Share
Beitragsbild zu Rechtskonformes Arbeiten mit Microsoft 365 – Eine neue SaaS-Lösung zeigt den Weg

Rechtskonformes Arbeiten mit Microsoft 365 – Eine neue SaaS-Lösung zeigt den Weg

Im Spannungsfeld unterschiedlicher datenschutzrechtlicher Grundsätze und verschiedener Rechtssysteme (zum Beispiel USA / Europa) musste eine Lösung für die Anwender in der EU gefunden werden, um die Produkte von Microsoft, vor allem Microsoft 365, die weltweit als Standardlösungen in Unternehmen eingesetzt werden, rechtskonform nutzen zu können. Eine neue SaaS-Lösung bahnt den Weg zur Compliance-Sicherheit in Unternehmen und Institutionen.

Unternehmen und Institutionen, welche die Standardsoftware Microsoft 365 (M365) sowie andere Microsoftprodukte wie beispielweise Teams verwenden, arbeiten häufig nicht ganz rechtskonform. Dies hat, so Wilfried Reiners, CEO bei der PRW Group, folgenden Hintergrund. „Microsoft entwickelt seine Software für den Weltmarkt. Dabei geht Microsoft davon aus, dass der Anwender die Software für sich rechtskonform passend macht. Das ist aber manchmal gar nicht so einfach. Daraus lässt sich auch die gewisse Skepsis, die manche deutsche Datenschutz-Aufsichtsbehörden gegenüber amerikanischen Produkten erkennen lassen, ableiten“. M365 ist in nahezu allen Organisationen, in mittelständischen Unternehmen, Konzernen, börsennotierten Unternehmen und bei Behörden verbreitet. Eine Untersagung der Nutzung von M365 hätte zur Folge, dass weiterhin veraltete oder nicht mehr zeitgemäße Lösungen eingesetzt werden müssten oder dass die Kompatibilität zu anderen Unternehmen, Dienstleistern, Behörden oder Banken nicht mehr gegeben wäre. Auch die Unzufriedenheit der Mitarbeiter dürfte bei solchen Anwendungen deutlich steigen.

Zwei Jahre lange Entwicklungszeit

Basierend auf der These, dass sich dieses Compliance-Problem rechtlich und  technisch lösen lässt, arbeiteten PRW-Rechtsanwälte rund zwei Jahre lang gemeinsam mit den M365- und Azure-Spezialisten von der CBG Group an einer passenden Software-Anwendung. Entstanden sind die Software PRW Compliance Set: M365 und das eigenständige Unternehmen PRW Legal Tech GmbH. Die Lösung analysiert die Datenströme und Einstellungen von M365 an jedem Arbeitsplatz und Server. Im Anschluss werden Empfehlungen gegeben, welche konkreten Schritte durchzuführen sind, um die M365 Anwendungen rechtsicher zu gestalten.

Die SaaS-Lösung und die damit verbundene Rechtsberatung richten sich an unterschiedliche Funktionen im Unternehmen oder in der Behörde:

  • An die Rechtsabteilung und internen Datenschützer, die auf Basis der Softwareanalyse eine Datenschutz-Folgeabschätzung (DSFA) in Form eines Rechtsgutachtens sowie konkrete Handlungsempfehlungen bekommen.
  • An die IT-Abteilung und den Chief Information Security Officer, welche für die Umsetzung der empfohlenen technischen Maßnahmen verantwortlich sind.
  • An den Geschäftsführer oder CEO, der zusammen mit dem CFO die Maßnahmen und notwendigen Gelder für die Sicherstellung der Rechtssicherheit freigeben muss.
Doppelter Scan-Vorgang bis zum Ergebnis

Die Lösung scannt im ersten Schritt alle M365-Anwendungen der Organisation. Dazu wird ein spezieller Zugang mit entsprechenden Zugriffsberechtigungen zur Verfügung gestellt. Die Software geht in die verschiedenen Schnittstellen, die Microsoft anbietet, und fragt Einstellungen ab sowie viele weitere Informationen – beispielsweise die Ablageorte von E-Mails, die Datenflüsse und Speicherorte von Teams-Chats etc. Auf Basis der technischen Analyse werden die Einstellungen in einem Punktesystem bewertet.

