Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft 365

1. Einführung

Diese Prüfliste zu den Verantwortlichkeiten ist eine bequeme Möglichkeit, um auf Informationen zuzugreifen, die Sie bei Verwendung von Microsoft Office 365 zur Unterstützung der DSGVO unter Umständen benötigen.

Sie können die Elemente in dieser Checkliste mit dem Compliance-Managerverwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.

Darüber hinaus elemente in dieser Checkliste unter 5.Datenschutz & Sicherheit stellt Verweise auf Steuerelemente bereit, die unter "Von Microsoft verwaltete Steuerelemente" in der DSGVO-Kachel im Compliance-Manager aufgeführt sind. Die Überprüfung der Microsoft-Implementierungsdetails für diese Steuerelemente bietet eine zusätzliche Erläuterung des Microsoft-Ansatzes zur Erfüllung der Kundenüberlegungen im Prüflistenelement.

Die Prüfliste und der Compliance-Manager wurden basierend auf den Titeln und der Referenznummer (für jedes Prüflistenthema in Klammern) einer Gruppe von Datenschutz- und Sicherheitskontrollen für Verarbeiter von personenbezogenen Daten aufgebaut gemäß:

  • ISO/IEC 27701 für Techniken und Anforderungen im Zusammenhang mit dem Datenschutzinformationsmanagement.
  • ISO/IEC 27001 für Anforderungen an die Sicherheitstechnik.

Diese Steuerelementstruktur wird auch verwendet, um die Darstellung der internen Steuerelemente zu organisieren, die Microsoft 365 zur Unterstützung der DSGVO implementiert. Diese können Sie vom Service Trust Center herunterladen.

2. Bedingungen für Sammlung und Verarbeitung

Kategorie Zu berücksichtigende Aspekte für Kunden Unterstützende Microsoft-Dokumentation Bezieht sich auf folgende DSGVO-Artikel
Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung. Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. (6)(1)(a), (8)(1), (8)(2)
Identifizieren und Dokumentieren des Zwecks (7.2.1) Der Kunde sollte den Zweck dokumentieren, zu dem personenbezogene Daten verarbeitet werden. Eine Beschreibung der Verarbeitung, die von Microsoft für Sie durchgeführt wird, und der Zweck dieser Verarbeitung zum Einfügen in Ihre Dokumentation zur Verantwortlichkeit.
- Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1]
(5)(1)(b), (32)(4)
Identifizieren der rechtmäßigen Grundlage (7.2.2) Der Kunde sollte sich mit allen Anforderungen in Bezug auf die rechtmäßige Grundlage der Verarbeitung vertraut machen, z.B. eine ggf. erforderliche Erteilung der Zustimmung. Eine Beschreibung der Verarbeitung personenbezogener Daten durch Microsoft-Dienste zur Aufnahme in Ihre Verantwortlichkeitsdokumentation.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[10]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung. Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. (6)(1)(a), (8)(1), (8)(2)
Einholen und Aufzeichnen der Zustimmung (7.2.4) Wenn dies als erforderlich festgelegt wird, sollte der Kunde entsprechend seine Zustimmung einholen. Der Kunde sollte auch alle Anforderungen beachten, wie ein Zustimmungsersuchen präsentiert und erhoben wird. Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. (7)(1), (7)(2), (9)(2)(a)
Datenschutz-Folgenabschätzung (7.2.5) Der Kunde sollte die Anforderungen zur Durchführung von Datenschutz-Folgenabschätzungen kennen (wann diese durchgeführt werden sollten, ggf. relevante Datenkategorien, Zeitpunkt der Folgenabschätzung). Wie Microsoft-Dienste bestimmen, wann eine DPIA ausgeführt werden soll, und eine Übersicht über das DPIA-Programm bei Microsoft, einschließlich der Beteiligung des Datenschutzbeauftragten, finden Sie auf der Seite Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) im Service Trust Portal. Unterstützung für Ihre Datenschutz-Folgenabschätzungen finden Sie unter:
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(35)
Verträge mit PII-Auftragsverarbeitern (7.2.6) Der Kunde sollte sicherstellen, dass seine Verträge mit Verarbeitern Anforderungen zur Hilfestellung in Bezug auf alle relevanten rechtlichen oder gesetzlichen Verpflichtungen enthalten, die sich auf die Verarbeitung und den Schutz von personenbezogenen Daten beziehen. Die Microsoft-Verträge, die uns verpflichten, Ihnen bei der Erfüllung Ihrer Verpflichtungen im Rahmen der DSGVO zu helfen, einschließlich der Unterstützung für die Rechte des Betroffenen.
- Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1]
(5)(2), (28)(3)(e), (28)(9)
Datensätze im Zusammenhang mit der Verarbeitung von personenbezogenen Informationen (7.2.7) Der Kunde sollte alle erforderlichen und erforderlichen Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten (d. h. Zweck, Sicherheitsmaßnahmen usw.) führen. Falls einige dieser Aufzeichnungen von einem Unterverarbeiter bereitgestellt werden müssen, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen abrufen kann. Die von den Microsoft-Diensten zur Verfügung gestellten Tools, die Ihnen helfen, die erforderlichen Aufzeichnungen aufzubewahren, belegen die Einhaltung und Unterstützung der Rechenschaftspflicht im Rahmen der DSGVO.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. Rechte von Betroffenen

