Prüfliste für Microsoft-Support und Dienstleistungen zu den Verantwortlichkeiten für die DSGVO
1. Einführung
Diese Prüfliste zur Verantwortlichkeitsbereitschaft bietet eine bequeme Möglichkeit, auf Informationen zuzugreifen, die Sie möglicherweise benötigen, um die DSGVO zu unterstützen, wenn Sie Microsoft Professional Services und Support Services verwenden. Die Prüfliste ist anhand der Titel und der Referenznummer (in Klammern für jeden Checklistenartikel) eines Satzes von Datenschutz- und Sicherheitskontrollen für personenbezogene Daten geordnet, die aus folgenden Gründen erstellt wurden:
- ISO/IEC 27701 für Techniken und Anforderungen im Zusammenhang mit dem Datenschutzinformationsmanagement.
- ISO/IEC 27001 für Anforderungen an die Sicherheitstechnik.
Diese Kontrollstruktur wird auch verwendet, um die Präsentation der internen Kontrollen zu organisieren, die Microsoft Professional Services implementiert, um GDPR zu unterstützen, das Sie vom Service Trust Portal herunterladen können.
2. Bedingungen für Sammlung und Verarbeitung
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Identifizieren und Dokumentieren des Zwecks (7.2.1) | Der Kunde sollte den Zweck dokumentieren, zu dem personenbezogene Daten verarbeitet werden. | Eine Beschreibung der Verarbeitung, die von Microsoft für Sie durchgeführt wird, und der Zweck dieser Verarbeitung zum Einfügen in Ihre Dokumentation zur Verantwortlichkeit. - Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten [1] |
(5)(1)(b), (32)(4) |
| Identifizieren der rechtmäßigen Grundlage (7.2.2) | Der Kunde sollte sich mit allen Anforderungen in Bezug auf die rechtmäßige Grundlage der Verarbeitung vertraut machen, z.B. eine ggf. erforderliche Erteilung der Zustimmung. | Eine Beschreibung der Verarbeitung personenbezogener Daten durch Microsoft-Dienste zur Aufnahme in Ihre Verantwortlichkeitsdokumentation.
– Wichtige Informationen aus Microsoft Professional Services for Professional Services Data Protection Impact Assessments [9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) | Der Kunde sollte die gesetzlichen oder behördlichen Anforderungen für die Einholung der Einwilligung von Einzelpersonen vor der Verarbeitung personenbezogener Daten (wenn dies erforderlich ist, wenn die Art der Verarbeitung von der Anforderung ausgeschlossen ist usw.) verstehen, einschließlich der Art der Zustimmungssammlung. | Microsoft Professional Services bietet keine direkte Unterstützung für das Einholen der Benutzereinwilligung. | (6)(1)(a), (8)(1), (8)(2) |
| Einholen und Aufzeichnen der Zustimmung (7.2.4) | Wenn festgestellt wird, dass dies erforderlich ist, sollte der Kunde die Zustimmung entsprechend einholen. Außerdem sollte der Kunde mit allen Anforderungen vertraut sein, die für das Anzeigen und Erfassen eines Ersuchens um Einwilligung gelten. | Microsoft Professional Services bietet keine direkte Unterstützung für das Einholen der Benutzereinwilligung. | (7)(1), (7)(2), (9)(2)(a) |
| Datenschutz-Folgenabschätzung (7.2.5) | Der Kunde sollte die Anforderungen zur Durchführung von Datenschutz-Folgenabschätzungen kennen (wann diese durchgeführt werden sollten, ggf. relevante Datenkategorien, Zeitpunkt der Folgenabschätzung). | Microsoft Professional Services bietet Hilfestellung, wann und wie Sie bestimmen, wann ein DPIA durchgeführt werden soll, und eine Übersicht über das DPIA-Programm bei Microsoft, einschließlich der Beteiligung des DPO, die auf dem Service Trust Portal Datenschutz-Folgenabschätzung in Bezug auf Kundendaten (DPIAs)-Seite bereitgestellt wird. Unterstützung für Ihre Datenschutz-Folgenabschätzungen finden Sie unter: |
Artikel (35) |
| Verträge mit Verarbeitern von personenbezogenen Informationen (7.2.6) | Der Kunde sollte sicherstellen, dass seine Verträge mit Verarbeitern Anforderungen zur Hilfestellung in Bezug auf alle relevanten rechtlichen oder gesetzlichen Verpflichtungen enthalten, die sich auf die Verarbeitung und den Schutz von personenbezogenen Daten beziehen. | Die Microsoft-Verträge, die uns verpflichten, Ihnen bei der Erfüllung Ihrer Verpflichtungen im Rahmen der DSGVO zu helfen, einschließlich der Unterstützung für die Rechte des Betroffenen. - Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Aufzeichnungen zur Verarbeitung von personenbezogenen Informationen (7.2.7) | Der Kunde sollte alle benötigten und erforderlichen Aufzeichnungen, die mit der Verarbeitung von personenbezogenen Daten verbunden sind, pflegen und aufbewahren (z. B. Zweck, Sicherheitsmaßnahmen usw.). Falls einige dieser Aufzeichnungen von einem Unterverarbeiter bereitgestellt werden müssen, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen abrufen kann. | Microsoft Professional Services pflegt und bewahrt Aufzeichnungen auf, die zum Nachweis der Einhaltung und zur Unterstützung der Rechenschaftspflicht im Rahmen der DSGVO erforderlich sind. Weitere Informationen finden Sie in der Microsoft Professional Services-Sicherheitsdokumentation [2]. | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Rechte von Betroffenen