Im nächsten Schritt erläutern die Legal Consultants und Technik-Spezialisten der PRW Legal Tech GmbH (SaaS-Anbieter), was alles gemacht und was alles verbessert werden sollte, um eine angemessene Compliance zu erreichen. Die Lösung zeigt auch auf, wo gewisse Einstellungen erforderlich sind und wie diese Einstellungen technisch umgesetzt werden sollten. Denn tatsächlich sind die Anforderungen technisch komplex und weit mehr als nur das „Umlegen“ eines Schalters. Dort, wo dies notwendig ist, werden von der PRW Legal Tech auf den Kunden zugeschnittene PowerShells bereitgestellt, um die gesetzten Ziele zu erreichen. Auch organisatorische Maßnahmen müssen geklärt und umgesetzt werden.

Anschließend hat der Kunde – je nach Vereinbarung – einen bestimmten Zeitraum, um die Empfehlungen umzusetzen. Danach erfolgt ein zweiter Scan-Vorgang. Wurden die Maßnahmen, so wie vereinbart bearbeitet, wird insgesamt eine deutliche Verbesserung der Compliance Felder festgestellt. Auf Basis dieser Verbesserungen erstellen schließlich die Rechtsanwälte der PRW Group ein Rechtsgutachten, in dem geprüft wird, ob das Unternehmen in der Anwendung von M365-Produkten rechts- bzw. Compliance-konform agiert oder ob noch „nachgelegt“ werden muss. Optional werden zusätzlich gebuchte Pakete, wie eine DSFA oder ein Transfer Impact Assessment (TIA) etc., erstellt.

Scan hat keinen Einfluss auf geschäftlichen Alltag

Die Software (PRW Compliance Set – M365) läuft zentral auf den Servern der PRW-Group und wird als SaaS-Lösung eingesetzt. Sie scannt den Kunden bzw. die M365-Anwendungen auf jedem Arbeitsplatz und speichert die gewonnenen Informationen in einer hochverschlüsselten Datenbank.

„Der Kunde muss nichts machen, außer den Zugang zu gewähren. Der eigentliche Scan-Vorgang hat keinerlei Einfluss auf den geschäftlichen Arbeitsalltag. Der Vorgang läuft im Hintergrund ab.

Die Dauer des Scannens variiert: Je mehr Nutzer das Unternehmen hat, desto länger dauert er. Bei einem großen Konzern sind das vielleicht vier bis fünf Stunden, bei einem kleineren Unternehmen kann auch eine halbe Stunde reichen. Der gesamte Prozess (Zwei Scans, Handlungsempfehlungen, Rechtsgutachten, Zertifizierungen etc.) wird, da jeder Kunde anders aufgestellt ist, auf Basis eines individuellen Angebots ausgeführt.

Es haben bereits zahlreiche Organisationen diese SaaS-Lösung eingesetzt; dazu zählen Banken, die Öffentliche Hand wie Landkreise und Kommunen, produzierendes Gewerbe, IT-Dienstleister oder Systemhäuser. Besonderes Interesse zeigen Institutionen wie Kommunen, Landkreise und Behörden, da dort der Datenschutz häufig im eigenen Haus sitzt, die Kontrollen intensiver sind und der Druck auf die Umsetzung eines rechtskonformen Handelns größer ist. Aber letztlich gelten die Compliance-Anforderungen für jede Organisation, denn eine Nichtbefolgung der Anweisungen kann bekanntermaßen deutliche Bußgelder und Reputationsverlust zur Folge haben.

Stetige Anpassung an aktuelle Bestimmungen

Da sich einerseits die Entwicklung von M365 und andererseits die Anordnungen und Verfügungen rund um das Thema Compliance je nach internationalen Vereinbarungen stetig verändern, wird die Lösung PRW  Compliance Set M365 regelmäßig an die aktuellen Bedingungen angepasst. Die neue Lösung wird auch in den nächsten Jahren ihre hohe Relevanz nicht verlieren und für eine Rechtskonformität von Unternehmen in Deutschland beim Einsatz von Software-Lösungen sorgen.


Zum Unternehmen

Mit ihrem PRW Compliance Set: M365 ist die PRW Legal Tech GmbH innerhalb kürzester Zeit auf spürbare Akzeptanz gestoßen und konnte viele Aufträge aus der Privatwirtschaft und Betrieben des öffentlichen Rechts verbuchen. Das gemeinsame Spin-off des renommierten IT-Rechtsdienstleisters PRW Rechtsanwälte und der CBG IT GmbH (Cloud Business Group) adressiert mit dem PRW® Compliance Set: M365 in erster Linie die Analyse und rechtskonforme Abbildung von M365-Landschaften. Entwickelt wurde diese Legal Tech Lösung gemeinsam von ausgewiesenen Software-Technologen im M365-Segment und Rechtsanwälten, die sich über lange Jahre als Experten im IT-Recht, Datenschutz und in der Datensicherheit etabliert haben.

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden