Datenschutz auch bei automatisierten Abläufen mit PowerAutomate

von

PowerAutomate ist eine verhältnismäßig einfache Art, ohne Programmierkenntnisse (Stichwort "No-Code" bzw. "Low-Code") wiederkehrende Arbeitsabläufe im Büroalltag zu automatisieren, dazu werden sogenannte "Flows" genutzt. Ein Flow ist ein automatisierter Ablauf innerhalb der PowerAutomate Anwendung.

PowerAutomate ist eine Microsoft Anwendung die im Rahmen von Microsoft 365 in den meisten Lizenzen kostenfrei enthalten ist.

So schön und praktisch die Automatisierung auch ist, in dem Moment wo Sie Daten automatisiert verarbeiten, müssen Sie diese in besonderem Maße schützen.

Fragen Sie zum Beispiel sensible Daten ab, die durch einen Flow weiterverarbeitet werden sollen, so sind diese in den Ausführungsprotokollen des Flows im Standard sichtbar. Die Ausführungsprotokolle geben einen Verlauf über die Ausführungen des jeweiligen Flows inkl. der verarbeiteten Inhalte wieder.

Hier wird es kritisch, da ohne weitere Einstellungen alle verarbeiteten Daten im Klartext für diejenigen sichtbar sind, die Berechtigungen für die Einsicht in das Ausführungsprotokoll haben.

Dabei sind die inhaltlichen Angaben in der Regel für technische Fragenstellungen nicht relevant und können bzw. sollten für Administratoren, Flow-Ersteller oder Bearbeiter nicht in den Ausführungsprotokollen sichtbar sein.

Im Bearbeitungsmodus öffnen Sie für den Schritt, bei dem die Ausgabe (die Eingabe kann ebenfalls geschützt werden!) geschützt werden soll die Einstellungen (über die drei Punkte "...").

Hier können Sie die "Sichere Ausgaben" aktivieren. Klicken Sie anschließend auf "Fertig".

Sie sehen nun im Kopfbereich des Schrittes ein Schlosssymbol. Daran erkennen Sie ob sichere Ein- und/oder Ausgaben aktiviert wurden.

 

Was bewirkt diese Einstellung nun aber eigentlich?


Schauen wir uns dazu diesen Schritt in einem Ausführungsprotokoll an, wenn die sichere Ausgabe nicht aktiviert wurde. In diesem Beispiel holen wir uns die Antworten aus einem abgeschickten Formular. Im Bereich der Ausgaben sehen wir die einzelnen Angaben im Klartext (Nachname, private Emailadresse etc.).

Wenn wir die sichere Ausgabe aktivieren, sieht der gleiche Schritt nach der Ausführung wie folgt aus. Hier haben wir im Ausgabenbereich nun nur noch einen Sicherheitshinweis aber keine Einträge mehr. Der Flow wird trotzdem wie gewohnt verarbeitet, die Daten sind nur während der Verarbeitung für uns nicht mehr sichtbar.

Damit kommen wir dem Anspruch an einen geeigneten und angemessenen Datenschutz ein Stück näher.

Bei Fragen kommen Sie gerne auf uns zu, wir unterstützen Sie gerne bei der Umsetzung automatischer Abläufe.

Zurück

Randnotiz

Dran bleiben

Wir veröffentlichen an dieser Stelle immer wieder Neuigkeiten rund um die Digitalisierung, Prozessautomatisierung oder sonstige, spannende Entwicklungen

Wir benutzen Cookies 🍪

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind notwendig, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Notwendig
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient der Sicherheit der Website vor Cross-Site-Request-Forgery Angriffen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Notwendig
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Gruppe Notwendig
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Notwendig
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Gruppe Analyse
Name Facebook Pixel
Technischer Name _fbp, act, c_user, datr, fr, m_pixel_ration, pl, presence, sb, spin, wd, xs
Anbieter Facebook Ireland Limited
Ablauf in Tagen 365
Datenschutz https://www.facebook.com/policies/cookies
Zweck Cookie von Facebook, das für Website-Analysen, Ad-Targeting und Anzeigenmessung verwendet wird.
Erlaubt
Gruppe Analyse
Name Hotjar
Technischer Name _hjClosedSurveyInvites,_hjDonePolls,_hjMinimizedPolls,_hjShownFeedbackMessage,_hjid_hjRecordingLastActivity,_hjTLDTest,_hjUserAttributesHash,_hjCachedUserAttributes,_hjLocalStorageTest,_hjIncludedInPageviewSample,_hjIncludedInSessionSample,_hjAbsoluteSess
Anbieter Hotjar
Ablauf in Tagen 365
Datenschutz https://www.hotjar.com/legal/policies/privacy/#endusergerman
Zweck Hotjar ermöglicht es uns, das Nutzerverhalten auf unserer Website besser zu verstehen und die Website so immer weiter zu verbessern. Dabei handelt es sich um sogenannte persistent Cookies, die zunächst auch nach dem Verlassen unserer Website erhalten bleiben und nach einem festgelegten Zeitraum gelöscht werden. Die Rechtsgrundlage ist mithin Art. 6 Abs. 1 S. 1 Buchstabe a DSGVO. Die Cookies enthalten unter anderem Informationen darüber, auf welchen einzelnen Seiten unserer Website sich die Nutzer wie lang aufgehalten haben und welche Links sie angeklickt haben. Daneben werden zudem Informationen wie die IP-Adresse in verkürzter Form, die die Bildschirmgröße, das Betriebssystem oder etwa die bevorzugte Sprache der Nutzer erfasst und ein pseudonymisiertes Nutzerprofil erstellt.
Erlaubt