Kategorie Zu berücksichtigende Aspekte für Kunden Unterstützende Microsoft-Dokumentation Bezieht sich auf folgende DSGVO-Artikel
Ermitteln der Rechte von PII-Prinzipalen und Aktivierungsvorgang (7.3.1) Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte von Einzelpersonen vertraut sein, die sich auf die Verarbeitung ihrer persönlichen Daten beziehen. Diese Rechte können etwa Zugriff, Berichtigung und Löschung umfassen. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er ermitteln, welche Teile des Systems (falls zutreffend) über Tools verfügen, die Einzelpersonen die Ausübung ihrer Rechte ermöglichen (z. B. den Zugriff auf ihre Daten). Wenn diese Funktionen vom System bereitgestellt werden, sollte der Kunde sie je nach Bedarf einsetzen. Die von Microsoft bereitgestellten Funktionen, die Ihnen beim Unterstützen der Rechte von Betroffenen als Hilfe dienen.
- Office 365 Anträge betroffener Personen für die DSGVO [8]
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability
[12] siehe ISO, IEC 27018, 2014 control A.1.1
(12)(2)
Ermitteln von Informationen für PII-Prinzipale (betroffene Personen) (7.3.2) Der Kunde sollte mit den Anforderungen für die Arten von Informationen über die Verarbeitung personenbezogener Daten vertraut sein, die der Person zur Verfügung gestellt werden sollen. Dies kann Folgendes umfassen:
- Kontaktdetails zum Controller oder seinem Vertreter;
- Informationen zur Verarbeitung (Zweck, internationale Übertragung und dazugehörige Schutzmaßnahmen, Aufbewahrungszeitraum usw.);
- Informationen dazu, wie der Prinzipal auf personenbezogene Daten zugreifen bzw. diese ändern kann; Anfrage zu Löschung oder Einschränkung der Verarbeitung; Empfang einer Kopie seiner personenbezogenen Daten und Portabilität seiner personenbezogenen Daten;
- Vorgehensweise und Quelle in Bezug auf die personenbezogenen Daten (falls der Abruf nicht direkt vom Prinzipal erfolgt);
- Informationen zum Recht auf Einreichung einer Beschwerde und zum Empfänger;
- Informationen zu Korrekturen an personenbezogenen Daten;
- Benachrichtigung, dass die Organisation den Betroffenen (PII-Prinzipal) nicht mehr identifizieren kann, wenn für die Verarbeitung keine Identifizierung des Betroffenen mehr erforderlich ist;
- Übertragungen bzw. Offenlegungen von personenbezogenen Daten;
- Vorhandensein einer automatisierten Entscheidungsfindung, die allein auf der automatisierten Verarbeitung von personenbezogenen Daten basiert;
- Informationen zur Häufigkeit, mit der Informationen für den Betroffenen aktualisiert und bereitgestellt werden (z. B. per „Just-in-Time“-Benachrichtigung, von der Organisation festgelegter Häufigkeit usw.).

Wenn der Kunde Drittanbietersysteme oder -verarbeiter nutzt, sollte er ermitteln, welche Informationen (falls zutreffend) ggf. bereitgestellt werden müssen, und sicherstellen, dass die erforderlichen Informationen vom Drittanbieter beschafft werden können.

