Microsoft 365 (früher Office 365) MS Forms, Power Automate und SharePoint für Geschäftsprozesse anhand eines Praxis-Beispiels: Das effiziente Handling einer Datenschutz-Anfrage nach DSGVO

In diesem Blogbeitrag schlagen wir eine effiziente und benutzerfreundliche Möglichkeit vor, ein Datenschutzkontaktformular auf der Grundlage bestehender Microsoft Office 365-Lösungen zu implementieren. Das Kontaktformular ist speziell so aufgebaut, dass es die Anforderungen für eine Anfrage nach der Allgemeinen Datenschutzverordnung (DSGVO) erfüllt. Diese Lösung könnte als Referenz für ähnliche Geschäftsprozesse dienen und/oder je nach Bedarf/Spezifikationen verbessert werden. Dies ist auch eine praktische Vorstellung einiger der Möglichkeiten, die die Lösungen von Microsoft Office 365 und insbesondere die Automatisierung mit SharePoint und Microsoft Power Automate bieten.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein Sammlung von Gesetzen rund um Daten und Datenschutz, welche einheitlich in den 27 EU-Staaten (bald mit Ausnahme Großbritanniens) gilt.

Seit dem 25. Mai 2018 müssen alle Unternehmen, die mit Konsumentendaten aus der EU arbeiten, unabhängig davon, ob sie ihren Sitz in der EU haben, das Datenschutzgesetz für Bürger der Europäischen Union befolgen.

Zu den wichtigen Bestimmungen für jegliche Sammlung von Daten zählen:

1. Einwilligung: Für alle von einem Unternehmen gesammelten Kundendaten muss die explizite Einwilligung der betreffenden Person eingeholt werden. Schweigen, vorab angekreuzte Kästchen oder Inaktivität zählen nicht als Einwilligung
2. Übertragbarkeit: Kunden haben das Recht, von Unternehmen eine Übertragung ihrer personenbezogenen Daten an eine andere Stelle oder zu einem anderen Unternehmen zu fordern, und die Unternehmen müssen bereit sein, diesem Wunsch zu entsprechen, auch wenn es sich bei dem anderen Unternehmen um einen direkten Konkurrenten handelt
3. Löschung: Unternehmen müssen personenbezogene Daten löschen, sobald eine Person dies von ihnen fordert
4. Konsumenten-Profiling: Individuen können alle Aktionen/Entscheidungen, die automatisiert oder mithilfe eines Algorithmus ausgelöst wurden, anfechten, ablehnen oder eine Erklärung dazu verlangen
5. Schutz: Die DSGVO hat spezifische und strikte Datenschutzanforderungen und verfügt über wirkungsvolle Vollstreckungsmaßnahmen. Eine Datenverschlüsselung ist obligatorisch
6. Benachrichtigung bei Verstößen: Die DSGVO beinhaltet eine genaue Definition darüber, was einen Verstoß gegen den Schutz persönlicher oder privater Daten ausmacht und was Unternehmen verpflichtend tun müssen, um Nutzer zu informieren, wenn es zu einem Verstoß kommt.
7. Datenschutzbeauftragter (DSB): Alle Unternehmen, die personenbezogene Daten in großem Umfang speichern oder verarbeiten, müssen einen Datenschutzbeauftragten (DSB) anstellen/ ernennen, der die Datensicherheit und Befolgung der DSGVO beaufsichtigt

Als Folge der DSGVO-Bestimmungen muss jedes Unternehmen eine Plattform bieten, auf der Personen Informationen über Zugang und Speicherung der Daten erhalten können. Typische Anwendungsfälle wären die Nachfrage nach Aufklärung für die Daten-Einwilligung, der Wunsch nach Übertragung oder Löschung von Daten oder eine Kontaktanfrage an den Datenschutzbeauftragten.

Anfrageprozess

Die vorgeschlagene Lösung nutzt verschiedene Softwarelösungen aus Office 365:

Der Anfrageprozess wird mittels zweier Flows automatisiert: ein Anfrage- und ein Antwort-Power Automate Flow. Alle Daten werden unter Ausnutzung der SharePoint-Datenbanken in einer Datenschutzliste sowie in einer Bibliothek für Anhangsdokumente gespeichert. Im Folgenden finden Sie einen Überblick über den Anfrageprozess:

Herausforderungen

1. Artikel-Anhänge vs. Dokumentensammlung

Typischerweise möchte man bei einer Datenschutzanfrage mehrere Dokumente mit der Antwort versenden. Die Antwort-Automation ist daher so konfiguriert, dass alle erforderlichen Dokumente automatisch als E-Mail-Anhänge versandt werden.

