Die Einführung eines modernen Arbeitsplatzes verspricht zahlreiche Vorteile: Mit Office 365 legen Unternehmen den Grundstein für mehr Agilität, ermöglichen eine einfachere Zusammenarbeit und Kommunikation auch über die Unternehmensgrenzen hinweg und steigern Wirtschaftlichkeit sowie Wettbewerbsfähigkeit. Zur Freude der Mitarbeiter, die ihr mobiles Office immer dabeihaben und flexibel arbeiten können – ob mit Smartphone, Tablet oder Laptop: Datenzugriff und Kollaboration von überall auf der Welt und zu jeder Zeit. Die IT hat nur noch einen geringen Wartungsaufwand und dank Cloud entsprechen die Kosten dem tatsächlichen Bedarf. Der Aufwand für die Einführung von Office 365: Buchen eines entsprechenden MS-Pakets, Mails migrieren und schon geht‘s los? Natürlich nicht. Jeder Kunde muss prüfen, ob die Out-of-the-box-Einstellungen zum eigenen Unternehmen passen oder nicht. Dies erfordert teils sehr viel Customizing sowie eine Änderung bestehender organisatorische Prozesse und die Einführung neuer Prozesse im Hintergrund. Grundsätzlich steht bei der Einführung eines modern Workplace in Konzernen meist die technische Seite im Fokus. Wichtig ist aber auch: Die Nutzung der Software muss gesetzeskonform sein und den eigenen Unternehmensrichtlinien genügen.

Bremsklotz Compliance
Es gibt keinen einfachen Weg in die Office 365-Welt und die Cloud. Wer nur die Technik im Blick hat, der plant im besten Fall mehrfach. Im schlimmsten Fall drohen drakonische Strafen wie die berüchtigte Strafzahlung von vier Prozent des Jahresumsatzes gemäß GDPR (General Data Protection Regulation – DSGVO). Zugegeben, so weit ist es bisher noch nicht gekommen.

Der große Block Compliance wird im Office 365-Umfeld häufig stiefmütterlich behandelt. Den Entscheidern ist bewusst, dass es Compliance-Richtlinien gibt, die es einzuhalten gilt, und man macht auch … etwas. Aber eben auch nicht so richtig, weil man meist nicht weiß, was eigentlich genau zu tun ist. Ist für Compliance nicht auch später noch Zeit? Klares Nein. Denn: Diese Themen haben großen Einfluss auf die Gesamtarchitektur, beanspruchen sehr viel Zeit und Entscheidungen auf höchster Ebene. Die anschließende technische Umsetzung ist dagegen schon fast ein Klacks. Wer realistisch planen will, sollte dem Themenblock Governance und Compliance circa 20 Prozent des gesamten Modern-Workplace-Projekts einräumen.

Das Avanade Compliance Radar: Vier Bereiche im Fokus
Wir von Avanade haben vier Bereiche identifiziert, mit denen sich Unternehmen bei der Migration zu Office 365, aber auch anderen Clouddiensten auseinandersetzen müssen. Jeder dieser Bereiche enthält mehrere Pakete, die es abzuarbeiten gilt. Auf diese gehen wir konkret in der nächsten Zeit in unserer Compliance-Blogserie ein. Die vier Themenblöcke im Überblick:

• Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
  Hier geht es darum, Office 365 so zu konfigurieren, dass gesetzliche und regulatorische Vorgaben sowie die internen Unternehmensrichtlinien erfüllt werden. Als Beispiele wären hier zu nennen: GDPR, Cyber-Sicherheitsgesetz der Volksrepublik China, Kalifornisches Verbraucherschutzgesetz, US Cloud Act, Anforderungen der Bundesanstalt für Finanzdienstleistungen (BaFin) u. a., MaRisk, BAIT und VAIT, NYDFS Cybersecurity Regulation, interne Unternehmensrichtlinien und vieles mehr.
• Zugriff auf Daten und Kommunikation
  Grundsätzlich ermöglicht Office 365 einen Zugriff auf die Daten, wann und von wo der Nutzer will, und unterstützt damit moderne Arbeitsweisen. Aber auch dafür gibt es aus Compliance-Sicht wichtige Einschränkungen: Wie lassen sich Partner und Kunden einfach einbinden, ohne die Unternehmensrichtlinien zu verletzen: Stichwort B2B und B2C? Wo sind die Grenzen, und wer darf nicht auf bestimmte Daten zugreifen? Und welche Rolle spielen dabei AGBs?
• Datenverarbeitung & Management
  Die sichere Verarbeitung und der sichere Zugriff auf Daten von internen und externen Parteien erfordern ausgefeilte Governance- und Betriebsmodelle. Früher lagen Daten meist verteilt in den jeweiligen Unternehmensrechenzentren – und der Zugriff war nicht ohne Weiteres möglich. Mit Office 365 liegen die Daten heute aber zentral in der Cloud. Das verbessert und beschleunigt zwar die Kollaboration, auf der Kehrseite ist jedoch zu regeln, wer auf welche Daten zugreifen darf und wem die Daten gehören, vor allem bei internationaler Kollaboration im Unternehmen. Stichwort: Data Ownership. Wie lässt sich loggen, welche Dateien wie und von wem verändert wurden, ohne Datenschutzbestimmungen zu verletzen? Was passiert im Falle einer Klage bei einem globalen Office 365 Tenant – welche Dateien dürfen von wem durchsucht und weitergegeben werden? Wie sieht ein schlüssiges administratives Konzept für Office 365 in einem globalen Tenant mit international mehreren rechtlich eigenständigen Einheiten aus?
• Datensicherheit und -schutz
  Unternehmen sind verpflichtet, Daten zu schützen – Confidentiality, Integrity und Availability (CIA) heißt der magische Dreiklang in der Informationssicherheit. Data Resiliency ist dabei nicht nur eine Security-, sondern auch eine gesetzliche Anforderung: Unternehmen haben die Pflicht nachzuweisen, dass sie das CIA-Prinzip jederzeit gewährleisten. Aber wie funktioniert das in der Cloud? Wie den Verlust von Daten verhindern? Und wie sieht es im Fall der Fälle aus, wenn eine Wiederherstellung nötig ist? Ein klassisches Backup gibt es z. B. in Office 365 nicht, aber ist es überhaupt noch notwendig? Passen entsprechende interne vor Jahren entwickelte Richtlinien auch in das Cloudzeitalter?

Tipp: Interne Rechtsberatung nutzen
Compliance-Themen benötigen von der Planung bis zur Umsetzung meist circa sechs bis zwölf Monate. Wird dieser Block nicht rechtzeitig miteingeplant, dann hat er das Potenzial, das Migrationsprojekt deutlich zu verzögern oder zu stoppen. Deshalb unser Tipp: Zeitnah Mitarbeiter aus der Datenschutz-, Compliance- und Rechtsabteilung mit ins Boot holen. Dies hilft dabei, langfristig zu planen, Stolpersteine frühzeitig zu identifizieren und zu umgehen, lange Verzögerungen zu vermeiden – und letztendlich auf der sicheren Seite zu sein. Und übrigens: Das Thema Compliance kann durchaus innovationsfördernd wirken, etwa wenn dadurch umfassende Datenverschlüsselung eingeführt wird.

Mehr dazu lesen Sie in diesen Artikeln der Compliance & Governance-Serie:

• Compliance & Governance für Microsoft 365 (Teil 1): Das Avanade Compliance Radar
• Compliance & Governance für Microsoft 365 (Teil 2): Gesetze, regulatorische Anforderungen und Unternehmensrichtlinien
• Compliance & Governance für Microsoft 365 (Teil 3): Datenzugriff und Kommunikation
• Compliance & Governance für Microsoft 365 (Teil 4): Data Operations und -Management