Datenschutz im Unternehmen E-Book

DATENSCHUTZ IM UNTERNEHMEN

Achim Barth

Datenschutz im Unternehmen

Praktisch umgesetzt mit SharePoint Online und Microsoft Teams

Achim Barth (Jahrgang 1975) ist Unternehmer und Experte für Datenschutz. Für zahlreiche Unternehmen ist er als Datenschutzbeauftragter tätig und hilft bei einer praktikablen Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO). In Seminaren und Vorträgen tritt er ein für das »Datenschutzgrundverständnis« – also für ein grundsätzliches Verständnis bei Unternehmern und in Unternehmen für den Schutz personenbezogener Daten und die Implikationen, die sich daraus ergeben. Achim Barth hat unternehmerische Erfahrungen als Berater im Gesundheitswesen und er ist Fachkraft für Arbeitssicherheit. In seinem Online-Shop bietet er nützliche Helfer für angewandten Datenschutz an – zum Beispiel einen Mikrofonblocker fürs Smartphone und eine Tarnkappe fürs Handy. Achim Barth macht gerne Sport und lebt in Stuttgart.

Datenschutz im Unternehmen

Praktisch umgesetzt mit SharePoint Online und Microsoft Teams

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind unter www.dnb.de abrufbar.

ISBN 978-3-347-26330-7 (Paperback)

ISBN 978-3-347-29418-9 (E-Book)

© 2021 BARTH Datenschutz GmbH

Umschlaggestaltung: Sonja Löffelhardt, Kernen

Korrektorat: Ulrike Hollmann, Hambergen

1. Auflage, Stuttgart 2021

Nutzung mit Genehmigung von Microsoft

BARTH Datenschutz GmbH

Theodor-Veiel-Straße 94

D–70374 Stuttgart

https://www.barth-datenschutz.de

Das Werk und alle seine Teile sind urheberrechtlich geschützt. Jede vollständige oder teilweise Vervielfältigung, Verbreitung oder Veröffentlichung bedarf der ausdrücklichen schriftlichen Genehmigung des Verlags und des Autors.

Inhalt

Einführung

Mit der DSGVO kam die Rechenschaftspflicht

An wen richtet sich dieser Ratgeber?

Was ist SharePoint Online?

Was ist Microsoft Teams?

Die Vorteile von Microsoft Teams

DSGVO-konforme Nutzung von Microsoft 365

Zusammenfassung und Ausblick

Grundlagen von Microsoft Teams

Microsoft Teams installieren

Ein Team erstellen

Gäste in Microsoft Teams

Der Aufbau eines Teams

Funktionsbereiche

Kanäle und Register

Das OneNote-Notizbuch

Aufgabenmanagement in Teams

Aufgabenmanagement mit SharePoint-Listen

Dateimanagement in Teams

Zusammenfassung und Ausblick

Datenschutzmanagement mit SharePoint

Erstellen der SharePoint-Website

Dokumentenbibliotheken

SharePoint-Listen erstellen

Das OneNote-Notizbuch

Visualisierung der Teamwebsite

Praktisches Arbeiten im Datenschutz-Portal

Einrichten des Datenschutzmanagement-Teams

Der Kanal »Allgemein«

Der Kanal »Datenschutz-Portal«

Der Kanal »Einführungsprojekt«

Arbeiten in Microsoft Teams

Fazit

Hinweis zu den Abbildungen in diesem Buch:

Teilweise sind Screenshots vom Computerbildschirm in den Abbildungen nicht mehr gut lesbar. Für das Verständnis des Inhalts ist dies unkritisch. Dennoch haben Sie die Möglichkeit, alle Abbildungen über diesen QR-Code digital und in Farbe anzuschauen. Den QR-Code finden Sie hier und an ausgewählten Stellen im Buch.

