Einbahnstraße – End of support? Von wegen! Gehen Sie rechtzeitig die Schritte der Unternehmensmodernisierung.

Gewusst wie! Antworten auf Ihre Fragen zur tech-nischen Umsetzung und wertvolle Tipps für die Unternehmenspraxis.

DSGVO-konform kann jeder! Interview mit den Datenschutz- experten und Rechtsanwälten Janina Thieme und Wilfried Reiners. Dreischritt zur DSGVO-Konformität.

DSGVOPraxiserfahrungen zur Umsetzung im Mittelstand nach 120 Tagen der Umsetzung

2 3| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Inhalt

Alle müssen mit anpacken! 4Die Datenschutzexperten Nikolaus Bertermann und Dominik Stockem beantworten die häufigsten Fragen zur Umsetzung der DSGVO.

Nicht aussitzen – handeln! 6Rechtsanwalt Wilfried Reiners erklärt die wichtigsten recht lichen Neuerungen im Datenschutz nach der DSGVO.

DSGVO – sind Sie bereit? 7Ein kostenloses Assessment-Tool unterstützt KMUs bei der Antwort auf die Frage: Ist meine Firma bereit für die DSGVO?4 Fragen – 4 Antworten 8Vier Fragen, die sich jeder Unternehmer im Zusammenhang mit der technischen Umsetzung stellen sollte.

IT-Partner 12Diese IT-Partner unterstützen mit ihren Lösungen Unternehmen bei der Umsetzung der DSGVO. Moderner Arbeitsplatz mit Surface? Aber sicher! 14Die Microsoft Surface-Familie ist die Idealbesetzung für den sicheren Arbeitsplatz.

Bauen auch Sie auf Microsoft 365! 16Gelungenes Umsetzungsbeispiel von Microsoft 365 bei der Josef Rädlinger Bauunternehmen GmbH.

Moderner Arbeitsplatz mit Surface? Aber sicher! 17

DSGVO: Umsetzungshelfer 18

DSGVO-Spezialisten in Ihrer Nähe 19

DSGVO – bleiben Sie dran! 20

Frank Maenz und Niklas Sowa Ihre Experten für digitale Transformation und Datenschutz in KMU bei Microsoft Deutschland GmbH

Liebe Unternehmerinnen, liebe Unternehmer!

Drei Monate nach Inkrafttreten der neuen EU-Datenschutz-Grundverordnung scheint das nervöse Flimmern, das direkt nach dem 25. Mai 2018 in der Luft lag, nachzulassen. Die wichtigen Themen sind identifiziert, die ersten Schritte oder sogar mehrere bereits getan. Es gibt zwischenzeitlich eine ganze Reihe an tollen Beispiele, wie Unternehmen jeder Grö-ße ihre betriebliche Praxis bereits in die DSGVO-Konformität transformiert haben. Wir von Microsoft konnten schon vielen Unternehmen auf ihrem Weg der DSGVO-Umsetzung helfen und wollen das auch weiterhin tun. Dabei ist es uns wichtig, Ihnen verschiedene skalierbare Modelle aufzuzeigen, aus denen Sie die für Ihr Unternehmen passende Lösung auswählen können.

Wir freuen uns, Sie zu den Leserinnen und Lesern dieser Broschüre zählen zu dürfen. Hier finden Sie interessante Fakten, spannende Interviews, Tipps und Ratschläge, Hintergründe und Erklärungen. Dabei haben wir besonderen Wert auf den Praxisbezug gelegt, so dass das Booklet Ihnen bei Ihren Plänen, die EU-DSGVO in Ihrem Kleinunternehmen oder mittelständischen Betrieb kontinuierlich weiter umzusetzen, bestmöglichen Mehrwert bringt.

Denn ebenso wie für Sie sind auch für uns erste Erfolge nichts, auf dem man sich einfach nur ausruht. Gemeinsam mit Ihnen packen wir das Thema Datenschutz weiterhin tatkräftig an und begleiten Sie weiterhin auf Ihrem Weg zur DSGVO-Konformität!

Die einstündigen Videos richten sich in erster Linie an Unter-nehmer, Mitglieder der Geschäftsführung, Betriebsräte, Daten-schutzbeauftragte und Abteilungsleiter.

Die Video-Sammlung finden Sie unter: www.aka.ms/dsgvo-tutorials

Für jeden Bedarf die richtige Lösung: In unserer vollständigen Video-Sammlung finden Sie einen kompakten Überblick, wie Microsoft und Microsoft Partner bei der Umsetzung der DSGVO im Mittelstand unterstützen können.

Wählen Sie ganz einfach aus verschiedenen Themen rund um die vier Bereiche der Daten- schutz-Grundverordnung: Ermitteln, Verwalten, Schützen und Berichten. Alle Ausgaben unserer Webcasts seit Februar 2018 stehen Ihnen hier als Videoaufzeichnungen zur Verfü-gung und es kommen monatlich neue hinzu.

DSGVO Tutorials: Die praxisorientierte Video- Sammlung von Microsoft

*BITKOM RESEARCH

100 % DSGVO-Konformität hat bis dato kaum ein Unternehmen erreicht, da gilt einfach die Aufforderung: Dranbleiben! Viele Veranstal- tungen, Infotexte, diese Broschüre oder auch die Sammlung auf dem Portal www.aka.ms/dsgvo-portal helfen Unternehmen, der Konformität Schritt für Schritt näher zu kommen.

65 % von 750 von Microsoft im Juli 2018 befragten KMU gaben an, dass Datenschutz und die weitere Umsetzung der DSGVO künftig sehr oder ziemlich relevant sein werden.

setzen personenbezogene Daten zur Verbes-serung von Produkten und Dienstleistungen ein.*

32 %

ALLE VIDEOS

GRATIS ABRUFBAR!

4 5| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Erste Erfahrungswerte mit den grundlegenden Herausforderungen der DSGVO

Eine Verständnisebene findenInterview mit den beiden Datenschutzexperten Nikolaus Bertermann (SKW Schwarz Rechtsanwälte) und Dominik Stockem (Datenschutzbeauftragter Microsoft Deutschland GmbH).

Partner mit ins Boot geholt, die die Abläufe und IT-Syste-me, aber auch die Regelungen und Verträge kennen? Wie sieht Ihre Zwischenbilanz nach den ersten Monaten des DSGVO-Inkrafttretens aus – was läuft gut und was läuft nicht so gut? Stockem: Mit dem Rückenwind der Unterstützung durch die Geschäftsleitung, den Erfahrungen aus der Vergan-genheit und dem Wissen, dass auch die Corporation das Thema Kundenvertrauen als Priorität sieht, sind viele Hür-den gar nicht erst aufgebaut worden. Das war wichtig und hilfreich. Eine große Herausforderung für mich persönlich war die Einschätzung des Datenschutzverständnisses

meiner jeweiligen Gesprächspartner. Da war viel Sensibili-tät und Geduld gefragt. Außerdem war über einen langen Zeitraum nicht bei allen Details klar, wie man diese lösen kann. Das betraf sowohl interne Verarbeitungen als auch Teile der DSGVO. Diese Punkte hatten wir offen mit den zuständigen Aufsichtsbehörden diskutiert. Bertermann: Man muss sich stets vor Augen halten, dass die DSGVO nicht nur für die Unternehmen an vielen Stellen Neuland ist, sondern auch für die Aufsichtsbehörden. Häu-fig ist es lohnenswert, auch eigene Lösungen zu entwickeln und diese mit der Aufsichtsbehörde oder über Verbände abzustimmen. Durch die DSGVO gibt es die Möglichkeit, für Branchen oder bestimmte Verarbeitungen Standardver-tragsklauseln oder Zertifizierungen zu etablieren.

Vor welche neuen Herausforderungen stellt die DSGVO Unternehmen?