Für diese Lösung haben wir zwei verschiedene Ansätze für die Verwaltung von Anhängen untersucht:

2. Dokumenten-Sets vs. Ordner

Eine effiziente Organisation der Anhänge in einer Dokumentenbibliothek und das Erreichen eines möglichst einfachen Zugangs sind wichtig. Zu diesem Zweck schlagen wir zwei Ansätze vor – Dokumentensätze und Ordner:

3. Moderne & markierte Benachrichtigungen

Bei der Anfrage und Antwort Automation versenden wir automatisch entsprechende E-Mails. Wir haben uns für die Power Automate Aktion „Eine E-Mail senden (V2)“ in Kombination mit HTML-Vorlagen entschieden.

Die Erstellung von HTML-Vorlagen erfordert bestimmte Richtlinien:

• Einspaltiges Layout
• HTML5-Tabellen für plattformübergreifende Kompatibilität
• Verwendung von Inline-CSS und Vermeidung von Steno-Deklarationen
• Zeichenkodierung für Sonderzeichen
• Base64-kodierte Bilder einbetteten.
• Achten auf die Größenbeschränkungen der Aktion/E-Mail
• Verwendung von Platzhaltern für die Zuordnung von dynamischen Inhalten
• Verwenden von E-Mail-Editors

Realisierung

Wir wollen den oben erwähnten DSVGO-Anfrageprozess mit einem schrittweisen Umsetzungsprozess aufbauen. Vorkenntnisse über die Office 365 Power Automate-Schnittstelle und die Grundlagen der SharePoint-Rest-API setzen wir voraus.

Zunächst finden Sie im Folgenden das vollständige Power Automate-Diagramm der Datenschutzanforderungs-Pipeline:

Erstellung des Antwort- & Trigger Request-Workflows

Der erste Schritt ist die Einreichung eines Datenschutzformulars. Dieses Formular wird mithilfe der standardmäßig verfügbaren Funktionen von MS-Forms erstellt. Es ist ein anonymes Formular, auf das jeder, der den entsprechenden Link hat, antworten kann. Das Formular kann mithilfe einer eingebetteten URL zu jeder Webseite hinzugefügt werden.

Der Anfragende muss seinen Vor- und Nachnamen, Adresse, E-Mail, rechtliche Eigenschaft und Zustimmung zum Datenschutz eingeben.

Die Auslösung des Request-Workflows erfolgt über die Funktion “Wenn eine neue Antwort gesendet wird” von MS Forms:

Request-Workflow

Hier eine Übersicht des kompletten Request-Workflows:

Der Workflow wird ausgelöst, wenn eine neue Datenschutzanfrage eingereicht wird. Danach wird eine Planeraufgabe für den Antrag angelegt, woraufhin ein neues Document-Set für die Ablage von Anhängen angelegt wird. Wie bereits erwähnt, wird die Erstellung eines Document-Sets von Power Automate nicht nativ unterstützt, weshalb wir einen REST-Aufruf verwenden. Als nächstes erstellen wir ein neues Listenelement für die Anfrage. Es wird ein klickbarer Link zum Document-Set als Metada hinzugefügt. Danach wird eine Benachrichtigungs-E-Mail an die gemeinsame Mailbox des Teams der Datenschutzbeauftragten geschickt. Eine Bestätigungs-E-Mail wird ebenfalls an den Antragsteller geschickt. Nachfolgend ein Beispiel, wobei wir eine HTML5-E-Mail-Vorlage mit Tabellenlayout und Inline-Styles verwendet haben. Es wurden Base64 eingebettete Bilder verwendet.