Informationen zu Microsoft-Diensten, die Sie in die für Betroffene bereitgestellten Daten einbeziehen können.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
Bereitstellen von Informationen für PII-Prinzipale (7.3.3) Der Kunde sollte alle Anforderungen erfüllen, die sich darauf beziehen, wie, wann und in welcher Form die erforderlichen Informationen für eine Einzelperson in Bezug auf die Verarbeitung ihrer personenbezogenen Daten bereitgestellt werden. In Fällen, in denen ein Drittanbieter ggf. erforderliche Informationen bereitstellt, sollte der Kunde sicherstellen, dass sich dieser Vorgang innerhalb der durch die DSGVO vorgegebenen Parameter vollzieht. Informationen zu Microsoft-Diensten als Vorlagen, die Sie in die für Datensubjekte bereitgestellten Daten einbeziehen können.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung (7.3.4) Der Kunde sollte mit den Anforderungen vertraut sein, um Benutzer über ihr Recht auf Zugriff, Berichtigung und/oder Löschung ihrer personenbezogenen Daten zu informieren und einen Mechanismus dafür bereitzustellen. Wenn ein Drittanbietersystem verwendet wird und diesen Mechanismus als Teil seiner Funktionalität bereitstellt, sollte der Kunde diese Funktionalität bei Bedarf nutzen. Informationen zu den Funktionen von Microsoft-Diensten, die Sie beim Definieren der zum Anfordern der Zustimmung für Betroffene bereitgestellten Informationen nutzen können.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
Bereitstellen eines Mechanismus zum Widerspruch gegen die Verarbeitung (7.3.5) Der Kunde sollte mit den Anforderungen in Bezug auf Rechte betroffener Personen vertraut sein. Hat eine Person ein Recht auf Widerspruch gegen die Verarbeitung, so sollte der Kunde sie darüber informieren und der Person die Möglichkeit geben, ihren Widerspruch zu registrieren. Informationen zu Microsoft-Diensten, die sich auf den Widerspruch der Verarbeitung beziehen und die Sie in für Betroffene bereitgestellte Daten einbinden können.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 4: Einschränkung
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
Gemeinsame Nutzung der Rechte der PII-Prinzipale (7.3.6) Der Kunde sollte mit den Anforderungen in Bezug auf die Benachrichtigung von Drittanbietern, mit denen personenbezogene Daten gemeinsam genutzt wurden, über Fälle von Datenänderungen basierend auf der Ausübung der Rechte von Einzelpersonen vertraut sein (z. B. eine Einzelperson, die eine Löschung oder Änderung anfordert, usw.) Informationen zu Funktionen von Microsoft-Diensten, die Ihnen das Ermitteln von personenbezogenen Daten ermöglichen, für die eine gemeinsame Nutzung mit Drittanbietern erfolgt ist.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]
(19)
Korrektur oder Löschung (7.3.7) Der Kunde sollte mit den Anforderungen vertraut sein, um Benutzer über ihr Recht auf Zugriff, Berichtigung und/oder Löschung ihrer personenbezogenen Daten zu informieren und einen Mechanismus dafür bereitzustellen. Wenn ein Drittanbietersystem verwendet wird und diesen Mechanismus als Teil seiner Funktionalität bereitstellt, sollte der Kunde diese Funktionalität bei Bedarf nutzen. Informationen zu Microsoft-Diensten als Vorlagen, die sich auf ihre Fähigkeit beziehen, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie in für Betroffene bereitgestellte Daten einbinden können.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 5: Löschung
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2)
Bereitstellen einer Kopie der personenbezogenen Informationen (7.3.8) Der Kunde sollte mit den Anforderungen in Bezug auf die Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten für die Einzelperson vertraut sein. Hierzu können auch Anforderungen an das Format der Kopie (z. B. Maschinenlesbarkeit), die Übertragung der Kopie usw. gehören. Wenn der Kunde ein Drittanbietersystem verwendet, das über die Funktionalität zur Bereitstellung von Kopien verfügt, sollte diese Funktionalität je nach Bedarf genutzt werden. Informationen zu Fähigkeiten Microsoft-Diensten, die es Ihnen erlauben, eine Kopie ihrer personenbezogenen Daten zu erhalten, die Sie in für Betroffene bereitgestellte Daten einbinden können.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 6: Export
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
Anforderungsverwaltung (7.3.9) Der Kunde sollte mit den Anforderungen für die Annahme und Beantwortung legitimer Anfragen von Einzelpersonen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten vertraut sein. Wenn der Kunde ein Drittanbietersystem verwendet, sollte er verstehen, ob dieses System die Funktionen für die Bearbeitung von Anforderungen bereitstellt. Wenn dies der Fall ist, sollte der Kunde solche Mechanismen nutzen, um Anfragen nach Bedarf zu verarbeiten. Informationen zu den Funktionen von Microsoft-Diensten zum Definieren der Informationen, die Sie beim Verwalten der Anforderungen von Datensubjekten für diese bereitstellen.
- Office 365-Anträge betroffener Personen gemäß DSGVO [8]: Der Kunde sollte mit den Anforderungen in Bezug auf die automatisierte Verarbeitung personenbezogener Daten und die Art und Weise, wie Entscheidungen durch diese Automatisierung getroffen werden, vertraut sein. Dies kann das Bereitstellen von Informationen zur Verarbeitung für eine Einzelperson, das Widersprechen dieser Verarbeitung oder das Erlangen eines Eingriffs durch Menschen umfassen. Wenn diese Features von einem Drittanbietersystem bereitgestellt werden, sollte der Kunde sicherstellen, dass der Drittanbieter alle erforderlichen Informationen bzw. den entsprechenden Support bereitstellt.