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Ermitteln der Rechte von PII-Prinzipalen und Aktivierungsvorgang (7.3.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte von Einzelpersonen vertraut sein, die sich auf die Verarbeitung ihrer persönlichen Daten beziehen. Diese Rechte können etwa Zugriff, Berichtigung und Löschung umfassen. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er ermitteln, welche Teile des Systems (falls zutreffend) über Tools verfügen, die Einzelpersonen die Ausübung ihrer Rechte ermöglichen (z. B. den Zugriff auf ihre Daten). Wenn diese Funktionen vom System bereitgestellt werden, sollte der Kunde sie je nach Bedarf einsetzen. | Die von Microsoft bereitgestellten Funktionen, die Ihnen beim Unterstützen der Rechte von Betroffenen als Hilfe dienen. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] |
(12)(2) |
| Ermitteln von Informationen für PII-Prinzipale (betroffene Personen) (7.3.2) | Der Kunde sollte mit den Anforderungen an die Arten von Informationen über die Verarbeitung personenbezogener Daten vertraut sein, die zur Bereitstellung für die Einzelperson verfügbar sein müssen. Dies kann z. B. Folgendes umfassen: • Kontaktdetails zum Controller oder seinem Vertreter; • Informationen zur Verarbeitung (Zweck, internationale Übertragung und dazugehörige Schutzmaßnahmen, Aufbewahrungszeitraum usw.); • Informationen dazu, wie der Prinzipal auf personenbezogene Daten zugreifen bzw. diese ändern kann; Anfrage zu Löschung oder Einschränkung der Verarbeitung; Empfang einer Kopie seiner personenbezogenen Daten und Portabilität seiner personenbezogenen Daten; • Wie und woher die personenbezogenen Daten erhalten wurden (falls der Abruf nicht direkt vom Prinzipal erfolgt); • Informationen zum Recht auf Einreichung einer Beschwerde und zum Empfänger; • Informationen zu Korrekturen an personenbezogenen Daten; • Benachrichtigung, dass die Organisation den Betroffenen (PII-Prinzipal) nicht mehr identifizieren kann, wenn für die Verarbeitung keine Identifizierung des Betroffenen mehr erforderlich ist; • Übertragungen bzw. Offenlegungen von personenbezogenen Daten; • Vorhandensein einer automatisierten Entscheidungsfindung, die allein auf der automatisierten Verarbeitung von personenbezogenen Daten basiert; • Informationen zur Häufigkeit, mit der Informationen für den Betroffenen aktualisiert und bereitgestellt werden (z. B. per Just-in-Time-Benachrichtigung, von der Organisation festgelegter Häufigkeit usw.) Wenn der Kunde Drittanbietersysteme oder -verarbeiter nutzt, sollte er ermitteln, welche Informationen (falls zutreffend) ggf. bereitgestellt werden müssen, und sicherstellen, dass die erforderlichen Informationen vom Drittanbieter beschafft werden können. |
Informationen zu Microsoft-Diensten, die Sie in die für Betroffene bereitgestellten Daten einbeziehen können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Bereitstellen von Informationen für PII-Prinzipale (7.3.3) | Der Kunde sollte alle Anforderungen erfüllen, die sich darauf beziehen, wie, wann und in welcher Form die erforderlichen Informationen für eine Einzelperson in Bezug auf die Verarbeitung ihrer personenbezogenen Daten bereitgestellt werden. In Fällen, in denen ein Drittanbieter ggf. erforderliche Informationen bereitstellt, sollte der Kunde sicherstellen, dass sich dieser Vorgang innerhalb der durch die DSGVO vorgegebenen Parameter vollzieht. | Informationen zu Microsoft-Diensten als Vorlagen, die Sie in die für Datensubjekte bereitgestellten Daten einbeziehen können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung (7.3.4) | Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen. | Informationen zu den Funktionen von Microsoft-Diensten, die Sie beim Definieren der zum Anfordern der Zustimmung für Betroffene bereitgestellten Informationen nutzen können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Bereitstellen eines Mechanismus, mit dem der Verarbeitung widersprochen werden kann (7.3.5) | Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte betroffener Personen vertraut sein. Wenn eine Einzelperson das Recht hat, der Verarbeitung zu widersprechen, sollten der Kunde sie darüber informieren und eine Möglichkeit bieten, mit der die Einzelperson den Widerspruch registrieren kann. | Informationen zu Microsoft-Diensten, die sich auf den Widerspruch der Verarbeitung beziehen und die Sie in für Betroffene bereitgestellte Daten einbinden können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Gemeinsame Nutzung der Ausübung der Rechte von PII-Prinzipalen (7.3.6) | Der Kunde sollte mit den Anforderungen in Bezug auf die Benachrichtigung von Drittanbietern, mit denen personenbezogene Daten gemeinsam genutzt wurden, über Fälle von Datenänderungen basierend auf der Ausübung der Rechte von Einzelpersonen vertraut sein (z. B. eine Einzelperson, die eine Löschung oder Änderung anfordert, usw.) | Informationen zu Funktionen von Microsoft-Diensten, die Ihnen das Ermitteln von personenbezogenen Daten ermöglichen, für die eine gemeinsame Nutzung mit Drittanbietern erfolgt ist. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(19) |