Einführung

»Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.«

(Ernst Ferstl, Schriftsteller, * 1955)

Sie sind Verantwortlicher in einem Unternehmen, einem Verein oder einer anderen Organisation. Neben zahlreichen Pflichten sind Sie auch dafür zuständig, dass die Vorgaben aus den Datenschutzgesetzen eingehalten werden. Seit der Einführung der Datenschutzgrundverordnung (DSGVO) hat der Datenschutz in der allgemeinen Wahrnehmung einen großen Sprung nach vorne gemacht. Dies lag zunächst an den hohen Bußgeldern, die seit 2018 drohen, wenn gegen die DSGVO-Vorgaben verstoßen wird. Nun sind mehr als drei Jahre vergangen, die Millionenbußgelder halten sich – zumindest in Deutschland – in Grenzen. Mit über 35 Millionen Euro Bußgeld für grobe systematische Verstöße im Beschäftigtendatenschutz ist der schwedische Modekonzern H&M Spitzenreiter, gefolgt von der Deutschen Wohnen aus Berlin, die für eine umfassende Datenspeicherung von Kundendaten ohne Rechtsgrundlage ein Bußgeld von 14,5 Millionen Euro zahlen soll. Während H&M das Bußgeld akzeptierte, klagt die Deutsche Wohnen gegen den Entscheid der Behörde. Gewehrt hat sich auch 1&1 gegen ein Bußgeld von über 9 Millionen Euro, weil in einem einzelnen Fall eine Telefonnummer an die Ex-Freundin eines Kunden herausgegeben wurde. Das Landgericht Bonn urteilte, dass das Bußgeld zwar rechtens war, aber zu hoch, und reduzierte es deutlich auf 900.000 Euro.

Nicht im Fokus der Öffentlichkeit sind die kleinen Fälle. Das Bußgeld über 10.000 Euro, weil kein Datenschutzbeauftragter benannt wurde. Die 4.000 Euro, weil eine Auskunftsanfrage nicht beantwortet wurde, oder die 2.000 Euro, weil das Bild eines ehemaligen Mitarbeiters nicht von der Website genommen wurde. Wie Sie sich vor Bußgeldern praktisch schützen, indem Sie die DSGVO-Vorgaben innovativ umsetzen, erfahren Sie in diesem Buch.

Mit der DSGVO kam die Rechenschaftspflicht

Nicht nur die Vermeidung eines Bußgeldes bei einem Datenschutzverstoß zwingt Sie zum Handeln. Als Verantwortlicher verpflichtet Sie Artikel 5 der DSGVO seit dem 25. Mai 2018 auch dazu, Rechenschaft darüber zu leisten, dass Sie die Grundsätze für die Verarbeitung von personenbezogenen Daten erbringen. Absatz 1 beschreibt die neun Grundsätze und in Absatz 2 ist verankert: »Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (›Rechenschaftspflicht‹, vgl. Artikel 5 Abs. 2 DSGVO).«

Bei der Rechenschaftspflicht handelt es sich quasi um eine Beweislastumkehr. Vor dem 25. Mai 2018 musste die Datenschutzaufsicht einem Verantwortlichen nachweisen, dass er keine Maßnahmen zum Schutz personenbezogener Daten umsetzte. Jetzt ist es so, dass Sie als Verantwortlicher die Einhaltung der Datenschutzbehörde nachweisen müssen.

Somit reicht ein netter Brief der für Sie zuständigen Aufsichtsbehörde schon aus, um Sie in ernsthafte Nachweisschwierigkeiten zu bringen (vgl. z. B. https://qrco.de/anschreiben; Musterfragen angelehnt an Schreiben des BayLDA). Wenn Sie die Frist für eine befriedigende Antwort verpassen, müssen Sie mit einem Bußgeld rechnen und einem kostenintensiven Adhoc-Projekt, um die fehlenden Datenschutzprozesse kurzfristig einzuführen. Machen Sie das also besser jetzt sofort. Es spart auf alle Fälle Geld und, wenn Sie meinen folgenden Ausführungen folgen, auch »Nerven«.

An wen richtet sich dieser Ratgeber?

Eingangs habe ich Ihnen unterstellt, Sie sind Verantwortlicher. Mit einem Verantwortlichen meint die DSGVO, »die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet« (vgl. Artikel 4 Ziffer 7 DSGVO). Konkret sind damit die Inhaber, Unternehmer, Geschäftsführer, Vereinsvorstände, Behördenleiter und andere Personengruppen gemeint, die den Vorgaben von Artikel 4 Ziffer 7 DSGVO entsprechen.