Nikolaus Bertermann: Selbst Unternehmen, die bereits eine gute Datenschutzdokumentation nach dem BDSG hatten, waren nun dazu aufgerufen, ihre Datenschutz-dokumentation und die Kommunikation gegenüber den Betroffenen von Grund auf zu überarbeiten. Dabei mussten auch interne Prozesse neugestaltet werden, z. B. zur Umsetzung der Datenschutzfolgenabschätzung oder für die Beantwortung von Auskunftsersuchen Betroffener. Außerdem müssen seit Mai fortlaufend neue Pflichten beachtet werden, wie z.B. die datenschutzfreundliche Tech-nikgestaltung (Privacy by Default/Privacy by Design), das Recht auf Vergessenwerden oder die regelmäßige Prüfung der technischen und organisatorischen Maßnahmen gegen den Stand der Technik.

Gab es auch Herausforderungen für Microsoft und wie sind Sie diese angegangen? Dominik Stockem: Die Umsetzung der DSGVO war und ist nach wie vor ein spannendes Projekt, da es alle Fachberei-che betrifft. Neben unseren internen Abläufen im Marke-ting, Vertrieb und der Personalabteilung sowie anderen administrativen Bereichen hatte die Microsoft Corporation in den Produktgruppen die Einhaltung der Anforderungen der DSGVO ganz nach vorn gestellt und die Entwickler für das Thema sensibilisiert. Parallel dazu hatte unsere Rechts-

abteilung die Verträge angepasst, damit diese ebenfalls die Anforderungen der DSGVO erfüllen.

Wie geht Microsoft mit den Daten in der Cloud um?

Stockem: Wir verpflichten uns, die DSGVO mit dem Inkraft-treten am 25. Mai 2018 für unsere Clouddienste zu erfüllen, und wir machen Zusicherungen zur DSGVO in unseren ver-traglichen Verpflichtungen. Dazu haben wir umfangreiches Informationsmaterial auf unseren Webseiten zur Verfü-gung gestellt: www.microsoft.com/gdpr. Hier ist für jeden etwas dabei, vom Cloud-Kompendium bis zu detaillierten Informationen, wie Microsoft Produkte Unternehmen bei der DSGVO-Konformität unterstützen und den Einstieg erleichtern.

Was raten Sie – aufgrund Ihrer Erfahrungen – anderen Unternehmen?

Stockem: Zunächst sollten Sie überprüfen, wo Ihr Unter-nehmen aktuell steht. Gibt es bereits eine vollständige Ver-arbeitungsübersicht? Im zweiten Schritt sollten Sie dann überprüfen, ob sich die Verantwortlichen im Unternehmen über die Anforderungen im Klaren sind und regelmäßig Informationen updaten. Denn der Datenschutzbeauftragte kann die Aufgabe nicht ohne die Unterstützung der Ge-schäftsleitung umsetzen. Dann überprüfen Sie die operati-ve Arbeit: Haben Sie sich schon die richtigen internen und externen Experten der Fachbereiche und Dienstleister oder

„Eine große Herausforderung war die Einschätzung des Datenschutzverständnisses meiner jeweiligen Gesprächspartner. Da war viel Sensibilität und Geduld gefragt.“

Dominik Stockem, Datenschutzbeauftragter Microsoft Deutschland GmbH

Bei der Vielzahl von Vorgaben, die die Umsetzung der DSGVO mit sich bringt, den Überblick zu behalten, ist ge-rade für kleine und mittelständische Unternehmen nicht leicht. Doch eines ist allen klar: Wer datenschutzkonform arbeiten möchte, muss entsprechend aufgestellt sein.

DSGVO – und wo stehen Sie?Ein einfaches, kostenloses Assessment-Tool unterstützt kleine und mittelstän- dische Unternehmen bei der Antwort auf die Frage: Ist meine Firma in Sachen DSGVO schon gut aufgestellt?

Mit wenigen Klicks zum Status quo

Mit einem kostenlosen Assessment-Tool von Heise Business können sich kleine und mittelständische Unternehmer schnell und einfach einen Überblick über ihre Fortschritte bei der Umsetzung der DSGVO verschaffen. Nach wenigen klaren Fragen sehen Sie auf einen Blick, ob sie in Sachen Datenschutz-Grund-verordnung auf dem neusten Stand sind.

Kostenfreies Assessment-Tool für KMUwww.DSGVO-assessment.de

Kostenloses Assessment-Tool für KMUwww.DSGVO-assessment.de

6 7| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Umsetzung der DSGVO

DSGVO-konform kann jeder! Interview mit den Datenschutzexperten und Rechtsanwälten Janina Thieme und Wilfried Reiners.

„Der Gesetzgeber möchte, dass der Datenschutz ernst genommen wird. Das zeigt sich deutlich an den möglichen Bußgeldern und den Schadensersatzansprüchen“

Wilfried Reiners, Datenschutzexperte und Rechtsanwalt, PRW Rechtsan-wälte (www.prw.de)

„Etablieren Sie die DSGVO als fortlaufenden Unternehmensprozess. Unabhängig von der Unternehmensgröße gelingt durch Einsatz passgenauer Ressourcen die DSGVO-Konformität bei jedem!“

Janina Thieme, Datenschutzexpertin und Rechtsanwältin,

PRW Rechtsanwälte (www.prw.de)

DSGVO nur Betroffene, Aufsichtsbehörden und Verbände gegen Datenschutzverstöße vorgehen. Betroffene können dabei natürlich auch Kunden oder Mitbewerber sein. Mo-mentan fehlt diesen aber oft noch die Sicherheit, selbst zu 100% DSGVO-konform aufgestellt zu sein. Wer im Glashaus sitzt, möchte nicht mit Steinen werfen. Dass der erwartete „Sturm“ bisher nicht eingesetzt hat, sollte aber nicht dazu führen, dass sich Unternehmen beruhigt zurücklehnen. Stimmt es denn, dass die Umsetzung der DSGVO vor allem für Konzerne mit Rechtsabteilung gut machbar ist?

Janina Thieme: Unsere Kanzlei hat schon eine Vielzahl von Umsetzungsprojekten betreut, darunter waren Konzernge-sellschaften wie auch mittelständische und kleine Unter-nehmen ohne Fachabteilungen. Meiner Erfahrung nach ist die Umsetzung der DSGVO für die Großen nicht leichter als für die Kleinen. Wir bieten ein modulares Projektsystem, bei dem je nach Unternehmensgröße und -struktur einzelnen Bausteinen eine unterschiedliche Bedeutung beigemessen werden kann. So ist die Umsetzung – angepasst an die Un-ternehmensgröße, den sich daraus abgeleiteten Aufwand und den vorhandenen Ressourcen – individuell gestaltbar. Auch mit kleineren Budgets kann eine erfolgreiche Um-setzung gelingen. An dieser Stelle möchte ich auch auf die unentgeltlichen Hilfestellungen der Aufsichtsbehörden hinweisen, die sich wirklich große Mühe gegeben haben, nützliche Vorlagen bereitzustellen, beispielsweise federfüh-rend das Bayerische Landesamt für Datenschutzaufsicht (www.lda.bayern.de/de/datenschutz_eu.html).

Was raten Sie Unternehmen, die die EU-DSGVO noch immer nicht vollständig umgesetzt haben?

Wilfried Reiners: Unbedingt weitermachen! Es ist wichtig, einen Plan zu haben, was wann und wie umgesetzt wird, und daran zu arbeiten. Liegt ein solcher Plan vor, muss man im Fall einer Überprüfung nur gute Gründe haben, warum man noch im „Halteverbot“ parkt. Es wird dann im Einzel-fall darauf ankommen, wie die Behörde die Argumente gewichtet. Aber wer nichts tut, wird sicher abgeschleppt!

Frau Thieme, sprechen wir direkt eine der schlimmsten Vermutungen an: Führt die DSGVO zu einer Entdigitali-sierung der deutschen Wirtschaft?

Janina Thieme: Die DSGVO ist keine Verordnung gegen jemanden. Sie dient nicht dazu, den Mittelstand zu ärgern oder gar die Digitalisierung aufzuhalten. Es ist eine Verord-nung für die Betroffenen. Hintergrund ist, dass die Daten-verarbeitung exponentiell ansteigt und sich ein eigener Wirtschaftszweig für Datenverarbeitung entwickelt hat, der die Notwendigkeit mit sich bringt, die Betroffenen effektiver zu schützen. Es wird nötig, neue Mechanismen zu schaf-fen, die es den Menschen ermöglichen, selbstbestimmt zu bleiben. Als Privatpersonen finden wir das begrüßenswert, im Unternehmensalltag eher lästig.