| Korrektur oder Löschung (7.3.7) | Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen. | Informationen zu Microsoft-Diensten, die sich auf ihre Fähigkeit beziehen, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie in für Betroffene bereitgestellte Daten einbinden können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
|
| Bereitstellen einer Kopie der personenbezogenen Informationen (7.3.8) | Der Kunde sollte mit den Anforderungen in Bezug auf die Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten für die Einzelperson vertraut sein. Dies kann Anforderungen hinsichtlich des Formats der Kopie (d. h. dass sie maschinenlesbar ist), die Übertragung der Kopie usw. umfassen. Wenn der Kunde ein Drittanbietersystem verwendet, das die Funktionalität zum Bereitstellen von Kopien bereitstellt, sollte er diese Funktionalität nach Bedarf nutzen. | Informationen zu Funktionen in Microsoft-Diensten, mit denen Sie eine Kopie ihrer persönlichen Daten abrufen können, die Sie in die Daten aufnehmen können, die Sie in für Betroffene bereitgestellte Daten einbinden können. – Anfragen von Microsoft Professional Services-Betroffenen für die DSGVO und die CCPA [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Antragsverwaltung (7.3.9) | Der Kunde sollte mit den Anforderungen für die Annahme und Reaktion auf legitime Anträge von Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten vertraut sein. Wenn der Kunde ein Drittanbietersystem verwendet, sollte er wissen, ob dieses System die Funktionen für eine solche Bearbeitung von Anträgen umfasst. Wenn ja, sollte der Kunde solche Mechanismen nutzen, um Anforderungen nach Bedarf zu verarbeiten. | Informationen zu Funktionen in Microsoft-Diensten, die Sie verwenden können, wenn Sie die Informationen definieren, die Sie betroffenen Personen beim Verwalten von Anforderungen an betroffene Personen bereitstellen.– Anfragen von Microsoft Professional Services-Betroffenen für die DSGVO und die CCPA [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
| Automatisierte Entscheidungsfindung (7.3.10) | Der Kunde sollte die Anforderungen in Bezug auf die automatisierte Verarbeitung personenbezogener Daten verstehen und wissen, wo Entscheidungen durch eine solche Automatisierung getroffen werden. Dies kann das Bereitstellen von Informationen zur Verarbeitung für eine Einzelperson, das Widersprechen dieser Verarbeitung oder das Erlangen eines Eingriffs durch Menschen umfassen. Wenn diese Features von einem Drittanbietersystem bereitgestellt werden, sollte der Kunde sicherstellen, dass der Drittanbieter alle erforderlichen Informationen bzw. den entsprechenden Support bereitstellt. | Informationen zu allen Funktionen von Microsoft-Diensten, die ggf. die automatisierte Entscheidungsfindung unterstützen und die Sie in Ihrer Dokumentation zu den Verantwortlichkeiten verwenden können, sowie Informationen zu diesen Funktionen als Vorlagen für Datensubjekte. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Datenschutz als Konzept und Standard
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Beschränken der Datensammlung (7.4.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Erfassung von personenbezogenen Daten vertraut sein (z. B. die Beschränkung der Erfassung auf die Daten, die für den angegebenen Zweck erforderlich sind). | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten [1] - Wichtige Informationen von Microsoft Professional Services für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [9]] |
(5)(1)(b), (5)(1)(c) |
| Beschränken der Verarbeitung (7.4.2) | Der Kunde ist dafür verantwortlich, die Verarbeitung personenbezogener Daten so einzuschränken, dass sie auf das beschränkt ist, was für den identifizierten Zweck angemessen ist. | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten [1] - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(25)(2) |
| Definieren und Dokumentieren der PII-Minimierung und von Zielen zur Deidentifizierung (7.4.3) | Der Kunde sollte mit den Anforderungen in Bezug auf die Deidentifizierung von personenbezogenen Daten vertraut sein. Hierzu können der Zeitpunkt der Nutzung, das Ausmaß der Deidentifizierung und Fälle gehören, in denen die Nutzung nicht möglich ist. | Der Kunde ist für die Aufhebung der Identifizierung vor der Übertragung von Daten an Microsoft verantwortlich. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