Aber natürlich kann ein Verantwortlicher seine Pflichtaufgaben auch delegieren. Daher richtet sich dieses Buch an alle Personen im Unternehmen, die mit der Organisation des Datenschutzes betraut werden. Wenn Sie als Datenschutzkoordinator, Datenschutzreferent, Abteilungsleiter oder Assistent der Geschäftsleitung tätig sind, gelten Sie ebenso als Adressat dieses Ratgebers. Was Ihr »Chef« allerdings nicht delegieren kann, ist die Verantwortlichkeit. Wenn es bei Ihnen zu einem Datenschutzverstoß kommt, haften Sie nur dann, wenn Sie vorsätzlich die Unternehmensvorgaben missachtet haben. Sind Sie der Datenschutzbeauftragte im Unternehmen, wird Ihnen dieses Buch auch eine Unterstützung sein. Jedoch sehe ich Ihre Aufgabe nicht darin, das Managementsystem aufzubauen, sondern es zu auditieren und die Einhaltung der Datenschutzgrundsätze zu überprüfen sowie den Beschäftigten und dem Verantwortlichen beratend zur Seite zu stehen (vgl. Artikel 39 Abs. 1 DSGVO).

Was ist SharePoint Online?

Microsoft SharePoint Online ist eine webbasierte Plattform zur Zusammenarbeit. SharePoint Online ist im Regelfall in jeder Microsoft-365-Lizenz enthalten. Im SharePoint haben Sie die Möglichkeit, ein komplettes Intranet aufzusetzen. Sie können ein Dokumentenmanagement mit Freigabeprozessen und Berechtigungen darstellen, Aufgaben verteilen, Wissensdatenbanken anlegen und verwalten und ausgewählte Inhalte über Websites veröffentlichen.

SharePoint ist ein sehr umfassendes Werkzeug mit unzähligen Möglichkeiten der individuellen Anpassung. Die Anwendung wird kontinuierlich durch Microsoft weiterentwickelt und aktualisiert. Somit arbeiten Sie immer mit einer IT-Lösung auf dem Stand der Technik, was Innovation und Sicherheit betrifft. Sie können den SharePoint nutzen für die Umsetzung von Qualitätsmanagement und sämtlichen anderen Managementsystemen. In diesem Ratgeber beschreibe ich gezielt die Umsetzung von Tätigkeitsschritten, um ein Datenschutzmanagement-System aufzusetzen. Das hat sich im Praxiseinsatz schon bewährt.

Alle meine Kunden erhalten diese Plattform von mir zur Verfügung gestellt. Zudem ist es die Basis von »Datenschutz 365«, dem von mir entwickelten Datenschutzmanagement für alle Verantwortlichen, die keinen Datenschutzbeauftragten benennen müssen. Denn die DSGVO gilt immer. Auch wenn Sie keine Mitarbeiter beschäftigt haben.

Was ist Microsoft Teams?

Microsoft Teams ist ein Teil von Microsoft 365 (früher: »Office 365«) und kann nicht als einzelnes Produkt erworben werden.

Sie können jedoch als Gast einem bestehenden Team hinzugefügt werden. So handhabe ich es zum Beispiel grundsätzlich mit meinen Kunden. Diese werden als Gast in ein spezielles Team meiner Microsoft-365-Umgebung hinzugefügt. Daher spielt es überhaupt keine Rolle, ob diese in der eigenen Organisation Microsoft Teams nutzen oder nicht. Zudem können Sie wählen, ob Sie Teams auf einer Weboberfläche im Browser nutzen oder den Desktop-Client herunterladen. Ich empfehle Ihnen auf alle Fälle den Desktop-Client zu nutzen, da Sie dann alle Funktionen der Anwendung nutzen können. Ich bezeichne Teams als Hub-Anwendung, in der viele Anwendungen zentral zusammenlaufen. Ich bin mir auch sicher: Zukünftig wird Microsoft Teams als Desktop-Betriebssystem unter dem klassischen Betriebssystem, also zum Beispiel unter Windows 10, Linux oder Mac OS laufen. Anwender führen die Kerntätigkeiten nur noch via Teams durch. Der innerbetriebliche EMail-Verkehr verlagert sich in Teams. Dort finden auch Video-Telefonate und Online-Besprechungen statt.

