Security & Compliance in Dynamics 365: DSGVO, GoBD, ISO und weitere Vorgaben

Microsoft Dynamics ist für seine Kombination aus CRM und ERP bekannt. Dabei lebt das Programm von der Verarbeitung von Daten – meist Kundenangaben, Finanzinformationen oder andere wichtige Daten. Die Themen Datenschutz und Security sind daher essenziell. Dynamics 365 DSGVO-konform zu betreiben ist also ein Muss für Sie als Unternehmer.  

Dynamics 365 Datenschutz bezieht sich aber nicht nur auf die DVSGO. Auch andere Compliance – und Sicherheitsanforderungen sind in Deutschland und der EU wichtig, beispielsweise die GoBD, ISO 27001 oder andere branchenspezifische Vorgaben. Mit diesem Artikel führen wir Sie durch den Dschungel der verschiedenen Anforderungen.  

Dynamics 365: DSGVO, Compliance und Sicherheit – das ist wichtig

Dynamics kann Sie bei der Einhaltung wichtiger Vorgaben und Verordnungen unterstützen. Bevor wir aber hier tiefer eintauchen, müssen wir zunächst grundlegend erklären, wie Security und Compliance und Microsoft Dynamics 365 ineinandergreifen. Im Anschluss steigen wir noch tiefer in die einzelnen Verordnungen ein.

Data Residency und EU-Rechenzentren

Die immerwährende Frage: Wo werden Daten gespeichert? Als Unternehmen innerhalb der EU sind Sie verpflichtet, personenbezogene Daten besonders sensibel zu behandeln. Diese dürfen nur unter strengen Bedingungen in Drittstaaten übertragen werden. Microsoft hat daher Rechenzentren in der EU.

Microsoft stellt mit dem Konzept der EU Date Boundary for the Microsoft Cloud ebenfalls sicher, dass sensible Daten von Menschen aus der EU auch in der EU verbleiben. Ebenso werden diese auch nur dort gespeichert und verarbeitet. Das ist ein wichtiger Teil der Compliance der Microsoft Cloud und dem Zusammenwirken von Dynamics 365 und DSGVO.  

Rollen und Berechtigungen

Rollen und Berechtigungen sind wichtige Grundpfeiler zur Gewährleistung digitaler Sicherheit. Dynamics 365 verfügt über eine Rollen – und Berechtigungsstruktur, in der verschiedene Zugriffsrechte und Funktionen mittels Security Roles gesteuert werden können. Massgebend sind hier Prinzipien wie «Least Privilege» und «Need-to-know».

Administratoren sorgen dafür, dass Rollen individuell angepasst und bestimmte Aktionen wie «Lesen», «Erstellen», «Löschen» oder «exportieren» kontrolliert werden. Konkret: nur bestimmte User können manche Aktionen ausführen. Diese Rollen in Dynamics 365 sorgen für die Einhaltung von regulatorischen Vorgaben, die klare Verantwortlichkeiten verlangen.  

Audit-Trails und Nachvollziehbarkeit

Ein wichtiger Aspekt des Dynamics 365 Datenschutz ist die Nachvollziehbarkeit von Aktivitäten und Datenveränderungen. Dynamics bietet hier die Audit-Funktion, die die Protokollierung von wichtigen Aktivitäten zur Aufgabe hat. Beispielsweise:

• Datenveränderungen  

• Benutzeraktivitäten

• Systemereignisse

Diese Audit-Trails (deutsch: Prüfpfade) lassen sich auch entsprechend filtern und exportieren. Für entsprechende Prüfzwecke durch Behörden wie z.B. das Finanzamt ist das essenziell. Die entsprechenden Dateien können jahrelang aufbewahrt werden, wenn dies in Dynamics so definiert wurde.  

Verschlüsselung und Multi-Faktor-Authentifizierung (MFA)

Dynamics bietet aber auch noch andere Ebenen der Datensicherheit. Beispielsweise erfolgt die Datenverschlüsselung sowohl im Ruhezustand als auch während der Übertragung mittels AES-256 und TLS 1.2+. Hierbei handelt es sich um einen Verschlüsselungsstandard bzw. ein Protokoll zur sicheren Datenübertragung im Internet.  

Diese Verschlüsselung kann über den Azure Key Vault folgen. Außerdem ist die Multi-Faktor-Authentifizierung (MFA) über Azure Active Director Standard. Diese kann auch mit bedingtem Zugriff (Conditional Access) erweitert werden. Diese Massnahmen machen Sinn – und sind Bedingung für bestimmte Zertifizierungen wie ISO/IEC 27001.