| Einhalten von Identifizierungsebenen (7.4.4) | Der Kunde sollte die Ziele und Methoden für die Deidentifizierung nutzen und einhalten, die von seiner Organisation vorgegeben werden. | Der Kunde ist für die Aufhebung der Identifizierung vor der Übertragung von Daten an Microsoft verantwortlich. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
| Anonymisierung und Löschung personenbezogener Daten (7.4.5) | Der Kunde sollte mit den Anforderungen in Bezug auf die Aufbewahrung von personenbezogenen Daten über die Nutzung für den angegebenen Zweck hinaus vertraut sein. Wenn vom System entsprechende Tools bereitgestellt werden, sollte der Kunde diese Tools nutzen, um je nach Bedarf Löschvorgänge durchzuführen. | Von Microsoft-Diensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenaufbewahrung. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Temporäre Dateien (7.4.6) | Der Kunde sollte sich über temporäre Dateien bewusst sein, die möglicherweise an Microsoft gesendet werden, die zu einer Nichteinhaltung von Richtlinien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten führen kann (beispielsweise könnten personenbezogene Daten möglicherweise länger als erforderlich oder zulässig in einer temporären Datei aufbewahrt werden). | Eine Beschreibung von Funktionen, die vom Dienst zum Identifizieren von personenbezogenen Daten bereitgestellt werden, um Ihre Richtlinien zu temporären Dateien zu unterstützen. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(c) |
| Aufbewahrung (7.4.7) | Der Kunde sollte ermitteln, wie lange Daten aufbewahrt werden sollten, und dabei den angegebenen Zweck berücksichtigen. | Informationen zur Aufbewahrung von personenbezogenen Daten durch Microsoft-Dienste, die Sie in für Betroffene bereitgestellte Dokumentation einbinden können. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(13)(2)(a), (14)(2)(a) |
| Löschung (7.4.8) | Der Kunde sollte die vom System bereitgestellten Lösch- oder Entsorgungsmechanismen nutzen, um personenbezogene Daten zu löschen. | Von Microsoft-Diensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenlöschung. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(f) |
| Sammlungsverfahren (7.4.9) | Der Kunde sollte mit den Anforderungen in Bezug auf die Genauigkeit von personenbezogenen Daten (z. B. Genauigkeit bei der Erfassung, Halten von Daten auf dem aktuellen Stand usw.) vertraut sein und die Mechanismen nutzen, die vom System zu diesem Zweck bereitgestellt werden. | Wie Microsoft-Dienste die Genauigkeit von personenbezogenen Daten unterstützen, und zu allen bereitgestellten Funktionen zur Unterstützung Ihrer Richtlinie zur Datengenauigkeit. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(d) |
| Kontrolle der Übertragung (7.4.10) | Der Kunde sollte mit den Anforderungen in Bezug auf den Schutz der Übertragung personenbezogener Daten vertraut sein, z.B. Personen, die Zugriff auf Übertragungsmechanismen haben, Aufzeichnungen der Übertragung usw. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identifizieren der Grundlage für die Übertragung personenbezogener Daten (7.5.1) | Der Kunde sollte mit den Anforderungen in Bezug auf das Übertragen von personenbezogenen Daten (PII) an einen anderen geografischen Ort und das Dokumentieren der vorhandenen Maßnahmen zur Erfüllung dieser Anforderungen vertraut sein. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
Artikel (44), (45), (46), (47), (48) und (49) |
| Länder und Organisationen als Ziel der Übertragung personenbezogener Daten (7.5.2) | Der Kunde sollte verstehen und in der Lage sein, die Länder, in die personenbezogene Daten übertragen werden oder übertragen werden können. Wenn ein Dritter/Auftragsverarbeiter diese Übertragung durchführt, sollte der Kunde diese Informationen vom Auftragsverarbeiter einholen. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(30)(1)(e) |
| Aufzeichnungen zu Übertragungen personenbezogener Daten (7.5.3) | Der Kunde sollte alle notwendigen und erforderlichen Aufzeichnungen über die Übermittlung personenbezogener Daten aufbewahren. Wenn ein Dritter/Auftragsverarbeiter die Übertragung durchführt, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen aufbewahrt, und diese bei Bedarf verschaffen. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(30)(1)(e) |