Informationen zu allen Funktionen von Microsoft-Diensten, die ggf. die automatisierte Entscheidungsfindung unterstützen und die Sie in Ihrer Dokumentation zu den Verantwortlichkeiten verwenden können, sowie Informationen zu diesen Funktionen als Vorlagen für Datensubjekte.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]

(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. Datenschutz als Konzept und Standard

Kategorie Zu berücksichtigende Aspekte für Kunden Unterstützende Microsoft-Dokumentation Bezieht sich auf folgende DSGVO-Artikel
Limit-Auflistung (7.4.1) Der Kunde sollte mit den Anforderungen in Bezug auf die Erfassung von personenbezogenen Daten vertraut sein (z. B. die Beschränkung der Erfassung auf die Daten, die für den angegebenen Zweck erforderlich sind). Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden.
- Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(5)(1)(b), (5)(1)(c)
Einschränkung der Verarbeitung (7.4.2) Der Kunde ist dafür verantwortlich, die Verarbeitung von personenbezogenen Daten zu beschränken, damit nur die Daten gesammelt werden, die für den angegebenen Zweck benötigt werden. Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden.
- Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(25)(2)
Definieren und Dokumentieren der PII-Minimierung und von Zielen zur Deidentifizierung (7.4.3) Der Kunde sollte mit den Anforderungen in Bezug auf die Deidentifizierung von personenbezogenen Daten vertraut sein. Hierzu können der Zeitpunkt der Nutzung, das Ausmaß der Deidentifizierung und Fälle gehören, in denen die Nutzung nicht möglich ist. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. (5)(1)(c)
Einhalten von Identifizierungsebenen (7.4.4) Der Kunde sollte die Ziele und Methoden für die Deidentifizierung nutzen und einhalten, die von seiner Organisation vorgegeben werden. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. (5)(1)(c)
PII-Deidentifizierung und -Löschung (7.4.5) Der Kunde sollte die Anforderungen in Bezug auf die Aufbewahrung personenbezogener Daten nach seiner Verwendung für die angegebenen Zwecke verstehen. Sofern vom System bereitgestellte Tools, sollte der Kunde diese Tools verwenden, um nach Bedarf zu löschen oder zu löschen. Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenaufbewahrung.
- Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 5: Löschung
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
Temporäre Dateien (7.4.6) Der Kunde sollte sich über temporäre Dateien bewusst sein, die möglicherweise vom System erstellt werden, die zu einer Nichteinhaltung von Richtlinien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten führen können (beispielsweise könnten personenbezogene Daten möglicherweise länger als erforderlich oder zulässig in einer temporären Datei aufbewahrt werden). Wenn vom System Tools zum Löschen oder Überprüfen von temporären Dateien bereitgestellt werden, sollte der Kunde diese Tools nutzen, um die Anforderungen zu erfüllen. Eine Beschreibung von Funktionen, die vom Dienst zum Identifizieren von personenbezogenen Daten bereitgestellt werden, um Ihre Richtlinien zu temporären Dateien zu unterstützen.
- Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 1: Ermittlung
(5)(1)(c)
Aufbewahrung (7.4.7) Der Kunde sollte ermitteln, wie lange Daten aufbewahrt werden sollten, und dabei den angegebenen Zweck berücksichtigen. Informationen zur Aufbewahrung von personenbezogenen Daten durch Microsoft-Dienste, die Sie in für Datensubjekte bereitgestellte Dokumentation einbinden können.
- Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Aufbewahrung [1]
(13)(2)(a), (14)(2)(a)
Entsorgung (7.4.8) Der Kunde sollte die vom System bereitgestellten Lösch- oder Entsorgungsmechanismen nutzen, um personenbezogene Daten zu löschen. Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenlöschung.
-* Office 365-Anforderungen betroffener Personen für die DSGVO* [8] siehe Schritt 5: Löschung
(5)(1)(f)
Sammlungsverfahren (7.4.9) Der Kunde sollte mit den Anforderungen in Bezug auf die Genauigkeit von personenbezogenen Daten (z. B. Genauigkeit bei der Erfassung, Halten von Daten auf dem aktuellen Stand usw.) vertraut sein und die Mechanismen nutzen, die vom System zu diesem Zweck bereitgestellt werden. Wie Microsoft-Dienste die Genauigkeit von personenbezogenen Daten unterstützen, und zu allen bereitgestellten Funktionen zur Unterstützung Ihrer Richtlinie zur Datengenauigkeit.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 3: Korrektur
(5)(1)(d)
Übertragungssteuerungen (7.4.10) Der Kunde sollte mit den Anforderungen in Bezug auf den Schutz der Übertragung personenbezogener Daten vertraut sein, z.B. Personen, die Zugriff auf Übertragungsmechanismen haben, Aufzeichnungen der Übertragung usw. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(15)(2), (30)(1)(e), (5)(1)(f)
Identifizieren der Basis für die PII-Übertragung (7.5.1) Der Kunde sollte mit den Anforderungen in Bezug auf das Übertragen von personenbezogenen Daten (PII) an einen anderen geografischen Ort und das Dokumentieren der vorhandenen Maßnahmen zur Erfüllung dieser Anforderungen vertraut sein. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
Artikel (44), (45), (46), (47), (48) und (49)
Länder und Organisationen, in die personenbezogene Informationen übertragen werden können (7.5.2) Der Kunde sollte die Länder, in die personenbezogene Daten übertragen werden oder übertragen werden, verstehen und der Person zur Verfügung stellen können. Kann ein Drittanbieter/Verarbeiter diese Übertragung durchführen, sollte der Kunde diese Informationen vom Auftragsverarbeiter erhalten. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(30)(1)(e)
Aufzeichnungen über übertragungen personenbezogener Daten (personenbezogene Daten) (7.5.3) Der Kunde sollte alle erforderlichen und erforderlichen Aufzeichnungen im Zusammenhang mit der Übertragung personenbezogener Daten führen. Wenn ein Drittanbieter/Verarbeiter die Übertragung durchführt, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen führt und diese nach Bedarf abruft. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
(30)(1)(e)
Aufzeichnungen über die Offenlegung personenbezogener Informationen an Dritte (7.5.4) Der Kunde sollte mit den Anforderungen rund um die Aufzeichnung vertraut sein, an wen personenbezogene Daten weitergegeben wurden. Dies kann Offenlegungen für Strafverfolgungsbehörden usw. umfassen. Wenn ein Drittanbieter/Auftragsverarbeiter die Daten offenlegt, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen führt und diese nach Bedarf abruft. Bereitgestellte Dokumentation zu den Kategorien von Empfängern der Offenlegungen personenbezogener Daten, einschließlich der verfügbaren Aufzeichnungen zur Offenlegung.
- Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6]
(30)(1)(d)
Gemeinsamer Verantwortlicher (7.5.5) Der Kunde sollte ermitteln, ob er zusammen mit einer anderen Organisation als gemeinsamer Controller fungiert, und die Zuständigkeiten auf geeignete Weise dokumentieren und zuordnen. Dokumentation von Microsoft-Diensten, die als Controller von persönlichen Informationen dienen, einschließlich Informationen als Vorlagen, die in Dokumentation für Datensubjekte eingefügt werden können.
- Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1]