Add-ons und Dritteanbieter

Dynamics bietet den grossen Vorteil, dass es bezüglich Drittanbieter-Apps simpel erweiterbar ist. Doch genau hier lauern Compliance Risiken. Vor dem Einsatz der Add-ons sollten Sie eine Datenschutzfolgenabschätzung (DFSA) durchführen, vor allem wenn personenbezogene Daten betroffen sind.  

Prüfen sollten Sie vor allem folgende Fragen:

• Wer verarbeitet die Daten?

• Werden Daten in andere Länder übertragen?

• Welche Auftragsverarbeiterverträge liegen vor?

Es empfiehlt sich ausserdem, die Anbieter regelmässig auf Sicherheitszertifikate und Konformitätserklärungen zu überprüfen.

Sie wissen jetzt, wie Dynamics 365 Sie bei der Einhaltung von Sicherheitsanforderungen unterstützen kann. Doch welche Verordnungen sind für Sie wichtig? Nachfolgend beleuchten wir die wichtigsten.

Dynamics 365 DSGVO: Die Datenschutz-Grundverordnung

Microsoft als Datenverarbeiter

Mit Dynamics 365 tritt Microsoft als Datenverarbeiter auf. Microsoft ist also verantwortlich für den Dynamics 365 Datenschutz. Die entsprechenden Pflichten aus der Grundversorgung erfüllt Microsoft durch bestimmte Massnahmen, technischer und organisatorischer Art. Diese sind dokumentiert im Microsoft Trust Center und im Service Trust Portal.  

Klassifizierung und Anonymisierung von Daten

Das Herzstück von Dynamics 365 in Bezug auf Datenschutz ist das Microsoft Compliance Center. Hier können personenbezogene Daten als sensitiv markiert und geschützt werden. Unternehmen können hier ebenfalls über entsprechende Tools ihre eigenen Anforderungen an Datenschutz und Compliance verwalten. Beispielsweise werden personenbezogene Daten pseudonymisiert und anonymisiert.  

Wahrung der Rechte von Betroffenen

Dynamics 365 DSGVO-konform zu nutzen bedeutet auch, die Rechte von betroffenen Personen zu wahren und sicherzustellen. Via CRM-Portal können Menschen Anfragen bezüglich ihrer Daten stellen im Hinblick auf Auskünfte, Berichtigungen, Löschen oder Datenübertragung. Anhand des CRM werden diese Anfragen dokumentiert.  

Regelmässiges Auditing und Monitoring

Ein weiteres Kernstück von Dynamics 365 und DSGVO: Monitoring und Auditing. Dynamics dokumentiert relevante Vorgänge: Änderungen an Datensätzen, Benutzeraktivitäten, Berechtigungsänderungen, Löschungen oder Exporte. Mit Microsoft Purview und Sentinel ist ausserdem Echtzeit-Monitoring möglich mit Alarm bei unüblichen Vorgängen.

Compliance Manager

Das eben angesprochene Microsoft Purview fungiert als Compliance Manager. Damit können Sie in Ihrem Unternehmen die DSGVO-Compliance im Auge behalten. Mit verschiedenen Tools wie Assessments, Massnahmenlisten, Berichten und Dokumentation sorgt Purview dafür, dass Dynamics 365 und DSGVO Hand in Hand gehen.

Dynamics 365 Datenschutz – die GoBD

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern – kurz GoBD – erfordert von Unternehmen eine nachvollziehbare, vollständige und unveränderbare Dokumentation von Geschäftsvorfällen. Ausserdem sollen digitale Unterlagen bis zu zehn Jahren revisionssicher gespeichert werden.

Grundsätzlich ist ein internes Kontrollsystem (IKS) das Herzstück, um GoBD-konform arbeiten zu können. So ein System gibt klare Regeln und Richtlinien vor, regelt Verantwortlichkeiten und definiert Kontrollmechanismen, um gesetzliche Vorgaben zu erfüllen. Manipulation und Missbrauch von Daten wird so vorgebeugt.

Während das «IKS» die grundsätzlichen Vorgaben regelt, ist Dynamics 365 das Werkzeug, diese zu erfüllen. Dynamics 365 Finance & Supply Chain Management supportet automatische Buchhaltungs-Workflows. Diese garantieren eine lückenlose Verfolgung aller Belege, sowie eine Archivierung von z.B. Rechnungen. Alles GoBD-konform!

Weitere Unterstützungsmöglichkeiten durch Dynamics 365:

• Rollenbasierte Sicherheitsmodelle

• Funktionstrennung

• Elektronische Belegablage

• Archivierungs – und Exportfunktionen

Dynamics 365 – Zertifizierungen nach ISO 27001

Bei der ISO/IEC 27001-Norm handelt es sich um einen international anerkannten Standard für Informationssicherheits-Managementsysteme (ISMS). Microsoft ist nach ISO/IEC 27001:2013 zertifiziert für Azure, Office 365 und Dynamics 365. Somit existiert eine dokumentierte Prozess – und Risikostruktur zum Schutz der Daten.  