Ein Document-Set erstellen

Um ein neues Document-Set zu erstellen, verwenden wir die “Send an HTTP Request to SharePoint”-Aktion von Power Automate:

In diesem Beispiel ist die Site-Adresse die URL der Site Collection, die die Data Protection Attachments Document Library enthält. Die URL lautet:

 “/_vti_bin/listdata.svc/DataProtectionInquiriesLibrary”

wobei „DataProtectionInquiriesLibrary“ der Name der Data Protection Attachments Document Library ist. Die Kopfzeilen enthalten ein „Accept“-Tag mit Wert:

 “application/json;odata=verbose”

und einem „Slug“-Tag, der den Link des neuen Document-Sets (der Name steht im Link) und einen Verweis auf den Content-Type des Document-Sets enthält:

 “0x0120D520007624D7206F54B042A3E8453C58243284”

• Tipp: Um die Content-Type ID zu erhalten, gehen Sie zu den Library Settings, klicken auf den Document-Set Content-Type im “Content Types”-Bereich und suchen den Wert des ctype-Parameters in der URL-Leiste des Browsers. (ctype=0x0120D520007624D7206F54B042A3E8453C58243284).

Planner-Aufgabe erstellen

Die Planner-Aufgabe für die Anfrage wird auf folgende Weise erstellt:

Die Planner-ID erhaltet man, indem man einen neuen Planner-Plan anlegt, den Plan öffnet und die Planner-ID aus der oberen URL-Leiste des Browsers ausliest.

Listenelement hinzufügen

Um einen Listenpunkt zu erstellen, nutzen wir die “Create item”-Funktion:

Wir möchten auch einen Link zur Dokumentbibliothek hinzufügen. Das Hinzufügen benutzerdefinierter Links in Power Automate erfordert einen anderen Ansatz als das einfache Hinzufügen dynamischer Inhalte zur Aktion „Element erstellen“. Tatsächlich besteht beim Erstellen unterschiedlicher Workflows eine hohe Wahrscheinlichkeit, dass man ein Link-Metadatenfeld mit einer benutzerdefinierten URL ausfüllen muss, die eine Beschreibung enthält. Die bevorzugte Methode, dies zu tun, ist die Nutzung der SharePoint-Rest-API.

Daher verwenden wir eine „Element erstellen“-Aktion in Verbindung mit einer HTTP-Post-Anforderung, siehe unten:

In der HTTP-Anforderung ist die Site-Adresse die URL der Site Collection, die die Liste der Datenschutzanfragen enthält. Die URL lautet:

_api/web/lists/GetByTitle('Data Protection Inquiries')/items(@{body('Create_item')?['ID']})

wobei „Data Protection Inquiries“ der Name der Liste der Datenschutzanfragen ist. Die Überschriften enthalten die folgenden Tags:

accept: application/json;odata=verbose
content-type: application/json;odata=verbose
IF-Übereinstimmung: *
X-HTTP-Verfahren: MERGE

Der Hauptteil des Antrags ist:

{"__Metadaten":{"Typ": "SP.Data.DataProtectionInquiriesListItem"}, "DocumentSetLink": { 'Beschreibung': 'Titel', 'Url': 'Link zum Element' } }

wobei ‚Titel‘ in diesem Fall der Name des Document-Sets für Anhänge ist und ‚Link zum Element‘ einen Hyperlink für das Ziel-Document-Set enthält. Sowohl ‚Titel‘ als auch ‚Link zum Artikel‘ sind dynamische Inhaltseigenschaften.

• Tipp: Stellen Sie sicher, dass Sie den richtigen Metadatentyp für den REST aufrufen verwenden. Um dies zu überprüfen, können Sie „https://tenant.sharepoint.com/sites/mySite/mySiteCollection/_api/web/lists/GetByTitle(‚MyList‘)“ in Internet Explorer (für geparste Xml-Ergebnisse) oder in Ihrem bevorzugten Browser eingeben und nach Metadaten suchen (geben Sie STRG+F und „__metadata“ ein).

Benachrichtigungs-E- Email

Im Anfrage-Automation werden zwei E-Mails verschickt: Eine Bestätigungs-E-Mail zum Anfragesteller und eine Benachrichtigungs-E-Mail zum Datenschutzbeauftragten. Beide E-Mails werden über die Send Email V2-Aktion versandt. Die Bestätigungs-E-Mail basiert auf einer angepassten HTML-Vorlage:

Hier eine Vorschau der Bestätigungs-E-Mail:

Um eine HTML-Vorlage zu erstellen, kann man zum Beispiel von Outlook-E-Mail-Vorlagen starten und eine professionelle E-Mail an Intranet-Benutzer senden. Dies kann direkt von Outlook aus erfolgen, indem man die Vorlage anpasst und als HTML speichert. Bitte vergessen Sie nicht, die erforderlichen Platzhalter für das spätere Einfügen des dynamischen Inhalts von Power Automate hinzuzufügen. Es ist ratsam, diese Vorlagen ganz nach Ihren Anforderungen anzupassen und mit der CI Ihrer Firma oder Organisation zu versehen.