Herr Reiners, was halten Sie für die wichtigsten Neuerungen im Datenschutz?

Wilfried Reiners: Es gibt drei neue Elemente in Sachen per-sonenbezogene Daten des Individuums. Erstens: Der Begriff der personenbezogenen Daten wurde in der EU-DSGVO wesentlich weiter gefasst. Die EU-DSGVO berücksichtigt zum Beispiel auch Standortdaten und ist in der Definition offen für neue Datentypen, wenn sie einen Personenbezug zulassen. Es ist eine neue Betrachtung vorzunehmen und eventuell sind neue Verfahren mit personenbezogenen Daten zu identifizieren. Zweitens: Ein ganz wesentlicher

Punkt ist die Erweiterung der möglichen selbstständigen „Tätereigenschaft“ auf die Auftragsverarbeiter neben ihren Auftraggebern. Ich denke, dass der Gesetzgeber hier die neuen Formen der IT-Gestaltung wie Managed Services und Cloud Computing einbinden wollte. Drittens ist da dann noch der erheblich veränderte Sanktionsrahmen.

Was droht denn Unternehmen, die sich nicht auf die EU-DSGVO einlassen?

Wilfried Reiners: Der Gesetzgeber möchte, dass der Datenschutz ernst genommen wird. Das zeigt sich deutlich an den möglichen Bußgeldern und den Schadensersatzan-sprüchen. Die Strafen zahlt so schnell keiner mehr aus der berühmten Portokasse, wenn Bußgelder in Höhe von 4% des Jahresumsatzes oder bis zu 20 Millionen Euro verhängt werden können.

Zu Beginn schien es, als hänge über jedem Unterneh-men seit Ende Mai das Damoklesschwert einer Abmah-nung. War die Sorge begründet?

Janina Thieme: Nein, die befürchtete Abmahnwelle blieb bislang aus – aus meiner Sicht aus den zwei folgenden Gründen: Zum einen ist es bisher unklar, ob die Vorschrif-ten der DSGVO überhaupt wettbewerbsrechtlich abmahn-bar sind. Hierzu müssen zunächst die ersten Gerichtsent-scheidungen Klarheit schaffen. Zum anderen dürfen gemäß

Unser Rat zur DSGVO-Umsetzung in drei Schritten: Ermitteln, Verwalten, Schützen! 1. Ermitteln bedeutet, sich als Unternehmer zu

überlegen, an welcher Stelle im eigenen Unter-nehmen Datenverarbeitung stattfindet und auf welcher Rechtsgrundlage diese Daten verarbeitet werden dürfen. Bei der Auftragsdatenverarbei-tung zum Beispiel sind entsprechende Verträge mit den Dienstleistern wichtig.

2. Das Verwalten beschreibt die fortlaufenden zu erledigenden Aufgaben. In Unternehmen jeder Größe sollte es jemanden mit dem nötigen Know-how geben – egal ob einen internen oder einen externen Datenschutzbeauftragten oder Koor-dinator. Es muss klar geregelt sein, wer beispiels-weise bei der Anfrage eines Betroffenen Auskunft erteilt. Auch im Falle einer Datenpanne ist festzule-gen und fortlaufend zu kontrollieren, wer mit der zuständigen Aufsichtsbehörde binnen 72 Stunden kommuniziert und wie er das tut.

3. Ein weiterer Aspekt des Datenschutzes ist die Datensicherheit. Strenggenommen findet das wichtige Thema nur in Artikel 32 DSGVO Einzug in die Verordnung. Und der lässt einen großen Handlungsspielraum, denn er gibt lediglich den Grundsatz an die Hand, geeignete technische und organisatorische Maßnahmen treffen zu müssen, sowie einen Beispielkatalog, welche das sein können. Mit welchen Tools und Partnern eine angemessene Datensicherheit gewährleistet wird, muss jedes Unternehmen für sich bewerten und entscheiden.

8 9| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Technische Umsetzung

Handfeste Tipps für Ihre Unternehmenspraxis Vier Fragen, die sich jeder Unternehmer im Zusammenhang mit der technischen Umsetzung zum Schutz personenbezogener Daten stellen sollte.

Was genau sind personenbezogene Daten und wo finde ich sie?

Personenbezogen sind all die Daten, die sich auf einen identifizierten oder iden-tifizierbaren EU-Bürger beziehen. Also beispielsweise Einträge in Kundenda-tenbanken wie Name, Geburtstag oder Postanschrift. Aber auch Daten aus Feed- backbögen sowie E-Mail-Inhalte, Fotos oder Sequenzen von Überwachungska-meras. Dabei spielt es keine Rolle, ob die Daten innerhalb der EU gespeichert wer-den oder nicht. Kunden können heute jederzeit erfragen, wo genau ihre Daten liegen. Die Angabe „im Rechenzentrum“ oder „in der Cloud“ reicht nicht. Liegen die Daten in einer Excel-Tabelle oder doch in der zum SAP-System gehören-den Datenbank? Bei der Bestandsauf-nahme ist es auch wichtig, sämtliche Kopien des Datensatzes zu erfassen, etwa Excel-Tabellen mit Kundendaten, die aus einer Business-Anwendung erstellt wurden. Nur so können Unter-nehmer dem gesetzlich verankerten Löschwunsch nachkommen.

Wie kann ich die Zugriffe auf per-sonenbezogene Daten steuern?

Unternehmen müssen sicherstellen, dass sie rechtmäßig mit den von ihnen ver-arbeiteten personenbezogenen Daten umgehen. Sie müssen also genau festle-gen, wie die Firma die Daten nutzt und wie darauf zugegriffen werden darf. Auf Basis der EU-DSGVO können Personen, von denen ein Unternehmen Daten ge-speichert hat, verlangen, dass die Daten korrigiert oder auch gelöscht werden. In manchen Fällen müssen hier auch be-stimmte Fristen eingehalten werden.Haben Unternehmer ermittelt, wo genau ihre Daten liegen, gilt es, einen Data- Governance-Plan zu entwickeln und um-zusetzen. Dieser Plan unterstützt beim Festlegen von Richtlinien, Rollen und Verantwortlichkeiten im Unternehmen. So wird sichergestellt, dass der Antrag auf Löschung von Daten auch tatsächlich ausgeführt wird – selbst wenn mehrere Abteilungen involviert sind.

Technische Lösungen: Cloud-Dienste und lokal installierte Produkte von Microsoft unterstützen Sie beim Ermitteln der personenbezogenen Daten: • Suche und Identifizierung von personenbezoge-

nen Daten: Die DSGVO stellt viele Anforderungen an die Erfassung, Speicherung und Verwendung perso-nenbezogener Daten. Unternehmer müssen wissen, welche personenbezogenen Daten sie zu betroffenen Personen speichern.

• IT-Asset-Management – strukturiertes Erfassen, Verwalten und Optimieren der IT: Ob hauseigene Assets, externe und interne Speichermedien oder Infrastrukturen zur Datenhaltung wie Dateiablagen, Datenbanken oder Serversysteme – der Unternehmer muss wissen, wo und in welcher Form personenbezoge-ne Daten gespeichert werden. Auch wenn sich IT-Assets im ständigen Wandel befinden, so müssen sie dem Unternehmer doch stets bekannt sein. Hierbei sollte der Unternehmenslenker sowohl die Nutzung von Schat-ten-IT-Systemen durch die Mitarbeiter, als auch die kontinuierliche Transparenz der Identitäten und Zugriffe auf die IT genau betrachten.

Technische Lösungen: Cloud-Dienste und lokal installierte Produkte von Microsoft unterstützen Sie beim Ermitteln der personen-bezogenen Daten:

• Identitäts- und Zugriffsverwaltung: Die Absicherung von Systemen, Anwendungen und Daten beginnt mit einer identitätsbasierten Zugriffssteuerung. Identitäts- und Zugriffsverwaltung schützen Unternehmensdaten und private Daten vor einem nicht autorisierten Zugriff. Gleichzeitig steht den legitimen Benutzern jederzeit und an jedem Ort ein entsprechender Zugriff zur Verfügung.