Die ISO 27001-Zertifzierung deckt wichtige Aspekte wie Zugriffskontrolle, Datenverschlüsselung und Risikomanagement ab. Zusätzlich zu ISO 27001 erfüllt Microsoft auch andere Standards, beispielsweise die ISO 27018. Diese gewährleistet den Datenschutz in der Cloud. Die Compliance der Microsoft Cloud ist ebenfalls sichergestellt.  

Dynamics 365 kann also einen grossen Teil dazu beitragen, diese internationalen Standards einzuhalten, aufrechtzuerhalten und anzuwenden. Beispielsweise durch die oben erwähnten Aspekte wie rollenbasierte Zugangssysteme, Multi-Faktor-Authentifizierung und Audits-Trails.

Dynamics 365 Datenschutz – was ist mit anderen Branchen?

Neben den bereits erwähnten Vorschriften gibt es auch noch andere – branchenspezifische – Vorgaben an Sicherheit und Compliance.  

• Finanzdienstleister

Die BaFin gibt für Finanzdienstleister klare Vorgaben zu Risikomanagement, IT-Kontrollen, Zugangskontrollen oder Datenintegrität vor (z.B.: MaRisk, BAIT, VAIT). Dynamics 365 Finance kann Teil eines IKS sein, das all diese Vorgaben erfüllt. Microsoft kann ebenfalls Compliance-Berichte zur Verfügung stellen.

• Gesundheitswesen  

HIPPA ist für Unternehmen wichtig, die in den USA als Gesundheitsdienstleister agieren. Die Verordnung regelt vor allem den Umgang mit Patientendaten. Auch hier bietet Dynamics 365 mögliche Konfigurationen (mehrheitlich Verschlüsselung, Auditing und Zugriffskontrollen) an, die HIPPA-konform sind.  

• Industrie und Fertigung

In diesem Bereich liegt der Fokus meist weniger auf personenbezogenen Daten. Vielmehr stehen hier Lieferantendaten und der IP-Schutz («Intellectual Property») im Zentrum. Dynamics 365 Supply Chain & Finance kann hier unterstützen. Ihr Know-How und Ihre Produktdaten werden durch Microsoft Purview geschützt. Purview kann dabei über das Microsoft Ökosystem eng mit Dynamics 365 zusammenarbeiten.

Fazit: Dynamics 365: DSGVO, GoBD, ISO – nutzen Sie Dynamics richtig?

Dynamics 365 bietet viele Funktionen, die Sicherheit und Compliance gewährleisten können. Die Verantwortung für die Einhaltung der verschiedenen Standards liegt aber letztlich bei Ihnen als Unternehmer. Der Dynamics 365 Datenschutz und die Compliance der Microsoft Cloud sind also nicht damit erledigt, Dynamics 365 «nur» zu nutzen.

Vielmehr sollten Sie darauf achten, dass die vorhandenen Features richtig eingesetzt bzw. konfiguriert sind. Ebenso sollten Sie diese in ein eigenes ISMS integrieren, Ihre Mitarbeiter regelmässig Schulen, sowie interne und externe Audits abhalten.  

Das Thema Dynamics 365 und DSGVO bzw. andere Vorgaben bereitet Ihnen Kopfzerbrechen? Wir unterstützen Sie darin, Dynamics 365 so zu nutzen, dass alle relevanten Vorgaben abgedeckt sind. Interesse? Nehmen Sie jetzt mit uns Kontakt auf!

Checkliste: Dynamics 365: DSGVO, Compliance und Sicherheit

Sie beschäftigen sich in Ihrem Unternehmen gerade mit den Themen Datenschutz, Sicherheit und Compliance? Hier eine praktische Checkliste, wo Sie eventuell blinde Flecken haben:

• Datenspeicherung: Wo liegen die Daten? Werden sie in der EU gespeichert und weiterverarbeitet?

• Zugriffsrechte: Wer hat Zugriff auf welche Daten? Welche Rollen gibt es?  

• Überprüfung: Protokollierung aktiv? Regelmässige Audits?

• Aufbewahrung: Gibt es Richtlinien zur Speicherung und Löschung?

• DSGVO: Wie steht es mit den Rechten der Betroffenen?

• Verschlüsselung/MFA: Ist der Zugang technisch genug abgesichert?

• Add-ons: Wurde überprüft, welche Richtlinien bzgl. Datenschutz und Compliance die Drittanbieter haben?

• Zertifizierung: Ist die Lösung zertifiziert nach ISO 27001)