5. Datensicherheit &

Kategorie Zu berücksichtigende Aspekte für Kunden Unterstützende Microsoft-Dokumentation Bezieht sich auf folgende DSGVO-Artikel
Grundlegendes zur Organisation und ihrem Kontext (5.2.1) Kunden sollten ihre Rolle bei der Verarbeitung von personenbezogenen Daten (z. B. Controller, Verarbeiter, Co-Controller) ermitteln, um die entsprechenden Anforderungen (gesetzlich usw.) an die Verarbeitung von personenbezogenen Daten zu identifizieren. Beschreibung, wie Microsoft jeden Dienst entweder als Verarbeiter oder Controller einstuft, wenn personenbezogene Daten verarbeitet werden.
- Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter und Controller – Rollen und Verantwortlichkeiten, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter, und Controller – Rollen und Verantwortlichkeiten [1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
Grundlegendes zu den Bedürfnissen und Erwartungen interessierter Parteien (5.2.2) Kunden sollten Parteien identifizieren, die bei der Verarbeitung von personenbezogenen Daten ggf. eine Rolle innehaben oder ein Interesse daran haben (z. B. Regulatoren, Auditoren, Datensubjekte, unter Vertrag stehende Verarbeiter personenbezogener Daten), und mit den Anforderungen vertraut sein, die mit der Einbindung dieser Parteien je nach Bedarf verbunden sind. Beschreibung, wie Microsoft die Sichtweisen aller Beteiligten in Bezug auf die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken berücksichtigt.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]
- Office 365 ISMS Manual [14] siehe 4.2. GRUNDLEGENDES ZU DEN ANFORDERUNGEN UND ERWARTUNGEN VON INTERESSENTEN
- Grundlegendes zu den Anforderungen und Erwartungen von Interessenten (5.2.2) im Compliance-Manager
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit (5.2.3, 5.2.4) Ein allgemeines Sicherheits- oder Datenschutzprogramm, über das ein Kunde ggf. verfügt, sollte die Verarbeitung von personenbezogenen Daten und der dazugehörigen Anforderungen umfassen. Beschreibung, wie Microsoft-Dienste die Verarbeitung personenbezogener Daten in Informationssicherheitsverwaltungs- und Datenschutzprogrammen einschließen.
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19
- SOC 2 Type 2 Audit Report [11]
- Office 365 ISMS-Handbuch [14] siehe 4. Kontext der Organisation
- 5.2.3 Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit
- 5.2.4 Verwaltungssystems für die Informationssicherheit im Compliance-Manager
(32)(2)
Planung (5.3) Kunden sollten die Verarbeitung von personenbezogenen Daten im Rahmen aller durchgeführten Risikobewertungen berücksichtigen und angemessene Kontrollen einbauen, um das Risiko für unter der Kontrolle des Kunden befindliche personenbezogene Daten zu mindern. Beschreibung, wie für Microsoft-Dienste die spezifischen Risiken der Verarbeitung von personenbezogenen Daten im Rahmen des allgemeinen Sicherheits- und Datenschutzprogramms berücksichtigt werden.
- Office 365 ISMS Manual [14] siehe 5.2 Richtlinie
- 5.3 Planung im Compliance-Manager
(32)(1)(b), (32)(2)
Informationssicherheitsrichtlinien (6.2) Der Kunde sollte alle vorhandenen Richtlinien zur Informationssicherheit um den Schutz personenbezogener Daten erweitern, z.B. mit Richtlinien, die zur Einhaltung geltender Gesetze erforderlich sind. Microsoft-Richtlinien zur Informationssicherheit und spezifische Maßnahmen zum Schutz personenbezogener Informationen.
- Microsoft Office 365 (gesamt) ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19
- SOC 2 Type 2 Audit Report [11]
- 6.2 Richtlinien für die Informationssicherheit im Compliance-Manager
24(2)
Organisation der Informationssicherheit für Kunden (6.3) Der Kunde sollte innerhalb seiner Organisation die Verantwortlichkeiten für die Sicherheit und den Schutz personenbezogener Daten definieren. Dazu gehört ggf. das Einrichten spezifischer Rollen zur Beaufsichtigung von datenschutzrelevanten Fragen, einschließlich einer DSB. Zur Unterstützung dieser Rollen sollten geeignete Schulungs- und Verwaltungsunterstützung bereitgestellt werden. Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen.
- Datenschutzbeauftragter von Microsoft [18]
- Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN
- 6.3 Organisation der Informationssicherheit im [Compliance-Manager]
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