| Aufzeichnungen der Offenlegung personenbezogener Daten für Dritte (7.5.4) | Der Kunde sollte mit den Anforderungen in Bezug auf die Aufzeichnungen vertraut sein, die darüber angefertigt werden, für wen personenbezogene Daten offengelegt wurden. Dies kann auch Offenlegungen für Strafverfolgungsbehörden usw. umfassen. Wenn die Daten von einem Drittanbieter bzw. Auftragsverarbeiter offengelegt werden, sollte der Kunde sicherstellen, dass dieser die entsprechenden Aufzeichnungen verwaltet, und diese je nach Bedarf beschaffen. | Bereitgestellte Dokumentation zu den Kategorien von Empfängern der Offenlegungen personenbezogener Daten, einschließlich der verfügbaren Aufzeichnungen zur Offenlegung. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(30)(1)(d) |
| Gemeinsam Verantwortlicher (7.5.5) | Der Kunde sollte ermitteln, ob er zusammen mit einer anderen Organisation als gemeinsamer Controller fungiert, und die Zuständigkeiten auf geeignete Weise dokumentieren und zuordnen. | Microsoft ist kein gemeinsamer Verantwortlicher für personenbezogene Daten, die im Rahmen von Support- und Professional Services-Daten bereitgestellt werden. | (26)(1), (26)(2), (26)(3) |
5. Datenschutz und -sicherheit
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Grundlegendes zur Organisation und zum Kontext (5.2.1) | Kunden sollten ihre Rolle bei der Verarbeitung von personenbezogenen Daten (z. B. Controller, Verarbeiter, Co-Controller) ermitteln, um die entsprechenden Anforderungen (gesetzlich usw.) an die Verarbeitung von personenbezogenen Daten zu identifizieren. | Beschreibung, wie Microsoft jeden Dienst entweder als Verarbeiter oder Controller einstuft, wenn personenbezogene Daten verarbeitet werden. - Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Grundlegendes zu den Anforderungen und Erwartungen von interessierten Parteien (5.2.2) | Kunden sollten Parteien identifizieren, die bei der Verarbeitung von personenbezogenen Daten ggf. eine Rolle innehaben oder ein Interesse daran haben (z. B. Regulatoren, Auditoren, Datensubjekte, unter Vertrag stehende Verarbeiter personenbezogener Daten), und mit den Anforderungen vertraut sein, die mit der Einbindung dieser Parteien je nach Bedarf verbunden sind. | Beschreibung, wie Microsoft die Sichtweisen aller Beteiligten in Bezug auf die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken berücksichtigt. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit (5.2.3, 5.2.4) | Ein allgemeines Sicherheits- oder Datenschutzprogramm, über das ein Kunde ggf. verfügt, sollte die Verarbeitung von personenbezogenen Daten und der dazugehörigen Anforderungen umfassen. | Beschreibung, wie Microsoft-Dienste die Verarbeitung personenbezogener Daten in Informationssicherheitsverwaltungs- und Datenschutzprogrammen einschließen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - ISO 27001 Audit Report [10] |
(32)(2) |
| Planung (5.3) | Kunden sollten die Verarbeitung von personenbezogenen Daten im Rahmen aller durchgeführten Risikobewertungen berücksichtigen und angemessene Kontrollen einbauen, um das Risiko für unter der Kontrolle des Kunden befindliche personenbezogene Daten zu mindern. | Beschreibung, wie für Microsoft-Dienste die spezifischen Risiken der Verarbeitung von personenbezogenen Daten im Rahmen des allgemeinen Sicherheits- und Datenschutzprogramms berücksichtigt werden. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] |
(32)(1)(b), (32)(2) |
| Richtlinien zur Informationssicherheit (6.2) | Der Kunde sollte alle vorhandenen Richtlinien zur Informationssicherheit um den Schutz personenbezogener Daten erweitern, z.B. mit Richtlinien, die zur Einhaltung geltender Gesetze erforderlich sind. | Microsoft-Richtlinien zur Informationssicherheit und spezifische Maßnahmen zum Schutz personenbezogener Informationen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - ISO 27001 Audit Report [10] |
24(2) |
| Organisation der Informationssicherheit für Kunden (6.3) | Der Kunde sollte innerhalb seiner Organisation die Verantwortlichkeiten für die Sicherheit und den Schutz personenbezogener Daten definieren. Dazu gehört ggf. das Einrichten spezifischer Rollen zur Beaufsichtigung von datenschutzrelevanten Fragen, einschließlich einer DSB. Zur Unterstützung dieser Rollen sollten geeignete Schulungs- und Verwaltungsunterstützung bereitgestellt werden. | Microsoft hat Informationen über den Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen veröffentlicht. - Microsoft DPO Information [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Personal – Sicherheit (6.4) | Der Kunde sollte die Verantwortlichkeiten zur Bereitstellung von relevanten Schulungen in Bezug auf den Schutz von personenbezogenen Daten ermitteln und zuweisen. | Eine Übersicht über die Rolle des Datenschutzbeauftragten von Microsoft, die Art ihrer Aufgaben, die Berichtsstruktur und die Kontaktinformationen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Beschreibung des Schulungs- und Bewusstseinsprogramms [3] |
(39)(1)(b) |
