestellt. Zudem ist es die Basis von »Datenschutz 365«, dem von mir entwickelten Datenschutzmanagement für alle Verantwortlichen, die keinen Datenschutzbeauftragten benennen müssen. Denn die DSGVO gilt immer. Auch wenn Sie keine Mitarbeiter beschäftigt haben.

Was ist Microsoft Teams?

Microsoft Teams ist ein Teil von Microsoft 365 (früher: »Office 365«) und kann nicht als einzelnes Produkt erworben werden.

Sie können jedoch als Gast einem bestehenden Team hinzugefügt werden. So handhabe ich es zum Beispiel grundsätzlich mit meinen Kunden. Diese werden als Gast in ein spezielles Team meiner Microsoft-365-Umgebung hinzugefügt. Daher spielt es überhaupt keine Rolle, ob diese in der eigenen Organisation Microsoft Teams nutzen oder nicht. Zudem können Sie wählen, ob Sie Teams auf einer Weboberfläche im Browser nutzen oder den Desktop-Client herunterladen. Ich empfehle Ihnen auf alle Fälle den Desktop-Client zu nutzen, da Sie dann alle Funktionen der Anwendung nutzen können. Ich bezeichne Teams als Hub-Anwendung, in der viele Anwendungen zentral zusammenlaufen. Ich bin mir auch sicher: Zukünftig wird Microsoft Teams als Desktop-Betriebssystem unter dem klassischen Betriebssystem, also zum Beispiel unter Windows 10, Linux oder Mac OS laufen. Anwender führen die Kerntätigkeiten nur noch via Teams durch. Der innerbetriebliche EMail-Verkehr verlagert sich in Teams. Dort finden auch Video-Telefonate und Online-Besprechungen statt.

Für die aktuellen Anwendungsfälle ist Microsoft Teams ein gemeinsamer Arbeitsraum für Mitarbeiter und eingeladene Gäste. Diese Team-Mitglieder können innerhalb des Arbeitsraums Dateien sehen und gemeinsam bearbeiten. Microsoft Teams ist ein Collaboration-Tool, bietet aber noch zahlreiche und nützliche weitere Funktionen, wie Sie in Abbildung 1 sehen können.

Microsoft steckt eine hohe Entwicklungsdynamik in Teams. Fast wöchentlich veröffentlicht das Unternehmen neue Funktionen und Verbesserungen für das Produkt. Informieren Sie sich direkt bei Microsoft über die aktuellen Entwicklungen unter https://www.microsoft.com/de-de/microsoft-365/blog /category/teams/.

Die Vorteile von Microsoft Teams

Teams bietet eine Reihe von Vorteilen, die den Einsatz des Werkzeugs in Ihrer Organisation interessant machen. Egal ob für die Organisation des Datenschutzes oder für alle anderen administrativen Tätigen im Unternehmen. Die Vorteile sind insbesondere:

• Alle Teammitglieder können ohne weitere Berechtigungszuweisungen mit den Dateien arbeiten, die im Teambereich liegen.

• Das Versenden von Dateien innerhalb eines Teams per E-Mail wird damit überflüssig.

• Falls teamrelevante Informationen per Mail an Teammitglieder gesendet wurden, können diese innerhalb von MS Teams in das entsprechende Team weitergeleitet werden.

• Mehrere Personen können zeitgleich an einem Dokument arbeiten.

• Eine Dateiversionierung wird automatisch vorgenommen.

• Jedes Teammitglied kann Dateien aus- und einchecken.

• Es wird eine schnelle und kontextbezogene Kommunikation innerhalb des Teams via Chat ermöglicht.

• 1: 1-Chats und Gruppenchats sind auch außerhalb des Teams möglich.

• Sie haben die Möglichkeit, Sofortbesprechungen in einem Video-Chat zu führen.

• Geplante Meetings im Team können durchgeführt werden.

• Sie können über die Mobil-App die Funktionen auf Ihrem Smartphone nutzen.

• Zusatzfunktionen und Anwendungen externer Anbieter lassen sich über Registerkarten oder Connectoren einbinden.