• Datenkontrolle: Um Daten zu verwalten und die Rechte betroffener Personen nach der DSGVO zu wahren, müs-sen Organisationen über ein Programm und dokumen-tierte Prozesse zur Datenkontrolle verfügen.

• Klassifizierung personenbezogener Daten: Die DSGVO stellt viele Anforderungen, um die Rechte betroffener Personen durchzusetzen. Deshalb sollten personenbezo-gene Daten klassifiziert werden.

Tipps für die Praxis: Am besten bestellen Sie einen zentralen Ansprech- partner für Kunden und Kollegen zum Thema „Speicherort“. Dieser Mitarbeiter sollte entwe-der selbst über alles informiert sein oder einen direkten Draht zur Compliance-Abteilung haben. Denn trotz des in der DSGVO verankerten Rechts auf Löschen müssen Unternehmen die Daten möglicherweise aufheben. Im Finanzsektor bei-spielsweise haben die Vorschriften zur Archivie-rung und zur Nachvollziehbarkeit von Transaktio-nen mehr Gewicht als die DSGVO.

Tipps für die Praxis: Die Unternehmensführung sollte den Mitarbeitern nahelegen, so wenig personenbezogene Daten wie möglich zu sammeln. Jede Abteilung sollte bereits gesammelte Daten dahingehend überprü-fen, ob diese wirklich zum Erreichen des jeweiligen Geschäftsziels notwendig sind. Letztendlich hat es beinahe jeder Mitarbeiter selbst in der Hand, ob eine fortlaufende Konformität mit der DSGVO sichergestellt werden kann.

1.

2.

10 11| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Wie kann ich Schwachstellen finden und Datenpannen vermeiden?

Die DSGVO legt die Messlatte in Sachen IT-Sicherheit hoch. Sie verlangtvon Unternehmern, dass sie geeignete technische (etwa Verschlüsselung) undorganisatorische (zum Beispiel Zugriffs-kontrollen) Maßnahmen ergreifen, um personenbezogene Daten zu schützen. Ob physischer Zugriff durch Unbefugte oder böswillige Mitarbeiter, versehent-licher Verlust oder Hacker-Aktivität − Daten droht auf mannigfaltige Weise Gefahr. Um mögliche Schwachstellenzu identifizieren, empfiehlt sich eine Gap-Analyse: Welche Schutzmechanis-men gibt es im Unternehmen und wel-che fordert die DSGVO? So eine Analyse sollte dokumentiert werden, damit man sie im Falle einer Datenpanne der Auf-sichtsbehörde vorlegen kann. Gab es keine nach Risiken priorisierte Liste der abzuarbeitenden Punkte, kann sich das auf die Höhe eines möglichen Bußgel-des auswirken.

Technische Lösungen: Cloud-Dienste und lokal installierte Produkte von Microsoft unterstützen Sie beim Auffinden von Schwach-stellen und Verhindern von Datenpannen:

• Sicherung personenbezogener Daten, z. B. durch Verschlüsselung: Nach der DSGVO müssen Verant-wortliche, die personenbezogene Daten verarbeiten, hohe Sicherheitsstandards erfüllen. Die DSGVO nennt Verschlüsselung in Abhängigkeit vom Risiko als eine gegebenenfalls geeignete Möglichkeit, diese Anforde-rung zu unterstützen.

• Sicherheitskontrollen: Einrichtung von Sicherheits-kontrollen, welche die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten gewährleis-ten. Die Sicherungsmaßnahmen müssen unter Berück-sichtigung des technischen Stands und der Kosten der Maßnahmen für das betreffende Risiko geeignet sein.

• Daten- und Datenträgerverwaltung auf mobilen Geräten: Die Verordnung sieht vor, dass Organisationen geeignete technische und organisatorische Maßnahmen durchführen, um personenbezogene Daten vor Verlust, unbefugtem Zugriff oder Offenlegung zu schützen.

• Schutz vor Viren, Malware, Phishing: Die DSGVO verlangt, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Verlust sowie nicht autorisiertem Zugriff oder unberechtigter Offenlegung zu ergreifen.

Technische Lösungen: Cloud-Dienste und lokal installierte Produkte von Microsoft unterstützen Sie beim Melden von Datenpannen:

• Protokollierungs- und Überwachungsfunktionen: Verwaltung von Überwachungspfaden zum Nachweis der DSGVO-Einhaltung. Verantwortliche müssen ein Verzeichnis ihrer Reaktionen auf Anfragen betroffener Personen führen. Das Verzeichnis muss die Art der ein-zelnen Anfragen (wie Einsichtnahme oder Berichtigung personenbezogener Daten) und ihre Beantwortung aufführen.

• Anfragen auf Berichtigung, Löschung oder Über-mittlung von Nutzerdaten: Nach der DSGVO müssen Verantwortliche, die personenbezogene Daten ver-arbeiten, es betroffenen Personen ermöglichen, ihre Rechte geltend zu machen. Zu diesem Zweck muss es eine Möglichkeit geben, Anfragen auf Berichtigung, Löschung oder Übermittlung von personenbezogenen Daten zu stellen.

Tipps für die Praxis:Um die bei der Gap-Analyse gefundenen Schwach- stellen abzudichten, genügen im ersten Schritt einfache Mechanismen, wie Passwortvorgaben, die Installation von Software-Updates, Log-Files oder die Verschlüsselung von ruhenden oder übertragenen Daten. Auch die Cloud ist Teil der Problemlösung: Sehr wahrscheinlich lassen sich diverse Schwach stellen, die die Gap-Ana-lyse zutage gefördert hat, durch eine Migration von Systemen und Anwendungen in die Cloud beheben. Die Vorteile: Cloud-Rechenzentren sind meist besser gegen Angriffe von außen und innen geschützt und sie entsprechen in Sa-chen Einbruchs- und Brandschutz den denkbar höchsten Standards. Die Clouds von Microsoft bei spielsweise sind zum Stichtag im Mai 2018 völlig DSGVO-konform.

Wie und wo kann ich Datenver- stöße melden und wie muss ich die Dokumentation aufbewahren?

Die DSVGO setzt Maßstäbe bei Trans-parenz, Rechenschaftspflicht und Doku-mentation. Unternehmen, die personen-bezogene Daten verarbeiten, müssen verschiedene Punkte dokumentieren. Dazu gehören:

Zwecke der Verarbeitung, Kategorien der verarbeiteten

personenbezogenen Daten, die Identität von Dritten, mit denen

Daten geteilt werden, ob (und welche) Drittländer

personenbezogene Daten erhalten und die Rechtsgrundlage für solche Übertragungen,

organisatorische und technische Sicherheitsmaßnahmen und

Datenaufbewahrungszeiten.

Neu mit der DSGVO kam die Melde-pflicht: Bei einer Datenpanne muss der Verantwortliche diese unverzüglich der zuständigen Aufsichtsbehörde melden,spätestens innerhalb der nächsten 72 Stunden, nachdem ihm die Verlet-zung bekannt wurde. Eine Ausnahme gibt es, wenn das Datenleck wahrschein- lich kein Risiko für die Rechte und Frei-heiten natürlicher Personen bedeutet.

Tipps für die Praxis: Um die Dokumentation so einfach wie möglich zu halten, empfehlen sich Software-Tools für Audits. Sie zeichnen alle Aktionen rund um die personen bezogenen Daten auf: das Sammeln, den Einsatz und die Freigabe dieser Daten.Zur raschen und korrekten Meldung eines Daten-lecks empfiehlt sich einen Prozess für diese „Data Breach Notification“ aufzusetzen und diesen wie einen Feueralarm zu üben. Die Verantwortlichkeiten zwischen IT, Manage-ment, Rechtsabteilung sowie dem Datenschutz-beauftragten sollten festgeschrieben werden, Checklisten und Standardschreiben vorgefertigt in der Schublade liegen. Fehlende Prozesse oder eine Meldung weit nach den vorgegebenen 72 Stunden können zu hohen Bußgeldern führen.