| Klassifizierung von Informationen (6.5.1) | Der Kunde sollte personenbezogene Daten explizit als Teil eines Schemas zur Datenklassifizierung ansehen. | Beschreibung, wie Microsoft personenbezogene Daten bei der Datenklassifizierung, beim Markieren und beim Nachverfolgen von Informationen einstuft. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(39)(1)(b) |
| Verwaltung von Wechselmedien (6.5.2) | Der Kunde sollte interne Richtlinien für die Verwendung von Wechselmedien in Bezug auf den Schutz von personenbezogenen Daten ermitteln (z. B. Verschlüsselung von Geräten). | Beschreibung, wie Microsoft-Dienste für die Sicherheit von personenbezogenen Informationen auf Wechselmedien sorgen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(32)(1)(a), (5)(1)(f) |
| Übertragung physischer Medien (6.5.3) | Der Kunde sollte interne Richtlinien zum Schutz von personenbezogenen Daten bei der Übertragung von physischen Medien festlegen (z. B. Verschlüsselung). | Beschreibung, wie für Microsoft-Dienste personenbezogene Daten während einer Übertragung von physischen Medien geschützt werden. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(32)(1)(a), (5)(1)(f) |
| Verwaltung des Benutzerzugriffs (6.6.1) | Der Kunde sollte damit vertraut sein, welche Verantwortlichkeiten für ihn in Bezug auf die Zugriffssteuerung im genutzten Dienst gelten, und diese Verantwortlichkeiten mit den verfügbaren Tools entsprechend verwalten. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Registrierung und Aufhebung der Registrierung für Benutzer (6.6.2) | Der Kunde sollte die Registrierung und Aufhebung der Registrierung für Benutzer im genutzten Dienst verwalten, indem er die verfügbaren Tools verwendet. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Bereitstellung des Benutzerzugriffs (6.6.3) | Der Kunde sollte Benutzerprofile, vor allem für den berechtigten Zugriff auf personenbezogene Daten, innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Verwaltung des privilegierten Zugriffs (6.6.4) | Der Kunde sollte Benutzer-IDs innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet, um die Nachverfolgung des Zugriffs (vor allem auf personenbezogene Daten) zu ermöglichen. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Sichere Anmeldeverfahren (6.6.5) | Der Kunde sollte die vom Dienst bereitgestellten Mechanismen nutzen, um sichere Anmeldefunktionen für seine Benutzer einzurichten, wo dies erforderlich ist. | Beschreibung, wie Microsoft-Dienste Richtlinien für die interne Zugriffssteuerung in Bezug auf personenbezogene Daten unterstützen. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(5)(1)(f) |
| Kryptografie (6.7) | Der Kunde sollte ermitteln, welche Daten ggf. verschlüsselt werden müssen und ob der genutzte Dienst über eine entsprechende Funktion verfügt. Der Kunde sollte die Verschlüsselung nach Bedarf mit den verfügbaren Tools einsetzen. | Beschreibung, wie Microsoft-Dienste die Verschlüsselung und Pseudonymisierung unterstützen, um das Risiko der Verarbeitung personenbezogener Daten zu mindern. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(32)(1)(a) |
| Sichere Entsorgung oder Wiederverwendung von Ausrüstung (6.8.1) | Bei Verwendung von Cloud Computing-Diensten (PaaS, SaaS, IaaS) sollte der Kunde damit vertraut sein, wie der Cloudanbieter sicherstellt, dass personenbezogene Daten aus dem Speicherbereich gelöscht werden, bevor dieser Bereich einem anderen Kunden zugewiesen wird. | Wie von Microsoft Professional Services sichergestellt wird, dass personenbezogene Daten aus Speichergeräten gelöscht werden, bevor diese Geräte übertragen oder wiederverwendet werden, wenn Microsoft Azure-Clouddienste für professionelle Dienstleistungen verwendet werden. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm (6.8.2) | Der Kunde sollte Risiken im Zusammenhang mit Papiermaterial, das personenbezogene Daten anzeigt, berücksichtigen und die Erstellung dieses Materials unter Umständen einschränken. Wenn das verwendete System die Möglichkeit bietet, dies einzuschränken (z. B. Einstellungen zum Verhindern des Ausdrucks oder Kopierens/Einfügens vertraulicher Daten), sollte der Kunde die Notwendigkeit in Betracht ziehen, diese Funktionen zu nutzen. | Beschreibung, was bei Microsoft zur Verwaltung von Hardcopy-Material implementiert wird. - Interne Verwaltung von Kontrollmechanismen bei Microsoft, siehe Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] Steuerelementsatz von Microsoft Professional Services für die DSGVO [4] |
(5)(1)(f) |