Außerdem können Sie die Microsoft-365-Bordmittel in jedem Team einbinden:

• Microsoft-Planner für das Projektmanagement

• OneNote für sämtliche Dokumentationen

• SharePoint-Aufgabenlisten

• Bookings für Terminplanungen

• Schichten für die Arbeitszeitverwaltung, gerade im Homeoffice

• Forms für Umfragen und Checklisten

• To-do-Aufgabenlisten mit Nachverfolgung in Outlook

• Wiki-Seiten für Dokumentationen oder einer Wissensdatenbank

DSGVO-konforme Nutzung von Microsoft 365

Dienstleister wie Microsoft stehen regelmäßig in der Kritik. Deutsche Datenschutzbehörden bemängeln mangelnde Transparenz und die Nutzung von Daten, sogenannten Telemetrie-Daten, zu eigenen Zwecken. Dazu kommt, dass jeder amerikanische Cloud-Anbieter über den sogenannten Cloud-Act vom amerikanischen Staat gezwungen werden kann, Daten – auch über europäische Bürger – zu übermitteln. Dies gilt auch für Daten, die ausschließlich auf europäischen Servern liegen.

Der Datentransfer in die USA ist aktuell auch nur erschwert möglich. Die Behörden der beteiligten Länder streben ein neues Abkommen an, um den Datentransfer in die USA rechtlich sauber zu ermöglichen.

Microsoft steht im engen Austausch mit den deutschen Aufsichtsbehörden. Diese bescheinigen Microsoft auch, dass der Datenschutz bei der Nutzung, vor allem von Teams, schon ein gutes Niveau erreicht hat. Die Grundproblematik ist und bleibt, dass Amerikaner und Europäer ein anderes Grundverständnis von Datenschutz haben. Ich finde, die amerikanischen Konzerne kommen hier den Europäern auch entgegen. Für 2021 planen mehrere Schulen, Microsoft Teams als Lernplattform fürs Homeschooling einzuführen, oder haben dies bereits getan. Wenn also staatliche Stellen Microsoft Teams nutzen, sehe ich keinen Grund, dass privatwirtschaftliche Unternehmen sich mit schlechteren Alternativen – falls es diese überhaupt gibt – begnügen müssen. Die aktuellen Entwicklungen zur DSGVO-konformen Nutzung von Microsoft 365 und Checklisten, wie Sie Ihre eigene Umgebung datenschutzfreundlich konfigurieren, finden Sie unter dem QR-Code rechts. Hier finden Sie auch Informationen über relevante neue Funktionen in Microsoft Teams, die in diesem Buch noch nicht angesprochen werden.

Zusammenfassung und Ausblick

Die Plattform Microsoft Teams bietet zahlreiche Funktionen, um in Unternehmen, in Vereinen oder in anderen Gruppen und Organisationen jeglicher Art besser und produktiver zusammenzuarbeiten, Termine zu koordinieren, Dateien auszutauschen, Besprechungen durchzuführen und noch vieles mehr. Nutzen Sie Teams wie ein Betriebssystem für Ihre Anwendungen.

Dieser Ratgeber befasst sich nicht damit, welche Planungsschritte Sie gehen müssen, um Microsoft Teams erfolgreich bei Ihnen organisationsweit auszurollen. Das Datenschutzmanagement, so wie ich es Ihnen hier vorstelle, funktioniert in Ihrer eigenen Teams-Umgebung oder auch wenn Sie als Gast in Ihrem persönlichen Team innerhalb einer externen Umgebung agieren.

Wenn Sie allerdings mit dem Gedanken spielen, Teams bei Ihnen im Unternehmen einzuführen, sollten Sie sich dazu genügend Ressourcen einplanen und auch externe Beratung einholen. Wenn Sie Teams »richtig« einführen, hat dies enorme Konsequenzen für Ihre Beschäftigten und die gesamte Arbeitsorganisation Ihrer Verwaltungs- und Kommunikationsprozesse. Dazu kommen auch die Fragen der IT-Sicherheit, des Datenschutzes und der Sicherheit der Homeoffice-Arbeitsplätze. Für die Letztgenannten stehe ich Ihnen natürlich gerne beratend zu Seite.