Personalsicherheit (6.4) Der Kunde sollte die Verantwortlichkeiten zur Bereitstellung von relevanten Schulungen in Bezug auf den Schutz von personenbezogenen Daten ermitteln und zuweisen. Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen.
- Datenschutzbeauftragter von Microsoft [18]
- Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN
- 6.4 Sicherheit im Personalwesen im Compliance-Manager
(39)(1)(b)
Klassifizierung von Informationen (6.5.1) Der Kunde sollte personenbezogene Daten explizit als Teil eines Schemas zur Datenklassifizierung ansehen. Funktionen in Office 365 zur Unterstützung der Klassifizierung personenbezogener Daten.
- Schutz von Informationen in Office 365 für die DSGVO [5] siehe „Entwerfen eines Klassifikationsschemas für personenbezogene Daten“
- 6.5.1 Klassifizierung von Informationen im Compliance-Manager
(39)(1)(b)
Verwaltung von Wechselmedien (6.5.2) Der Kunde sollte interne Richtlinien für die Verwendung von Wechselmedien in Bezug auf den Schutz von personenbezogenen Daten ermitteln (z. B. Verschlüsselung von Geräten). Beschreibung, wie Microsoft-Dienste für die Sicherheit von personenbezogenen Informationen auf Wechselmedien sorgen.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz
- Verwaltung von Wechselmedien im Compliance-Manager
(32)(1)(a), (5)(1)(f)
Übertragung physischer Medien (6.5.3) Der Kunde sollte interne Richtlinien zum Schutz von personenbezogenen Daten bei der Übertragung von physischen Medien festlegen (z. B. Verschlüsselung). Beschreibung, wie für Microsoft-Dienste personenbezogene Daten während einer Übertragung von physischen Medien geschützt werden.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz
- 6.5.3 Übertragung physischer Medien im Compliance-Manager
(32)(1)(a), (5)(1)(f)
Verwaltung des Benutzerzugriffs (6.6.1) Der Kunde sollte damit vertraut sein, welche Verantwortlichkeiten für ihn in Bezug auf die Zugriffssteuerung im genutzten Dienst gelten, und diese Verantwortlichkeiten mit den verfügbaren Tools entsprechend verwalten. Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365
- 6.6.1 im Compliance-Manager
(5)(1)(f)
Registrierung und Aufhebung der Registrierung für Benutzer (6.6.2) Der Kunde sollte die Registrierung und Aufhebung der Registrierung für Benutzer im genutzten Dienst verwalten, indem er die verfügbaren Tools verwendet. Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365
- 6.6.2 Registrierung und Aufhebung der Registrierung für Benutzer im Compliance-Manager
(5)(1)(f)
Bereitstellung des Benutzerzugriffs (6.6.3) Der Kunde sollte Benutzerprofile, vor allem für den berechtigten Zugriff auf personenbezogene Daten, innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet. Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen, Zugriff auf Anwendungen und die Registrierung und Aufhebung der Registrierung von Benutzern.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365
- Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15]
- Benutzerzugriffsbereitstellung im Compliance-Manager
(5)(1)(f)
Verwaltung des privilegierten Zugriffs (6.6.4) Kunden sollten Benutzenden-IDs verwalten, um die Zugriffsverfolgung (insbesondere auf personenbezogene Daten) innerhalb des genutzten Dienstes unter Verwendung der zur Verfügung stehenden Tools zu erleichtern. Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365
- Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15]
-6.6.4 Verwaltung des privilegierten Zugriffs im Compliance-Manager
(5)(1)(f)
Sichere Anmeldeverfahren (6.6.5) Der Kunde sollte die vom Dienst bereitgestellten Mechanismen nutzen, um sichere Anmeldefunktionen für seine Benutzer einzurichten, wo dies erforderlich ist. Beschreibung, wie Microsoft-Dienste Richtlinien für die interne Zugriffssteuerung in Bezug auf personenbezogene Daten unterstützen.
- Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6]
- 6.6.5 Sichere Anmeldeverfahren im Compliance-Manager
(5)(1)(f)
Kryptografie (6.7) Der Kunde sollte ermitteln, welche Daten möglicherweise verschlüsselt werden müssen und ob der von ihnen genutzte Dienst diese Funktion bietet. Der Kunde sollte die Verschlüsselung nach Bedarf verwenden, indem er die verfügbaren Tools verwendet. Beschreibung, wie Microsoft-Dienste die Verschlüsselung und Pseudonymisierung unterstützen, um das Risiko der Verarbeitung personenbezogener Daten zu mindern.
