Wie bereits im ersten Teil unserer Compliance & Governance Blogserie beschrieben, lässt sich der Weg eines Unternehmens zu Microsoft 365 nicht auf Knopfdruck realisieren. Denn neben anderen Baustellen gibt es eine ganze Reihe an komplexen Compliance- und Governance-Anforderungen, die es zu berücksichtigen gibt. Aber keine Sorge: Wenn man weiß, worauf zu achten ist, dann entsteht ein konkreter Plan nach einer guten Analyse, der strukturiert abgearbeitet werden kann.

Um auf der sicheren Seite zu sein, müssen Unternehmen beim Aufbau ihrer Microsoft-365-Strategie sechs zentrale Aspekte im Auge haben:

• Exit-Strategie
• regulatorische Vorschriften
• nationale und internationale Gesetze
• Aufbewahrungs- und Löschfristen
• eigene Unternehmensrichtlinien
• Informationsbarrieren

Kommando zurück?

Auch wenn es zunächst einmal komisch klingt: Bevor ein Unternehmen seine Produktivitätssysteme Richtung Office 365 migriert, sollte es zunächst einmal darüber nachdenken, wie es diesen Schritt auch wieder rückgängig machen kann.

Diese Exit-Strategie ist deshalb von großer Bedeutung, weil es beispielsweise aufgrund geänderter nationaler Gesetzgebungen, neuer Branchenregularien oder neuer Unternehmensmaximen notwendig sein kann, Microsoft Office inklusive aller Daten wieder im eigenen Rechenzentrum oder in einer Private Cloud zu betreiben. Damit dies schnell und ohne allzu große Kosten möglich ist, gibt es verschiedene Fallstricke, die es zu umgehen gilt.

Beispiel: Outlook. In herkömmlichen Umgebungen hat jeder Benutzer oftmals nur reduzierten Speicherplatz, beispielsweise 1 GB, für die Mailbox zur Verfügung. In Office 365 stehen jedem Benutzer in der Regel 100 GB zur Verfügung – und wenn nach fünf Jahren mit einem Mal Postfächer mit einem Durchschnittsvolumen von 50 GB zurückmigriert werden müssen, gibt es einen Engpass, der weder schnell noch unaufwendig bewältigt werden kann. Insofern sind Maßnahmen zu treffen, die das massive Anwachsen von Daten verhindern.

Hinzu kommt: Wer in die Cloud geht, baut selbstverständlich Rechenzentrumsinfrastruktur ab – und muss dennoch von vornherein wissen, welche Kapazitäten er nutzen wollen wird, wenn es wieder zurück ins eigene oder gemietete Data Center geht. Dabei ist auch zu berücksichtigen, dass man mit einem solchen Schritt möglicherweise nicht allein dasteht: Geschieht die Rückabwicklung aufgrund neuer Branchenvorschriften, benötigen mit einem Mal unzählige Unternehmen gleichzeitig neue Hardware, Personal und IT-Services. Damit drohen Engpässe bei Material und Dienstleistungen.

Und nicht zuletzt braucht das Unternehmen Verträge, die einen Ausstieg aus Microsoft 365 unter klar definierten Voraussetzungen und zu passablen Konditionen ermöglichen. Auch darauf ist zu achten, bevor die Unterschrift unter dem Microsoft-365-Deal steht.

Eigene Branche, eigene Regeln

Die richtige Exit-Strategie liegt im ureigenen Interesse jedes Unternehmens – sie ist aber häufig auch Teil regulatorischer Branchenvorschriften, etwa in der Finanzindustrie. Wer mit Versicherungen oder Bankgeschäften zu tun hat, für den existieren grundsätzlich sehr genaue Vorschriften fürs Outsourcing. Je nachdem, ob es sich um Kernfunktionalitäten, wichtige Funktionalitäten oder unwichtige Funktionalitäten handelt, gibt es eigene Risikobewertungen und daraus abgeleitete Rahmenbedingungen fürs Outsourcing. So können bestimmte regulatorische Anforderungen etwa nur erfüllt werden, wenn man am Microsoft Cloud Financial Service Program teilnimmt. Im Rahmen dieses und anderer Programme stellt Microsoft seinen Kunden spezielle auf die Finanzregulatorik abgestimmte Vertragsbedingungen zur Verfügung. Die Teilnahme an manchen solcher Programme kann kostenpflichtig sein.