• Tipp: Bei HTML5-E-Mail-Vorlagen ist es immer ratsam, die Zeichen- und Größenlimitierungen zu beachten. Das Maximum für die Sprachenvorlage liegt für die MS Power Automate “Send an Email (V2)”-Funktion bei 131.072.

Antwort-Workflow

Hier eine Übersicht des kompletten Antwort-Workflows:

Der Workflow wird für ein ausgewähltes Element manuell ausgelöst. Zuerst aktualisieren wir den Status des ausgewählten Objekts auf „abgeschlossen“. Hier definieren wir ein Array zur Speicherung der erforderlichen Anhänge. Weiter unten finden Sie drei Aktionen, die auf die Planeraufgaben abzielen: Aktualisieren einer Aufgabe, Erstellen einer Aufgabe und Aktualisieren der Aufgabendetails. Die Anfrage-Planeraufgabe wird als abgeschlossen markiert und eine Antwortaufgabe wird hinzugefügt. Die Antwortaufgabe ist dazu da, die Aufbewahrungsrichtlinien einzuhalten. Danach holen wir das Ziel-Document-Set ab und stellen den Pfad für die Anhänge zusammen. Dann holen wir den Inhalt aller Anhänge unter dem Document-Set ab.

Im Folgenden erhalten wir den Inhalt aller Anhänge des aktuellen Listenelements:

Es folgt ein Überblick über die Schritte, die erforderlich sind, um die gewünschten Dokumente aus dem Document-Set herauszubekommen:

Falls das Listenelement Anhänge enthält, dann werden diese besorgt und für jedes Dokument der relevante Inhalt zum Array „Attachments“ hinzugefügt. Dies deckt beide zuvor besprochenen Optionen für das Hinzufügen von Anhängen ab.

Schließlich wird eine Antwort-E-Mail auch als Kopie im CC an die gemeinsame Admin-Mailbox versandt.

Ordnung von Anhängen

Im Antwort-Workflow wird ein Anhänge-Array definiert, um alle E-Mail-Anhänge aus dem Document-Set sowie das Listenelement zu gruppieren. Dieser Ansatz ist nützlich, da wir sowohl mehrere Quellen für Anhänge als auch mehrere Dokumente haben und es daher ziemlich ineffizient wäre, jeden Anhang einzeln der E-Mail-Sendeaktion hinzufügen zu müssen.

Das Hinzufügen eines Arrays als Anhang zur MS Power Automate-Aktion „Send an Email (V2)“ erfolgt durch Klicken auf das Symbol „Switch to Detail Input for Array Item“ im Abschnitt „Advanced Options“ und Hinzufügen der Array-Variablen „Attachments“ als dynamischer Inhalt:

Dieser Ansatz ist ebenfalls nützlich, wenn ein Workflow den Versand mehrerer E-Mail mit denselben Anhängen erforderlich macht.

Outlook und weitere Verbesserungen

In diesem Blog entwickelten und realisierten wir einen automatisierten Datenschutzanfrage-Prozess mithilfe von Office 365. Die Kernfunktionalitäten dieses Prozesses sind automatische E-Mail-Benachrichtigungen und die Verwaltung von Anhängen.

Doch es gibt weitere Möglichkeiten für Verbesserungen und Erweiterungen der aktuellen Lösung. Dazu zählen:

• Unteraufgaben an unterschiedliche Teams aufteilen & delegieren
  
• Prozesserweiterungen zum Support der Fertigstellung mehrerer Unteraufgaben
  
• Berechtigungsverwaltung für verschiedene Assets-Ordner (z.B. personalisierte Daten, Löschung)
  
• Automatisierte Berichtserstellung durch APIs (z.B. Abfrage personalisierter Daten aus dem Active Directory)
  
• Angebot eines Portaleingangs für Anfragestellende für Zugang zu den Daten (anstatt eine E-Mail zu senden)

Was halten Sie von dieser Lösung? Was finden Sie toll und was fehlt Ihnen am meisten? Schreiben Sie es mir gerne in einem Kommentar! Und lassen Sie es mich wissen, wenn Sie diesen Text hilfreich fanden und künftig gerne vergleichbare Artikel lesen würden.

Vielen Dank fürs Lesen. Wir freuen uns sehr über Ihre Aufmerksamkeit!