- FedRAMP Moderate – FedRAMP-System-Sicherheitsplan (SSP) siehe Cosmos ab S. 29
- 6.7 Kryptographie im Compliance-Manager
(32)(1)(a)
Sichere Entsorgung oder Wiederverwendung von Ausrüstung (6.8.1) Bei Verwendung von Cloud Computing-Diensten (PaaS, SaaS, IaaS) sollte der Kunde damit vertraut sein, wie der Cloudanbieter sicherstellt, dass personenbezogene Daten aus dem Speicherbereich gelöscht werden, bevor dieser Bereich einem anderen Kunden zugewiesen wird. Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass persönliche Daten von Speicherausrüstung gelöscht werden, bevor diese Ausrüstung übertragen oder wiederverwendet wird.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz
- 6.8.1 Sichere Entsorgung oder Wiederverwendung von Ausrüstung im Compliance-Manager
(5)(1)(f)
Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm (6.8.2) Der Kunde sollte Risiken im Zusammenhang mit Papiermaterial, das personenbezogene Daten anzeigt, berücksichtigen und die Erstellung dieses Materials unter Umständen einschränken. Wenn das verwendete System die Möglichkeit bietet, dies einzuschränken (z. B. Einstellungen zum Verhindern des Ausdrucks oder Kopierens/Einfügens vertraulicher Daten), sollte der Kunde die Notwendigkeit in Betracht ziehen, diese Funktionen zu nutzen. Beschreibung, was bei Microsoft zur Verwaltung von Hardcopy-Material implementiert wird.
Interne Verwaltung von Kontrollmechanismen bei Microsoft, siehe Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] A.10.2, A.10.7, und A.4.1
- 6.8.2 Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm im Compliance-Manager
(5)(1)(f)
Trennung von Umgebungen für Entwicklung, Tests und Betrieb (6.9.1) Der Kunde sollte die Auswirkungen berücksichtigen, die mit der Verwendung von personenbezogenen Daten in Entwicklungs- und Testumgebungen in seiner Organisation verbunden sind. Beschreibung, wie bei Microsoft sichergestellt wird, dass personenbezogene Daten in Entwicklungs- und Testumgebungen geschützt sind.
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.12.1.4
- 6.9.1 Trennung von Umgebungen für Entwicklung, Tests und Betrieb im Compliance-Manager
5(1)(f)
Informationssicherung (6.9.2) Der Kunde sollte sicherstellen, dass er vom System bereitgestellte Funktionen nutzt, um Redundanzen für seine Daten zu erstellen und je nach Bedarf Tests durchzuführen. Beschreibung, wie bei Microsoft die Verfügbarkeit der Daten sichergestellt wird, in denen personenbezogene Daten enthalten sein können, wie für die Genauigkeit von wiederhergestellten Daten gesorgt wird und welche Tools und Verfahren von den Microsoft-Diensten bereitgestellt werden, um Ihnen das Sichern und Wiederherstellen von Daten zu ermöglichen.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 10.9 Verfügbarkeit
- 6.9.2 Informationssicherung im Compliance-Manager
(32)(1)(c), (5)(1)(f)
Ereignisprotokollierung (6.9.3) Der Kunde sollte mit den Funktionen für die Protokollierung vertraut sein, die vom System bereitgestellt werden. Er sollte mit diesen Funktionen sicherstellen, dass Aktionen, für die dies erforderlich ist, für personenbezogene Daten protokolliert werden können. Die Daten, die vom Microsoft-Dienst für Sie aufgezeichnet werden, z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse in Bezug auf die Informationssicherheit, und die Vorgehensweise zum Zugreifen auf diese Protokolle zur Verwendung im Rahmen der Aufzeichnungen.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]
- 6.9.3 Ereignisprotokollierung im Compliance-Manager
(5)(1)(f)
Schutz von Protokollinformationen (6.9.4) Der Kunde sollte Anforderungen zum Schutz von Protokollinformationen berücksichtigen, die personenbezogene Daten enthalten oder Datensätze im Zusammenhang mit der Verarbeitung personenbezogener Daten enthalten können. Wenn das verwendete System Funktionen zum Schutz von Protokollen bereitstellt, sollte der Kunde diese Funktionen bei Bedarf nutzen. Beschreibung, wie bei Microsoft Protokolle geschützt werden, die ggf. personenbezogene Daten enthalten.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]
- 6.9.4 Schutz von Protokollinformationen im Compliance Manager
(5)(1)(f)