4.3.

12 13| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Weit mehr als die Hälfte aller gewerblich genutzten PCs und Server verwenden ein Betriebssystem, das gemeinhin als „noch gut genug“ empfunden wird, aber schon längst nicht mehr den An-forderungen moderner IT bei Sicherheit, Leistung und Verwaltbarkeit entspricht. Andererseits haben bereits zahlreiche mittelständische Unternehmen erkannt, dass die Umstellung auf eine moderne IT kein Kostenfaktor sein muss, sondern durch Optimierung von Hardware, Soft-ware und Prozessen eine regelmäßige Ersparnis erzielt werden kann.

Windows 7 und Windows Server 2008 R2 - End of Support am 14.01.2020

Nicht untätig abwarten.Jetzt erste Schritte zur Moderni- sierung gehen! Interview mit Sven Langenfeld, Windows Commercial Category Lead bei Microsoft Deutschland und Manager einer 3.000 Mitglieder starken Wissens-Community für Microsoft-Partner.

soft setzt bei diesem Thema auf absolute Transparenz. Moderne IT ist ohne Cloud-Komponenten undenkbar. Daher ist es wichtig, sich mit diesem Thema vertraut zu machen und ehrlich zu fragen, ob man selbst in der Lage ist, identische Verfügbarkeit, Performance und Sicherheit zu einem vertretbaren Preis bereitzustellen. Was sagen Sie denjenigen, die nicht überzeugt sind und lieber über das Support-Ende hinaus auf Windows 7 und Windows Server 2008 R2 setzen möchten? Langenfeld: In Bezug auf die DSGVO vermute ich, dass bei Verlust von persönlichen Daten der Einsatz eines Betriebssystems ohne Support kaum als „ausreichend gesichert“ gewertet werden würde. Meine Empfehlung an alle, die noch unsicher sind: Nehmen Sie das Thema Datenschutz bitte nicht auf die leichte Schulter und lassen Sie sich kompetent und unabhängig beraten. Ihre Empfehlung lautet demnach, auf Windows 10 Pro umzustellen, Microsoft 365 zu abonnieren, Windows Ser-ver 2019 einzusetzen und Microsoft Azure zu integrieren? Langenfeld: Beinahe komplett. Eine wichtige Komponente fehlt noch – das moderne Arbeitsgerät. Wir erleben immer wieder, dass sich Kunden für erstklassige Software entschei-den und dann feststellen, dass die Erwartungen nicht erfüllt werden. Eine hervorragende User Experience beginnt immer mit einem modernen Device. Die Zeiten, in denen Windows Devices langweilig, schwer und langsam waren, gehören längst der Vergangenheit an. Statten Sie Ihre Mitarbeiter mit hochwertigen, modernen Windows-De-vices aus, das ist eine Investition, die sich schnell rechnet. Und wenn Sie hohe Einmalkosten scheuen, dann bieten Ihnen viele Microsoft-Partner bereits Workplace-as-a-Ser-vice-Modelle an – flexible Full-Service-Lösungen für Hard-ware und Software auf Mietbasis.

Bis 2020 ist es noch eine Weile hin. Wieso ist das Thema schon heute aktuell?

Langenfeld: Das Ende des Supports für Windows 7 und Windows Server 2008 R2 sowie Windows Small Business Server 2011 ist nicht mit der letzten großen End-Of-Support (EOS)-Welle zu vergleichen. Bei Windows XP und Windows Server 2003 ging es primär um die Frage, wie man rei-bungslos aktuelle Betriebssystem-Versionen migriert, ohne dass der laufende Betrieb gefährdet ist. Diesmal geht es um grundlegendes Umdenken, welche Rolle IT im Unterneh-men spielen kann und sollte. Die Vorbereitung, Auswahl und Umsetzung eines individuellen Migrations- und Mo-dernisierungsplans benötigt Zeit, in vielen Fällen wird auch ein fachkundiger IT-Dienstleister erforderlich sein. Je näher wir dem 14. Januar 2020 kommen, desto schwieriger dürfte es werden, einen qualifizierten und zugleich verfügbaren Fachmann zu finden.

Gibt es Vorbehalte von Unternehmen gegen den Umstieg auf Windows 10? Langenfeld: Mit Windows 10 wurde Windows-as-a-Service eingeführt, ein stets aktuelles und sicheres Betriebssystem mit halbjährlichen Funktions- und laufenden Sicherheits-updates. Manche Nutzer sind von diesen permanenten Updates verunsichert. Dabei kann man mit Windows 10 Pro

und Enterprise die Updates beliebig verschieben oder sogar aussetzen. So behält man immer selbst die Zügel in der Hand. Jedes Release wird 18 Monate lang unterstützt. Es bleibt also ausreichend Zeit, um ein Update zu testen, bevor man es freigibt. Nahezu alle Programme, die auch auf Windows 7 laufen, funktionieren reibungslos mit Windows 10 Pro. Auf readyforwindows.com gibt es weiterführende Infos zu diesem Thema.

Welche Rolle spielen Microsoft 365 und Microsoft Azure beim Support-Ende?

Langenfeld: Microsoft 365 ist eine integrierte Komplettlö-sung für modernes Arbeiten, bestehend aus Office 365, zu-sätzlichen Windows-Features und Mobile Device Manage-ment plus weiteren Sicherheitsfunktionen, abhängig vom ausgewählten Lösungsplan. Ein moderner Arbeitsplatz ist aus unserer Sicht mit den modernsten Office-Anwendun-gen ausgestattet, erlaubt zeitgleiches Arbeiten an Doku- menten, ermöglicht Kommunikation unabhängig von sta-tionären Telefonanlagen, bietet höchste Sicherheit und ist einfach zu verwalten. Außerdem darf es keine Rolle spielen, von wo und wann der Mitarbeiter auf Unternehmensdaten zugreifen möchte. Genau das ist Microsoft 365.

Im Zusammenspiel mit Windows AutoPilot, der Zero-Touch- Deployment-Lösung von Microsoft, wird die IT entlastet, der Mitarbeiter bekommt höchstmögliche Flexibilität gebo- ten und das Unternehmen behält die volle Kontrolle über seine Daten, auch bei mobilen Devices, die sich außerhalb des firmeneigenen Netzwerkes befinden. Moderne Cloud- Lösungen wie OneDrive for Business oder Intune, beides Bestandteile von Microsoft 365, machen dies möglich.

Außerdem sollte sich der Unternehmer fragen, welche Dienste er noch im eigenen Haus behalten möchte und was er z.B. in die Microsoft-Rechenzentren auslagern kann. Hy-bride Szenarien sind sehr gefragt, also ein Mix aus Eigen-betrieb und Auslagerung. Exchange Server ist hierfür ein gutes Beispiel. Für die meisten Kunden ist der Betrieb eines Exchange Servers inklusive der Zugriffslizenzen (CALs) zu aufwändig und teuer geworden. Mit Exchange Online fallen Erstinvestition, Management und CAL-Kosten einfach weg, und je nach Unternehmensentwicklung können weitere Mitarbeiter blitzschnell hinzugefügt werden. Wichtige Daten hingegen werden im Unternehmen gehalten, sofern man davon ausgeht, dass diese in den eigenen vier Wän-den sicherer sind als bei Microsoft Azure. Wie vereinbart sich Datensicherheit mit Microsoft Azure, dem Cloud-Angebot eines amerikanischen Unternehmens?