Für die aktuellen Anwendungsfälle ist Microsoft Teams ein gemeinsamer Arbeitsraum für Mitarbeiter und eingeladene Gäste. Diese Team-Mitglieder können innerhalb des Arbeitsraums Dateien sehen und gemeinsam bearbeiten. Microsoft Teams ist ein Collaboration-Tool, bietet aber noch zahlreiche und nützliche weitere Funktionen, wie Sie in Abbildung 1 sehen können.

Microsoft steckt eine hohe Entwicklungsdynamik in Teams. Fast wöchentlich veröffentlicht das Unternehmen neue Funktionen und Verbesserungen für das Produkt. Informieren Sie sich direkt bei Microsoft über die aktuellen Entwicklungen unter https://www.microsoft.com/de-de/microsoft-365/blog /category/teams/.

Die Vorteile von Microsoft Teams

Teams bietet eine Reihe von Vorteilen, die den Einsatz des Werkzeugs in Ihrer Organisation interessant machen. Egal ob für die Organisation des Datenschutzes oder für alle anderen administrativen Tätigen im Unternehmen. Die Vorteile sind insbesondere:

• Alle Teammitglieder können ohne weitere Berechtigungszuweisungen mit den Dateien arbeiten, die im Teambereich liegen.

• Das Versenden von Dateien innerhalb eines Teams per E-Mail wird damit überflüssig.

• Falls teamrelevante Informationen per Mail an Teammitglieder gesendet wurden, können diese innerhalb von MS Teams in das entsprechende Team weitergeleitet werden.

• Mehrere Personen können zeitgleich an einem Dokument arbeiten.

• Eine Dateiversionierung wird automatisch vorgenommen.

• Jedes Teammitglied kann Dateien aus- und einchecken.

• Es wird eine schnelle und kontextbezogene Kommunikation innerhalb des Teams via Chat ermöglicht.

• 1: 1-Chats und Gruppenchats sind auch außerhalb des Teams möglich.

• Sie haben die Möglichkeit, Sofortbesprechungen in einem Video-Chat zu führen.

• Geplante Meetings im Team können durchgeführt werden.

• Sie können über die Mobil-App die Funktionen auf Ihrem Smartphone nutzen.

• Zusatzfunktionen und Anwendungen externer Anbieter lassen sich über Registerkarten oder Connectoren einbinden.

Außerdem können Sie die Microsoft-365-Bordmittel in jedem Team einbinden:

• Microsoft-Planner für das Projektmanagement

• OneNote für sämtliche Dokumentationen

• SharePoint-Aufgabenlisten

• Bookings für Terminplanungen

• Schichten für die Arbeitszeitverwaltung, gerade im Homeoffice

• Forms für Umfragen und Checklisten

• To-do-Aufgabenlisten mit Nachverfolgung in Outlook

• Wiki-Seiten für Dokumentationen oder einer Wissensdatenbank

DSGVO-konforme Nutzung von Microsoft 365

Dienstleister wie Microsoft stehen regelmäßig in der Kritik. Deutsche Datenschutzbehörden bemängeln mangelnde Transparenz und die Nutzung von Daten, sogenannten Telemetrie-Daten, zu eigenen Zwecken. Dazu kommt, dass jeder amerikanische Cloud-Anbieter über den sogenannten Cloud-Act vom amerikanischen Staat gezwungen werden kann, Daten – auch über europäische Bürger – zu übermitteln. Dies gilt auch für Daten, die ausschließlich auf europäischen Servern liegen.

Der Datentransfer in die USA ist aktuell auch nur erschwert möglich. Die Behörden der beteiligten Länder streben ein neues Abkommen an, um den Datentransfer in die USA rechtlich sauber zu ermöglichen.