| Trennung von Umgebungen für Entwicklung, Tests und Betrieb (6.9.1) | Der Kunde sollte die Auswirkungen berücksichtigen, die mit der Verwendung von personenbezogenen Daten in Entwicklungs- und Testumgebungen in seiner Organisation verbunden sind. | Beschreibung, wie bei Microsoft sichergestellt wird, dass personenbezogene Daten in Entwicklungs- und Testumgebungen geschützt sind. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Informationssicherung (6.9.2) | Der Kunde sollte sicherstellen, dass er vom System bereitgestellte Funktionen nutzt, um Redundanzen für seine Daten zu erstellen und je nach Bedarf Tests durchzuführen. | Beschreibung, wie bei Microsoft die Verfügbarkeit der Daten sichergestellt wird, in denen personenbezogene Daten enthalten sein können, wie für die Genauigkeit von wiederhergestellten Daten gesorgt wird und welche Tools und Verfahren von den Microsoft-Diensten bereitgestellt werden, um Ihnen das Sichern und Wiederherstellen von Daten zu ermöglichen. - Dokumentation zur Verwaltung der Geschäftskontinuität in Microsoft Enterprise [5] |
(32)(1)(c), (5)(1)(f) |
| Ereignisprotokollierung (6.9.3) | Der Kunde sollte mit den Funktionen für die Protokollierung vertraut sein, die vom System bereitgestellt werden. Er sollte mit diesen Funktionen sicherstellen, dass Aktionen, für die dies erforderlich ist, für personenbezogene Daten protokolliert werden können. | Die Daten, die vom Microsoft-Dienst für Sie aufgezeichnet werden, z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse in Bezug auf die Informationssicherheit, und die Vorgehensweise zum Zugreifen auf diese Protokolle zur Verwendung im Rahmen der Aufzeichnungen. - Microsoft Professional Services-Sicherheitsdokumentation [2] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Schutz von Protokollinformationen (6.9.4) | Der Kunde sollte die Anforderungen in Bezug auf den Schutz von Protokollinformationen kennen, die ggf. personenbezogene Daten oder Aufzeichnungen zur Verarbeitung von personenbezogenen Daten enthalten. Wenn vom genutzten System Funktionen zum Schützen von Protokollen bereitgestellt werden, sollte der Kunde diese Funktionen bei Bedarf verwenden. | Beschreibung, wie bei Microsoft Protokolle geschützt werden, die ggf. personenbezogene Daten enthalten. - Microsoft Professional Services-Sicherheitsdokumentation [2] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Informationsübertragung – Richtlinien und Verfahren (6.10) | Der Kunde sollte Verfahren für Fälle eingerichtet haben, in denen personenbezogene Daten auf physischen Medien übertragen werden (z.B. auf einer Festplatte, die in anderen Servern eingebaut oder in anderen Gebäuden genutzt wird). Dazu können Protokolle, Autorisierungen und Nachverfolgung gehören. Wenn Dritte oder andere Auftragsverarbeiter physische Medien übertragen, sollte der Kunde sicherstellen, dass diese Organisation Verfahren eingerichtet hat, mit denen die Sicherheit der personenbezogenen Daten gewährleistet wird. | Beschreibung, wie für Microsoft-Dienste physische Medien übertragen werden, die ggf. personenbezogene Daten enthalten, einschließlich der Umstände einer Übertragung, und der getroffenen Maßnahmen zum Schützen der Daten. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Vertraulichkeits- bzw. Geheimhaltungsverträge (6.10.2) | Der Kunde sollte ermitteln, ob Geheimhaltungsverträge oder entsprechende Vereinbarungen für Einzelpersonen, die Zugriff auf personenbezogene Daten haben oder über entsprechende Verantwortlichkeiten verfügen, erforderlich sind. | Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass sich Einzelpersonen mit autorisiertem Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet haben. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Schützen von Anwendungsdiensten in öffentlichen Netzwerken (6.11.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Verschlüsselung von personenbezogenen Daten vertraut sein, vor allem bei deren Übermittlung über öffentliche Netzwerke. Wenn vom System Mechanismen zur Verschlüsselung von Daten bereitgestellt werden, sollte der Kunde diese Mechanismen verwenden, wenn dies erforderlich ist. | Beschreibungen der Maßnahmen, die für Microsoft-Dienste unternommen werden, um Daten während der Übertragung zu schützen, einschließlich Verschlüsselung der Daten. Es wird auch beschrieben, wie für Microsoft-Dienste Daten geschützt werden, die ggf. personenbezogene Daten enthalten, wenn diese über öffentliche Datennetzwerke übertragen werden, einschließlich Verschlüsselungsmaßnahmen. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f), (32)(1)(a) |
| Prinzipien sicherer Systeme (6.11.2) | Der Kunde sollte sich darüber im klaren sein, wie Systeme für den Schutz personenbezogener Daten konzipiert und entwickelt sind. Wenn ein Kunde ein von einem Drittanbieter entwickeltes System verwendet, liegt es in seiner Verantwortung, sicherzustellen, dass dieser Datenschutz berücksichtigt wurde. | Beschreibung, wie bei Microsoft-Diensten Prinzipien des Schutzes von personenbezogenen Daten ein obligatorischer Teil der Prinzipien für den sicheren Entwurf und die sichere Erstellung sind. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Was ist der Security Development Lifecycle? |