Langenfeld: Bei dieser Frage empfehle ich das Microsoft Trust Center: www.microsoft.com/trust . Hier findet man Antworten auf nahezu alle Fragen rund um Microsoft Services in Bezug auf Sicherheit und Compliance. Micro-

„Eine hervorragende User-Experience beginnt immer mit einem modernen Device. Die Zeiten, in denen Windows-Devices langweilig, schwer und langsam waren, gehören längst der Vergangenheit an.“

Sven Langenfeld, Windows Commercial Category Lead Microsoft Deutschland GmbH

Was macht ein modernes Arbeitsgerät aus? Moderne Devices beinhalten moderne Komponenten, ohne die zum Beispiel in Microsoft 365 beinhaltete Sicherheitslösungen gar nicht funktionieren. Au-ßerdem sollte ein Touch-Display dabei sein. Je nach Einsatzszenario bietet sich ein Convertible an, also ein Notebook, das auch als Tablet genutzt werden kann. Für die Sprachsteuerung sind spezielle Mi-krofone integriert und hochwertige Lautsprecher sorgen für einen guten Sound. Ganz wichtig ist auch ein biometrischer Sensor, denn mit Windows Hello for Business wird das Entsperren eines PCs durch eine PIN, einen Fingerabdruck oder die Ge-sichtserkennung ermöglicht.

14 15| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Von einfachen Szenarien bis hin zur Komplettlösung Microsoft bietet Lösungen für jede Unternehmensgröße und Anforderung Niklas Sowa, Digital Advisor für Kleinunternehmen und Mittelstand

Auch Monate nach dem Start der konkreten Umsetzungs-pflicht gibt uns die DSGVO noch viele Fragestellungen und Aufgaben im Tagesgeschäft und der Unterneh-mensführung auf. Wir werden oft gefragt, ob denn jedes Unternehmen große Budgets in die Hand nehmen und den gesamten Betrieb technologisch von Grund auf neu aufstellen müsse. Viele Unternehmer sind noch überfor-dert, die richtige Lösung aus einem riesigen Angebot her-auszufiltern. Um Licht in das Dunkel zu bringen, haben wir für Sie dieses Schaubild entwickelt. Die Grafik zeigt, dass Microsoft für Unternehmen jeder Größe eine passende Lösung bietet, die hilft, die DSGVO umzusetzen. Zudem können Sie auf Unterstützung von einem der bundesweit 30.000 zertifizierten Microsoft Partner vertrauen. Einem Baukastensystem gleich können sich Unternehmen – je nach Bedarf – die richtigen technologischen Baustei-ne zusammenstellen bzw. zusammenstellen lassen.

Smarte Lösungen für Unternehmen von geringer Größe bzw. mit überschaubarer Datenverarbeitung Für Kleinunternehmer mit einfach gestrickter IT und geringem Aufkommen von Datenverarbeitung steht die Einfachheit der Anwendung im Mittelpunkt. Hier sind clevere Tools innerhalb von Office 365 eine gute Wahl. Ein Beispiel: Wichtige Anforderungen der DSGVO sind unter anderem, dass personenbezogene Daten beson-ders geschützt sind und auf Wunsch des Kunden gelöscht

werden können. Doch bei verschiedenen Speicherorten wird die Datensicherheit schnell zum Problem. Daher ist es empfehlenswert, die Daten in einem professionellen Cloudspeicher wie OneDrive for Business abzulegen. Hier lässt sich sehr leicht bestimmen, welcher Mitarbeiter auf welche Daten Zugriff haben soll. Die Rechtevergabe lässt sich außerdem mit einem Ablaufdatum zur zeitli-chen Begrenzung des Datenzugriffs versehen. Außerdem ermöglicht die Datenkontrolle Benutzern das Erstel-len, Veröffentlichen und das manuelle Anwenden von Bezeichnungen auf Dokumente sowie das Erstellen und Anwenden von Aufbewahrungs- und Löschrichtlinien. OneDrive for Business ist ein Baustein unseres Lösungs-pakets Office 365, und mit Office 365 erhalten sie neben anderen cleveren Services eben auch eine Basislösung zum Management von Identitäten und Verwaltung mobi-ler Geräte. Bei Anfragen von Betroffenen können Sie auch das Inhaltssuche-eDiscovery-Tool in der Office 365 Security & Compliance Center verwenden, um Office 365 nach personenbezogenen Daten in allen Kommu-nikationstools wie E-Mail, Dokumenten oder Instant Messaging zu durchsuchen. Zudem verpflichten wir uns, die DSGVO für unsere Cloud-Dienste (darunter Office 365) zu erfüllen und machen Zusicherungen zur DSGVO in unseren vertraglichen Verpflichtungen. Mehr dazu auf www.microsoft.com/trust.

„Mit unseren Lösungen arbeiten Sie nicht nur DSGVO-konform, sondern schaffen sich zugleich einen zukunftssicheren und sicheren modernen Arbeitsplatz!.“

Niklas Sowa , Experte digitale Transformation und Datenschutz in KMU bei MicrosoftDeutschland GmbH

Steuerungsmechanismen innerhalb von Microsoft 365 Business für Sicherheit und Compliance • Die sicherste und stets aktuellste Version von Office

und Windows• Advanced Threat Protection: sichere Links, sichere

Dateianhänge• Data Loss Prevention• Klassifizierung und Kennzeichnung• Multi-Faktor-Authentifizierung• Nachrichtenverschlüsselung und Rechteverwaltung• Mobile Device und Application Management• Benchmarks für Ihre Kontrollmechanismen

mit Secure Score • Transparenz mit dem Compliance Manager

Zusätzliche Lösungsbausteine – bei speziellen Anforderungen Darüber hinaus bietet Microsoft auch Lösungen, spezi-elleren Anforderungen gerecht zu werden, zum Beispiel wenn ein Unternehmen komplexe lokale IT-Strukturen zu verwalten hat. Wenn Sie besondere Anforderungen, also viele Daten, viele unterschiedliche lokale Systeme/Da-tenbanken oder/und viele mobile Mitarbeiter und Geräte haben, macht es Sinn, zu den oben genannten weitere Lö-sungsbausteine zu ergänzen – so dass Sie Funktionen aus Office 365 mit einem modernen und sicheren Betriebs-system wie Windows 10 und einer Enterprise Mobility und Security Lösung (kurz EM+S) verbinden. Genau das bietet unsere Lösung Microsoft 365, die Windows 10, EM+S und Office 365 umfasst und damit eine Komplettlösung für Sicherheit, Teamarbeit und einfache Verwaltung bietet. Um tieferen Einblick zu erhalten, empfehlen wir interes-sierten Unternehmen, einen unserer kommenden Events oder ein Webinar zum Thema DSGVO und Microsoft 365 zu besuchen, eine Auswahl finden Sie unter www.aka.ms/dsgvo120-webcast. Hier erhalten Sie durch Live-Demos von Experten und praktischen Anwendungsszenari-en einen tiefen Einblick in das Funktionsspektrum von Microsoft 365. Sie werden sehen: Egal, welche Funktions-bausteine Sie als Kleinunternehmen oder Mittelständ-ler benötigen, mit Microsoft 365 haben Sie immer die richtige Lösung und können so Ihre DSGVO-Umsetzung beschleunigen!

L

M

S

Wunsch nach ganzheitlichem Ansatz. DSGVO Umsetzung strategisch angehen & Sprungbrett für weitere Digitalisierung

Viele Daten, viele mobile MitarbeiterDSGVO Umsetzung bei speziellen Anforderungen

Wenige Daten, einfache IT-StrukturenDSGVO mit einfachen Mitteln umsetzen

DSGVO Expert+ Digital Expert

Lösungen

DSGVO Standart

Lösungen

DSGVO Basis

Workshop/Schulungen zu DSGVO

Moderne und sichere Geräte

Moderne CRM- Lösung mit Dynamics 365

Kultureller Wandel/ Change Management

Microsoft 365 Azure Cloudlösungen

Microsoft Partner

Microsoft 365

Office 365

Office 365 Microsoft Partner

Microsoft Partner

Windows 10

Zusatz-bausteine:++

+

+Cr

oss-

Them

aRe

chtli

che

Asp

ekte

DSGVO & Microsoft: Für jede Unternehmenssituation die passende Lösung und Partner

16 17| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

Kundenstimme – Microsoft Lösungen im Praxiseinsatz

Bauen auch Sie auf Microsoft 365!Gelungene Umsetzungen sprechen für sich: Die Josef Rädlinger Bauunternehmen GmbH war auf der Suche nach dem modernen Arbeitsplatz im Baugewerbe und einer DSGVO-konformen Kollaborationsplattform − und fand beides in Microsoft 365.

