+200 begeisterte Kunden

M365 Security Case Study: ARD ZDF Beitragsservice - Externe Zusammenarbeit ohne DSGVO-Risiko – Microsoft 365 richtig gehärtet

Die öffentlich-rechtliche Organisation mit hohem Reputationsanspruch wollte sicherstellen, dass externe Kollaboration in Microsoft Teams nicht zum Datenschutz-Risiko wird. Das Ergebnis: Ein belastbares, auditfähiges Sicherheitskonzept.

Microsoft Official Most Valued Professional - MVP - 2025

+45 % Secure Score Verbesserung

Klare Gastzugriffsrichtlinien statt Wildwuchs

Nachweisbare DSGVO-Konformität im Audit

Beim ARD ZDF Beitragsservice stand die sichere Zusammenarbeit mit externen Partnern im Mittelpunkt. Die Organisation nutzte Microsoft 365 bereits umfangreich, jedoch hatte sich über die Jahre eine heterogene Struktur entwickelt, die potenzielle Sicherheits- und Datenschutzrisiken barg – insbesondere im Bereich der externen Kollaboration über Microsoft Teams. Ziel war es, ein datensparsames und DSGVO-konformes Modell zu etablieren, das die Zusammenarbeit erleichtert, ohne die Compliance zu gefährden.

Der ARD ZDF Beitragsservice hatte bereits in der Vergangenheit einen IT-Dienstleister beauftragt, um seinen Microsoft 365-Tenant zu härten. Dennoch bestand der Wunsch, einen tiefergehenden Blick auf die bestehende Konfiguration zu werfen und weitere potenzielle Schwachstellen zu identifizieren.

Im Rahmen des Microsoft 365 Security Checks wurde die gesamte Umgebung einer detaillierten Analyse unterzogen. Dabei erfolgte eine umfassende Prüfung der Konfigurationen in Entra ID, SharePoint Online, OneDrive, Microsoft Teams, als auch dem Defender XDR.

Anschließend wurden die identifizierten Risiken bewertet, priorisiert und mit einem konkreten Maßnahmenplan adressiert. Besonderes Augenmerk lag auf der Umsetzung datenschutzfreundlicher Gastzugriffsrichtlinien, der Härtung der Identitätsverwaltung und der Einführung klarer Governance-Strukturen.

Durch die konsequente Umsetzung der Empfehlungen konnte ein sicheres und skalierbares Modell zur Verwaltung von Benutzern und Gästen etabliert werden, das den hohen Anforderungen des Datenschutzes gerecht wird.

Gleichzeitig wurde die DSGVO-Konformität der gesamten Umgebung überprüft und durch technische wie organisatorische Maßnahmen sichergestellt. Neben der technischen Optimierung profitierte die Organisation auch strategisch: Der Security-Check bildete die Grundlage für eine dauerhaft verankerte Sicherheitsstrategie und wurde vom CxO-Board als zentrales Governance-Element in die Roadmap aufgenommen.

Damit die nachweisbare Einhaltung der DSGVO-Richtlinien erreicht – ein entscheidender Mehrwert für eine öffentlich-rechtliche Institution mit hohem Reputationsanspruch.

Über das Projekt:

Öffentlich-rechtliche Organisation mit rund 1.500 Microsoft-365-E3-Nutzern. Ziel war es, eine sichere, DSGVO-konforme und datensparsame Zusammenarbeit mit externen Partnern über die verschiedenen Microsoft 365 Services zu ermöglichen, ohne die interne Produktivität einzuschränken.

Meine Methode

Ganzheitlicher Microsoft 365 Security Check auf Basis des „Discover – Prioritize – Harden – Enable“-Frameworks.
Vollständige Analyse der bestehenden Microsoft-365-Konfiguration (Entra ID, Teams, SharePoint Online, OneDrive, Defender XDR).
Bewertung der Datenschutz- und Zugriffskonfigurationen im Hinblick auf DSGVO- und BDSG-Vorgaben.
Entwicklung datensparsamer Gastzugriffsrichtlinien und Anpassung der Identity-Governance-Strukturen.
Schulung von IT-Verantwortlichen und Product Ownern zur selbstständigen Weiterführung der Sicherheitsmaßnahmen.
Abschluss mit CxO-tauglichem Bericht inkl. Roadmap und Risiko-Priorisierung.

Ergebnis

Outcome geliefert:

Einführung eines skalierbaren und DSGVO-konformen Modells zur Verwaltung des Microsoft 365 Tenants.
Klare Governance-Strukturen für externe Zusammenarbeit etabliert.
IT- und PO-Teams eigenständig befähigt, Sicherheitsrichtlinien weiterzuentwickeln.
Sicherheits- und Datenschutzkonzept durch Geschäftsführung freigegeben.

Nachhaltig geschaffener Mehrwert:

Nachweisbare Einhaltung der DSGVO-Anforderungen.
Reduzierte Risiken durch Fehlfreigaben und Datenabfluss.
Nachhaltige Verankerung von Datenschutz-Governance im laufenden Betrieb.
Positive Bewertung im internen Datenschutz-Audit.

Wirkungsnachweis in Zahlen:

↓ Zahl überprivilegierter Gast-Accounts.
↑ Compliance-Score (DSGVO-Konfiguration, SharePoint/Teams Policies).
↑ Secure Score + 45% nach Abschluss, mit einem gesamten Wert von über 85%.

Meine Arbeitsweise

Wissenstransfer statt Abhängigkeit: Wir implementieren nicht nur Lösungen, sondern befähigen Ihr Team, sie zu verstehen und weiterzuentwickeln – damit Sie nach Projektende eigenständig und souverän agieren können.
Praxiserprobte Expertise, die Zeit spart: Keine theoretischen Konzepte, sondern in Enterprise-Umgebungen bewährte Lösungen – damit Ihr Team nicht durch Trial-and-Error wertvolle Zeit verliert.
Persönliche Betreuung aus einer Hand: Kein ständig wechselnder Ansprechpartner, sondern direkte Kommunikation mit dem Experten – für reibungslose Prozesse und konsistente Ergebnisse.

Zurück zu den Referenzen

Microsoft 365 - DSGVO Compliance & Hardening Check

Nutzen Sie direkt meine Expertise aus hunderten erfolgreicher Projekte für den Intensiv-Check und Handlungsempfehlungen.
Damit die DSGVO-Compliance und Microsoft Security Ihres Unternehmens keine Glückssache ist.

Security & Compliance CheckJetzt anfragen!

Dr. Oliver Diedrich

"Seit 2022 hält Aaron Siller iX-Workshops zu verschiedenen Themen der Microsoft-Welt für die heise Academy ab. Seine große Expertise in den Themen "Mobile Device Management mit Microsoft Intune", "Planung, Konfiguration und Verwaltung von MS Teams" und "Administration von Microsoft 365 Copilot" führt regelmäßig zu ausverkauften Workshops und hervorragenden Teilnehmerbewertungen. Wir sind sehr froh, Herrn Siller als Referenten gewonnen zu haben."

Chefredakteur iX