(25)(1) |
| Lieferantenbeziehungen (6.12) | Der Kunde sollte sicherstellen, dass alle Anforderungen in Bezug auf die Informationssicherheit und den Schutz von personenbezogenen Daten sowie die hiermit verbundenen Verantwortlichkeiten von Dritten vertraglich festgelegt bzw. Teil anderer Vereinbarungen sind. In den Vereinbarungen sollten außerdem die Anweisungen zur Verarbeitung enthalten sein. | Beschreibung, wie für Microsoft-Dienste die Sicherheit und der Datenschutz in den Vereinbarungen mit unseren Lieferanten geregelt ist und wie sichergestellt wird, dass diese Vereinbarungen auf effektive Weise umgesetzt werden. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit (6.13.1) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibung, wie für Microsoft-Dienste ermittelt wird, ob ein Sicherheitsvorfall eine Verletzung Ihrer personenbezogenen Daten darstellt, und wie wir Sie über die Verletzung informieren. - Microsoft Professional Services und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [8] |
(33)(2) |
| Verantwortlichkeiten und Verfahren (bei Vorfällen zur Informationssicherheit) (6.13.2) | Der Kunde sollte wissen, wofür er bei einer Datenpanne oder einem Sicherheitsincident in Bezug auf personenbezogene Daten verantwortlich ist, und dies entsprechend dokumentieren. Beispiele für Verantwortlichkeiten sind die Benachrichtigung der jeweiligen Parteien, die Kommunikation mit Auftragsverarbeitern oder anderen Drittparteien sowie Verantwortlichkeiten innerhalb der Organisation des Kunden. | Beschreibung, wie Sie Microsoft-Dienste informieren können, wenn Sie einen Sicherheitsvorfall oder eine Verletzung von personenbezogenen Daten erkennen. - Microsoft Professional Services und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Antwort auf Vorfälle zur Informationssicherheit (6.13.3) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibung der Informationen, die von Microsoft-Diensten bereitgestellt werden, damit Sie entscheiden können, ob für personenbezogene Daten eine Verletzung vorliegt. - Microsoft Professional Services und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Schutz von Aufzeichnungen (6.15.1) | Der Kunde sollte mit den Anforderungen, die in Bezug auf die für personenbezogene Daten erforderlichen Aufzeichnungen und die damit verbundene Verwaltung gelten, vertraut sein. | Beschreibung, wie für Microsoft-Dienste Aufzeichnungen in Bezug auf die Verarbeitung von personenbezogenen Daten gespeichert werden. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(2), (24)(2) |
| Unabhängige Überprüfung der Informationssicherheit (6.15.2) | Der Kunde sollte sich der Anforderungen an die Bewertung der Sicherheit der Verarbeitung personenbezogener Daten bewusst sein. Dies kann interne oder externe Audits oder andere Maßnahmen zur Bewertung der Sicherheit der Verarbeitung umfassen. Wenn der Kunde für die gesamte oder einen Teil der Verarbeitung von einer anderen Organisation eines Drittanbieters abhängig ist, sollte er Informationen über diese von ihm durchgeführten Bewertungen sammeln. | Beschreibung, wie für Microsoft-Dienste die Effektivität von technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit getestet und bewertet wird, einschließlich Audits durch Dritte. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(32)(1)(d), (32)(2) |
| Überprüfung der technischen Compliance (6.15.3) | Der Kunde sollte die Anforderungen an die Prüfung und Bewertung der Sicherheit der Verarbeitung personenbezogener Daten kennen. Dies kann technische Prüfungen wie z. B. Penetrationstests umfassen. Wenn der Kunde ein Fremdsystem oder einen Prozessor verwendet, sollte er kennen, welche Verantwortung er für die Sicherung und das Testen der Sicherheit hat (z. B. Konfigurationen zur Datensicherung verwalten und dann diese Konfigurationseinstellungen testen). Wenn der Drittanbieter ganz oder teilweise für die Sicherheit der Verarbeitung verantwortlich ist, sollte der Kunde wissen, welche Test- oder Evaluierungsmaßnahmen der Drittanbieter durchführt, um die Sicherheit der Verarbeitung zu gewährleisten. | Beschreibung, wie die Sicherheit von Microsoft-Dienste basierend auf identifizierten Risiken getestet wird, einschließlich Tests von Dritten, und welche Arten von technischen Tests. - Eine Liste der externen Zertifizierungen finden Sie unter Microsoft Trust Center Compliance-Angebote [12] - Weitere Informationen zum Testen Ihrer Anwendungen auf Sicherheitsrisikos finden Sie in der Microsoft Professional Services-Sicherheitsdokumentation [2] |
(32)(1)(d), (32)(2) |
6. Literaturverzeichnis zu Ressourcen und Links
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für