„Wir profitieren von den vielfältigen Möglichkeiten der modernen Zusammenarbeit und einer noch effizienteren Kommunikation. Zudem ist für mich ganz klar kalkulierbar, welche IT-Kosten monatlich pro Anwender anfallen, und das Lizenzmodell erlaubt mir, sehr flexibel auf Konjunktur und saisonale Schwankungen zu reagieren“,

so Carsten Korn, der IT-Leiter der Josef Rädlinger Bauunternehmen GmbH.

Zunächst schien der Umbau der IT von Rädlinger, einem der führenden mittelständischen Bauunternehmen Deutschlands, mit immensem Aufwand bei der Datenmigration verbun-den. Doch alles lief nach Plan und für die Mitarbeiter größtenteils unbemerkt. Ausschlag-gebend für die Entscheidung, auf Microsoft 365 als Kollaborationsplattform zu migrieren, war insbesondere das DSGVO-konforme Grundgerüst der Software. Der integrierte Compli-ance Manager hilft zudem, Verordnungen einzuhalten. So können die Mitarbeiter von Räd-linger sich völlig auf den Bau von Straßen, Lärmschutzwänden und mehr konzentrieren.

Moderner Arbeitsplatz mit Surface? Aber sicher!Die Microsoft Surface-Familie ist im Zusammenspiel mit Windows 10 und Office 365 die Idealbesetzung für den modernen Arbeitsplatz: Leistungsstark und ausdauernd, höchst flexibel und mobil. Aber die Kombination bietet noch mehr: Sicherheit auf höchstem Niveau.

Die Digitalisierung eröffnet gerade für die Arbeitswelt zahlreiche neue Möglichkeiten und Freiräume: Mitarbeiter können überall dort ihren Aufgaben nachgehen, wo sie gerade sind, sei es beim Kunden, auf Reisen oder im Home Office. Teams können heutzutage standortübergreifend zusammenarbeiten, so als ob sie in einem Büro sitzen würden. Und genau auf diese moderne Arbeitswelt zugeschnitten ist das aktuelle Microsoft-Produktportfolio: die Surface-Familie, mit den mobilen Surface Pro, Surface Book, Surface Laptop, aber auch Surface Studio und Surface Hub, auf der Hard-wareseite, und Windows 10, Office 365 oder im Verbund als Microsoft 365 auf der Softwareseite.

Freiraum und Mobilität der modernen Arbeitswelt haben aber schon so manchem Datenschutz-Verantwortlichen Sorgen-falten ins Gesicht getrieben: Wenn sensible Informationen wie personenbezogene Daten auf mobilen Geräten unterwegs sind, schwingt die Gefahr von potenziellen Verlusten überall mit. Gerade im Angesicht der seit Kurzem gültigen DSGVO besteht hier Verunsicherung, wie man die Datensicherheit immer und überall gewährleisten kann.

Mit der Kombination von Surface-Geräten und Windows 10 erhalten Unternehmen ein Hardware-Software-Paket, das dank modernster Sicherheitsfunktionen hilft, die Anforderun-gen an Datenschutz und -sicherheit zu erfüllen – und zwar konsequent vom Drücken des Einschaltknopfes des Surface bis zum Ende des Gerätelebens. So sorgt schon während des Startvorgangs Secure Boot dafür, dass nur Software ausge-

führt wird, die von Microsoft als vertrauenswürdig eingestuft wird. Voraussetzung für Secure Boot ist UEFI-Firmware – Standard bei allen Surface-Geräten. Und ein weiteres Sicherheitsplus an dieser Stelle ist der Surface Enterprise Management Mode (kurz: SEMM): Dieser erlaubt den IT-Ver-antwortlichen die UEFI-Einstellungen eines Surface-Gerätes nach ihren Ansprüchen zu konfigurieren.

Und sicher geht es auch bei der Benutzeranmeldung weiter: Ob wirklich der berechtigte Anwender vor dem Gerät sitzt, überprüft die biometrische Funktion „Windows Hello“ in Kom-bination mit den in Surface verbauten Fingerprint-Sensoren

und Kameras anhand von Fingerabdruck und Gesichtserken-nung. Ist Surface Pro, Surface Book oder Surface Laptop in die falschen Hände geraten, sind die Daten dennoch sicher. Festplatte ausbauen und Daten auslesen? Keine Chance. Die Verschlüsselung der Festplatte mit BitLocker in Kombination mit dem Trusted Platform Module (TPM) sorgt dafür, dass Unberechtigte keinen Zugriff auf die Festplatte möglich ist.

Muss ein Gerät repariert, ausgetauscht oder ausgemustert werden, sieht die DSGVO vor, dass Daten sicher gelöscht sind. Und auch hierfür ist vorgesorgt: Mit dem Surface Data Eraser Tool erhalten IT-Verantwortliche ein Werkzeug an die Hand, welches das sichere Löschen des Gerätes bzw. der Festplatte sicherstellt. Surface bietet damit Sicherheit – vom Anfang bis zum Ende.

Sicher arbeiten mit SurfaceDie Highlights:• Dank biometrischer Funktionen kommen nur

berechtigte Nutzer an die Geräte

• Mit Secure Boot wird nur vertrauenswürdige Software gestartet

• Eine Verschlüsselung der Festplatte macht einen Zugriff für Dritte unmöglich

• Sicheres Löschen der Geräte/Festplatte mit dem Surface Data Eraser Tool

18 19| SPEZIAL EU-DSGVO SPEZIAL EU-DSGVO |

DSGVO-Spezialisten in Ihrer Nähe

CANCOM SEErika-Mann-Str. 69 80636 München Tel.: +49 89 54054-0 info@cancom.de www.cancom.de

Metalogix International GmbHLeopoldstr. 8 80802 München Tel.: +49 89 4141 739 30 info@metalogix.com www.metalogix.com

Insight Technology Solutions GmbHParkring 35 85748 Garching/München Tel.: +49 89 94580-0 info.de@insight.com www.insight.de

infoWAN Daten-kommunikation GmbHParkring 29 85748 Garching/München Tel.: +49 89 324756-0 info@infowan.de www.infowan.de

ACP Holding Deutschland GmbHWilly-Brandt-Platz 6 81829 München sam@acp.de www.acp.de

pmOne AGFreisinger Str. 9 85716 Unterschleißheim Tel.: +49 89 6424 9929 kontakt@pmone.com www.pmone.com

SIEVERS-SNC Computer & Software GmbH & Co. KGEin Unternehmen der SIEVERS-GROUP Hans-Wunderlich-Straße 8 49078 Osnabrück Tel.: +49 541 9493-0 info@sievers-group.com www.sievers-group.com

COMPAREX AGBlochstraße 1 04329 Leipzig Tel.: +49 341 2568 000 info@comparex.de www.comparex-group.com

Tec Networks GmbHNeuer Markt 18 26721 Emden Tel.: +49 4921 589178-0 anfrage@tec-networks.de www.tec-networks.de

ANK Business Service GmbHRuthenberger Markt 11b 24539 Neumünster Tel.: +49 4321 5560770 office@ankbs.de www.ankbs.de

Sartissohn GmbHPapenkamp 1 21357 Bardowick Tel.: +49 4131 2435-0 info@sartissohn.de www.sartissohn.de

PHAT CONSUL-TING GmbHNobistor 10 22767 Hamburg Tel.: +49 40 226 383-100 info@phatconsulting.de www.phatconsulting.de

Dicide GmbHEin Unternehmen der Vater Gruppe Liebigstraße 26 24145 Kiel Tel.: +49 431 200-84-250 info@dicide.de www.dicide.de

Axians IT Security GmbHArndtstraße 25 22085 Hamburg Tel.: +49 40 271661-0 info-itsecurity@axians.de www.axians.de

Net at Work GmbHAm Hoppenhof 32A 33104 Paderborn Tel.: +49 5251 304600 info@netatwork.de www.netatwork.de