Gesetzestreu – und zwar überall

Selbstverständlich muss jedes Unternehmen dafür Sorge tragen, dass es mit seinem Microsoft-365-Ansatz der relevanten nationalen Gesetzgebung genügt. Ein wichtiger Aspekt in diesem Zusammenhang sind etwa Vorgaben zum Speicherstandort der Daten. Die Daten von Schweizer Unternehmen müssen beispielsweise physisch in der Schweiz gespeichert sein (weshalb Microsoft dort eigens Rechenzentren aufgebaut hat). In China gibt es ebenfalls Vorschriften, die das Speichern bestimmter Daten außerhalb Chinas verbieten. Die Herausforderung für global tätige Unternehmen liegt nun darin, die – einander mitunter widersprechenden – Vorschriften miteinander in Einklang zu bringen. Und zwar ohne Kostenexplosion – denn nach Möglichkeit sollte ein Unternehmen mit einem zentralen Microsoft 365 Tenant arbeiten und nicht verschiedene Instanzen parallel betreiben, was einen hohen Administrationsaufwand mit sich bringt und Kollaboration sowie Informationsdurchgängigkeit im Unternehmen behindert.

Was muss bleiben, was muss weg?

Regulatorik und Gesetze, aber auch eigene Unternehmensregeln spielen zusammen, wenn es um die Frage nach dem Aufbewahren und Löschen von Daten geht. Bestimmte Vorschriften regeln, welche Dokumente Unternehmen wie lange und in welcher Form archivieren und für die Prüfung, etwa durch Steuerbehörden, vorhalten müssen. Gleichzeitig gibt es z. B. mit der Datenschutz-Grundverordnung klare Vorgaben, wann welche Daten zu löschen sind. Daten aufzubewahren, bei denen die Aufbewahrungspflicht schon erloschen ist, kann Unternehmen einem erhöhten Prozesskostenrisiko aussetzen. All diese Vorgaben und Regelungen sind miteinander in Einklang zu bringen und in Microsoft 365 zu implementieren, um die Prozesse zu automatisieren und sicherzustellen, dass erhalten bleibt, was vorhanden sein muss – und alles andere rechtzeitig gelöscht wird.

Unternehmensregeln

Die Rahmenbedingungen für Microsoft-365-Outsourcing werden nicht allein von außen bestimmt, sondern sie folgen auch den gültigen internen Unternehmensrichtlinien. Die orientieren sich zum einen an den geltenden Branchenvorschriften und nationalen und internationalen Gesetzen. Zum anderen gibt es eigene Regeln, die sich das Unternehmens selbst im Laufe der Jahre auferlegt hat. Dabei kann es um die Frage gehen, wie es mit besonders wertvollen Daten, oftmals den Kronjuwelen eines Unternehmens, beziehungsweise mit brisanten Daten umzugehen hat, ob diese beispielsweise zusätzlich verschlüsselt werden müssen, um sich gegen möglichen Datendiebstahl abzusichern oder um dafür zu sorgen, dass weder Microsoft noch irgendwelche Behörden ohne Zustimmung des Unternehmens Zugriff darauf erlangen können.

Kontrollierter Informationsaustausch

Sogenannte Informationsbarrieren sind beispielsweise in der Finanzbranche vorgeschrieben. Aber auch Industrieunternehmen können davon betroffen sein, wenn sie bestimme Informationen zum Beispiel aus Forschung und Entwicklung besonders schützen wollen. Bei diesem Aspekt geht es darum, festzulegen, wo und in welcher Form im Unternehmen Kommunikation stattfinden darf und wo nicht. Wem ist es gestattet, über Teams mit welchen Kollegen zu chatten und zu telefonieren, welche Gruppen dürfen Dokumente austauschen und welche nicht, etc.? Dies ist ein Spezialfall, der in der Regel nicht viele Mitarbeiter betrifft, dessen Einhaltung angesichts von Finanzaufsicht oder dem Schutz von geistigem Eigentum jedoch von größter Bedeutung sein kann.

Compliance: Erfahrung zahlt sich aus

Es bleibt dabei: Compliance ist das Thema rund um Microsoft 365, bei dem es vor allem darum geht, Stolpersteine zu beseitigen, und bei dem es wenig zu ernten gibt. Umso wichtiger ist es, dieses Themenfeld ohne Umschweife und mit klarer Marschroute anzugehen. Zum Glück muss nicht jedes Unternehmen diese Marschroute selbst ausarbeiten und abwandern. Es gibt viele erprobte Vorlagen, mit denen wir unsere Kunden über diesen steinigen Pfad führen. Und unterm Strich ist das Maß an Freiheit und Kollaboration, das Microsoft 365 einem Unternehmen am Ende liefert, wie etwa in der COVID-19-Krise, den Aufwand allemal wert.

Mehr dazu lesen Sie in diesen Artikeln der Compliance & Governance-Serie:

• Compliance & Governance für Microsoft 365 (Teil 1): Das Avanade Compliance Radar
• Compliance & Governance für Microsoft 365 (Teil 2): Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
• Compliance & Governance für Microsoft 365 (Teil 3): Datenzugriff und Kommunikation
• Compliance & Governance für Microsoft 365 (Teil 4): Data Operations und -Management