Grundlagen von Microsoft Teams

»Der Fortschritt der Technologie basiert darauf, sie so anzupassen, dass man sie nicht einmal wirklich bemerkt, dass sie also Teil des täglichen Lebens ist.«

(Bill Gates, Microsoft-Gründer, * 1955)

Teams ist sehr umfangreich. Hier alle möglichen Funktionen auch nur anzureißen, würde den Rahmen völlig sprengen. Es ist auch gar nicht nötig. In den Grundlagen erfahren Sie alles, was notwendig ist, damit Sie unseren Anwendungsfall, das Einrichten und Arbeiten im Datenschutzmanagement-Team, erfolgreich umsetzen können. Einen Schwerpunkt bei den Grundlagen lege ich auf die Einladung und Anmeldung als Gast-Teilnehmer. Legen wir los mit der Installation des Programms.

Microsoft Teams installieren

Microsoft Teams kann als Desktop-App auf dem Rechner, als Mobile App auf dem Smartphone oder auch nur im Browser genutzt werden. Wir beschäftigen uns hier hauptsächlich mit der Desktop-App. Die Browser-Version ist nahezu gleich aufgebaut. Sie müssen also das Programm nicht installieren, um das System aufzusetzen. Wenn Sie keine eigene Microsoft-Lizenz haben, können Sie direkt zum Kapitel »Teilnahme an einem Team als Gast-Mitglied« springen.

1. Laden Sie Microsoft Teams von der Microsoft-Seite herunter unter https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/download-app. Bitte laden Sie das Programm aus Sicherheitsgründen nicht aus anderen Quellen herunter.

2. Nach der Installation können Sie sich mit Ihrem Microsoft-Konto dort anmelden:

3. Teams ist erfolgreich installiert und kann benutzt werden. Sie können nun einen Testanruf starten, um zu schauen, ob alle Komponenten (Kopfhörer, Mikrofon, Kamera) funktionieren. Den Testanruf finden Sie oben in der Suchleiste mit der Eingabe »testanruf«.

Teams ist eine Client-Anwendung

Im Englischen ist ein Client ein Kunde. In der IT ist damit allerdings ein Programm gemeint, das Kontakt zu einem anderen Programm aufnimmt und die dort installierten Dienste anwenderfreundlich anzeigt. Eine typische Client-Anwendung ist, neben Teams, auch Ihr Webbrowser.

Sie können Microsoft Teams auf mehreren unterschiedlichen Endgeräten installieren. Bei den Apps handelt es um sogenannte Clients. Clients rufen ausschließlich Daten aus dem Internet ab, die zuvor dort gespeichert wurden. Das bedeutet auch, dass Änderungen, die Sie auf dem einen Geräte durchführen, dann auch auf den anderen Geräten zur Verfügung stehen, sofern Sie sich dort mit demselben Microsoft-Konto anmelden. Mit der Microsoft Teams-App greifen Sie über Ihr Smartphone oder Tablet auf Ihre Dateien und Chats zu. Unter gewissen Voraussetzungen kann die Teams-App auch auf privaten Endgeräten installiert werden (vgl. Datenschutz im Homeoffice unter https://barth-datenschutz.de/oeffentlich/homeoffice-und-dsgvo/).

Wenn Sie das Betriebssystem Windows 10 nutzen, empfehle ich Ihnen, Teams an die Taskleiste anzuheften. Dann können Sie jederzeit auf die Anwendung zugreifen und durch Rechtsklick auf das Programmsymbol sofort einen neuen Chat starten oder Ihre Verfügbarkeit anpassen. Zum Anheften an die Taskleiste klicken Sie das Programmsymbol bei geöffnetem Programm mit der rechten Maustaste an und wählen »An Taskleiste anheften«.

Ein Team erstellen

Wenn Sie die Berechtigung haben, ein Team zu erstellen, klicken Sie im Startbildschirm unten links auf die Schaltfläche:

Hinweis: Sollten Sie nicht die Ansicht aus Abbildung 6 sehen, sondern sehen Sie stattdessen die Ansicht aus Abbildung 8, haben Sie nicht das Recht, ein Team zu erstellen. Wenden Sie sich an Ihren Administrator. Als Gast dürfen Sie keine Teams neu erstellen.

Sie haben dann die Möglichkeit, ein Team von Anfang an zu erstellen, aus einer bestehenden Gruppe oder ein Team aus einer Vorlage auszuwählen. Zum Testen wählen Sie »Team erstellen«/»Von Anfang an«.