Intelligent Studios s.r.o./XeeloAm Rothbusch 17 31319 Sehnde Tel.: +49 5138 709 7413 www.xeelo.com

bestserv® GmbHSoftware Center 5b 35037 Marburg Tel.: +49 6421 17689-0 bestserv@bestserv.de www.bestserv.de

acocon GmbHAugust-Schroeder-Str. 4 33602 Bielefeld Tel.: +49 521 329013-10 info@acocon.de www.acocon.de

NETGO GmbHLandwehr 103-105 46325 Borken Tel.: +49 2861 80 847-0 info@netgo.de www.netgo.de

Brüll & Partner Computer Network Service GmbHWahlerstraße 28 40472 Düsseldorf Tel.: +49 211 506655-0 info@bpartner.de www.bpartner.de

sepago GmbHDillenburger Straße 83 51105 Köln Tel.: +49 221 8019395-0 info@sepago.de www.sepago.de

IT-HAUS GmbHEuropa-Allee 26/28 54343 Föhren Tel.: +49 6502 9208-0 info@it-haus.com www.it-haus.com

ExpertCircle GmbHNordstraße 9 56424 Mogendorf Tel.: +49 228 30401570 info@expertcircle.de www.expertcircle.de

QS solutions GmbHAugustinusstr. 11c 50226 Frechen Tel.: +49 2234 69 000 klapper@qssolutions.de www.qssolutions.de

TELEKOM DEUTSCHLAND GMBHLandgrabenweg 151 53227 Bonn Tel.: 0800 3304444 www.telekom.de

CEMA AGHarrlachweg 5 68163 Mannheim Tel.: +49 621 33 98-0 info@cema.de www.cema.de

BridgingIT GmbHN7, 5-6 68161 Mannheim Tel.: +49 621 370 902 0 info@bridging-it.de www.bridging-it.de

Rencore GmbHBayerstraße 71-73 80335 München Tel.: +49 89 215 4169-0 sales@rencore.com www. rencore.com

GAB Enterprise IT Solution GmbHPankofen-Hauptstr. 13 94447 Plattling Tel.: +49 9931 98194-0 info@gab-net.com www.gab.de

atwork deutsch-land GmbHWaldstr. 32 91126 Rednitzhembach Tel.: +49 9122 633644 info@atwork-it.com www.atwork-it.com

Dr. Netik & Partner GmbHFeldmark 1 17034 Neubrandenburg Tel.: +49 395 43017-0 info@netik.de www.netik.de

OBJEKTKULTUR Software GmbHRitterstraße 5 76133 Karlsruhe Tel.: +49 721 83 04 05 00 office@objektkultur.de www.objektkultur.de

ec4u expert consulting agZur Giesserei 19-27B 76227 Karlsruhe Tel.: +49 721 46 476-100 info@ec4u.com www.ec4u.com

ACCAS-GroupZeppelinstraße 2 76185 Karlsruhe Tel.: +49 721 2766888-0 info@accas-group.com www.accas-group.de

abtis GmbHWilhelm-Becker- Straße 11b 75179 Pforzheim Tel.: +49 7231 4431-0 info@abtis.de www.abtis.de

Bechtle GmbH & Co. KGBechtle Platz 1 74172 Neckarsulm Tel.: +49 7132 981-20 neckarsulm@bechtle.com www.bechtle.com

0

1 3 57

86

2

4 9

DSGVO: Umsetzungshelfer

Selbst wenn viele Fragen beantwortet sind und sich viel Inhaltliches in Sachen Daten-schutz geklärt hat, steht doch die technische Umsetzung der DSGVO-Richtlinien auf einem ganz anderen Blatt. Es ist keine leichte Aufgabe, eine passende technische Lösung zu finden, die exakt auf Ihre Unternehmensgröße und individuelle Datenverarbeitung passt.

Nutzen Sie die Expertise erfahrener Microsoft-Partner: Vom fundierten Beratungs-gespräch über Workshops zur Umsetzung der DSGVO bis zu einem IT-Konzept, das auf ihren Betrieb zugeschnitten ist, können IT-Profis ein immenses DSGVO-Know-how bieten.

Diese Übersicht hilft Ihnen hoffentlich dabei, den Umsetzungspartner Ihres Vertrauens zu finden!

„Die Umsetzung der DSGVO bringt sicherlich noch immer Herausforderungen mit sich, aber auch nennenswerte Chancen! Wer den Weckruf ernst nimmt, um jetzt zur Unternehmensgröße passenden, sinnvollen Digitalisierungsbestrebungen nachzugehen, liegt goldrichtig. Wenn Unternehmer parallel daran denken, ihre Mitarbeiter mitzu-nehmen, sie zu sensibilisieren und offen mit den neuen Prozessen umzugehen, kann die DSGVO zum Startschuss für einen Kulturwandel werden, der das Unternehmen zukunftsweisend aufstellt und zu dauerhaftem Erfolg führt.“

Frank Bösenkötter, Geschäftsführer Dicide GmbH

„Die DSGVO ist Anlass und Motor einer weltweit intensiveren Auseinandersetzung mit dem Thema Datenschutz. Vielen Unternehmen wird jetzt erst bewusst, auf wie vielen unterschiedlichen Servern Firmendaten gespeichert sind – hier ist es höchste Zeit, neue Wege zu gehen!“

Jürgen Goldammer, Principal Consultant der GAB Enterprise Solutions GmbH

„Die DSGVO ist das Beste, was unseren persönlichen Daten passieren konnte! Man muss nur genau hinsehen und als Unternehmen exakt analysieren, in welchen Systemen und durch welche Prozesse personenbezogene Daten verarbeitet werden, um bei DSGVO-bezogenen Aufforderungen gut gewappnet zu sein.“

Fabian Nilgen, Associate Principal bei der pmOne AG

20 | SPEZIAL EU-DSGVO

DSGVO – bleiben Sie dran! Seit dem 25. Mai 2018 müssen die Regeln der EU-Datenschutz-Grundverordnung (DSGVO) angewendet werden – und im Idealfall werden Unternehmer den Anforderungen bereits völlig gerecht. Wie Sie jetzt prüfen können, ob Sie schon auf dem richtigen Weg sind bzw. wie Sie den Umsetzungsprozess beschleunigen können, sehen Sie hier:

Microsoft Deutschland GmbHWalter-Gropius-Straße 580807 MünchenDeutschland

© 2018 Microsoft Corporation. Alle Rechte vorbehalten.

„Keine Panik, aber bitte auch kein Zurücklehnen! Die DSGVO-Umsetzung ist eine Herausforderung, die von Unternehmen jeder Größenordnung unter Einsatz adäquater Ressourcen gut bewältigt werden kann.“

Janina Thieme, Datenschutzexpertin und Rechtsanwältin, PRW Rechtsanwälte

„Wenn technische Unsicherheiten Sie an der Umsetzung der DSGVO hindern, fragen Sie einen DSGVO-versierten IT-Partner an, der Ihnen eine Lösung gezielt auf Ihre Unternehmensanforderungen maßschneidert.“

Frank Maenz, Digital Advisor Mittelstand bei Microsoft Deutschland

Haben Sie Ihre Datenverarbeitungsprozesse bereits im Sinne der DSGVO geregelt und in Sachen DSGVO-Umsetzung schon ein gutes Gefühl? Checken Sie es über das kostenlose Assessment-Tool www.DSGVO-assessment.de1.

2.3.4.5.

Bleiben Sie informiert in den vier Bereichen der Datenschutz-Grundverordnung: Ermitteln, Verwalten, Schützen und Berichten. Einstündige Online-Videos geben Auskunft unter www.aka.ms/dsgvo-tutorials

Lernen Sie aus Erfahrungen! Wo der Mittelstand in Sachen DSGVO-Umsetzung heute steht, erfahren Sie im Live-Stream zur Veranstaltung „120 Tage DSGVO“ unter www.aka.ms/dsgvo120-webcast

Bleiben Sie am Ball: Alle wichtigen Informationen rund um die DSGVO finden Sie im Microsoft Portal unter www.aka.ms/dsgvo-portal

Nutzen Sie aktuelle Infos unserer monatlicher KMU-Newsletter – Anmeldung unter https://www.microsoft.com/de-de/newsletter