Informationsübertragung – Richtlinien und Verfahren (6.10.1) Der Kunde sollte Verfahren für Fälle haben, in denen personenbezogene Daten auf physischen Medien übertragen werden können (z. B. eine Festplatte, die zwischen Servern oder Einrichtungen verschoben wird). Dazu können Protokolle, Autorisierungen und Nachverfolgung gehören. Wenn ein Drittanbieter oder ein anderer Auftragsverarbeiter physische Medien übertragen kann, sollte der Kunde sicherstellen, dass die Organisation über Verfahren verfügt, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Beschreibung, wie für Microsoft-Dienste physische Medien übertragen werden, die ggf. personenbezogene Daten enthalten, einschließlich der Umstände einer Übertragung, und der getroffenen Maßnahmen zum Schützen der Daten.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz
- 6.10.1 Informationsübertragung – Richtlinien und Verfahren Compliance-Manager
(5)(1)(f)
Vertraulichkeits- bzw. Geheimhaltungsverträge (6.10.2) Der Kunde sollte ermitteln, ob Geheimhaltungsverträge oder entsprechende Vereinbarungen für Einzelpersonen, die Zugriff auf personenbezogene Daten haben oder über entsprechende Verantwortlichkeiten verfügen, erforderlich sind. Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass sich Einzelpersonen mit autorisiertem Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet haben.
- SOC 2 Typ 2 Überwachungsbericht [11], siehe CC1.4 ab S. 33
- 6.10.2 Vertraulichkeits- bzw. Geheimhaltungsverträge im Compliance-Manager
(5)(1)(f), (28)(3)(b), (38)(5)
Sichern von Anwendungsdiensten in öffentlichen Netzwerken (6.11.1) Der Kunde sollte mit den Anforderungen für die Verschlüsselung personenbezogener Daten vertraut sein, insbesondere, wenn er über öffentliche Netzwerke gesendet wird. Wenn das System Mechanismen zum Verschlüsseln von Daten bereitstellt, sollte der Kunde diese Mechanismen bei Bedarf nutzen. Beschreibungen der Maßnahmen, die für Microsoft-Dienste unternommen werden, um Daten während der Übertragung zu schützen, einschließlich Verschlüsselung der Daten. Es wird auch beschrieben, wie für Microsoft-Dienste Daten geschützt werden, die ggf. personenbezogene Daten enthalten, wenn diese über öffentliche Datennetzwerke übertragen werden, einschließlich Verschlüsselungsmaßnahmen.
- Verschlüsselung in der Microsoft-Cloud [17] siehe Verschlüsselung von Kundendaten bei der Übertragung
- 6.11.1 Schützen von Anwendungsdiensten in öffentlichen Netzwerken Compliance-Manager
(5)(1)(f), (32)(1)(a)
Prinzipien sicherer Systeme (6.11.2) Der Kunde sollte sich darüber im klaren sein, wie Systeme für den Schutz personenbezogener Daten konzipiert und entwickelt sind. Wenn ein Kunde ein von einem Drittanbieter entwickeltes System verwendet, liegt es in seiner Verantwortung, sicherzustellen, dass dieser Datenschutz berücksichtigt wurde. Beschreibung, wie bei Microsoft-Diensten Prinzipien des Schutzes von personenbezogenen Daten ein obligatorischer Teil der Prinzipien für den sicheren Entwurf und die sichere Erstellung sind.
- SOC 2 Typ 2 Überwachungsbericht [11], siehe Security Development Lifecycle ab. S. 23, CC7.1 ab S. 45.
- Sichere System-Engineering-Prinzipien im Compliance-Manager
(25)(1)
Lieferantenbeziehungen (6.12) Der Kunde sollte sicherstellen, dass alle Anforderungen in Bezug auf die Informationssicherheit und den Schutz von personenbezogenen Daten sowie die hiermit verbundenen Verantwortlichkeiten von Dritten vertraglich festgelegt bzw. Teil anderer Vereinbarungen sind. In den Vereinbarungen sollten außerdem die Anweisungen zur Verarbeitung enthalten sein. Beschreibung, wie für Microsoft-Dienste die Sicherheit und der Datenschutz in den Vereinbarungen mit unseren Lieferanten geregelt ist und wie sichergestellt wird, dass diese Vereinbarungen auf effektive Weise umgesetzt werden.
- Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6]
- Verträge für Verarbeiter als Subunternehmer: Arbeiten als Vertragspartner von Microsoft [7]
- 6.12 Lieferantenbeziehungen im Compliance-Manager
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)
Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit (6.13.1) Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. Beschreibung, wie für Microsoft-Dienste ermittelt wird, ob ein Sicherheitsvorfall eine Verletzung Ihrer personenbezogenen Daten darstellt, und wie wir Sie über die Verletzung informieren.
- Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9]
- 6.13.1 Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit im Compliance-Manager
(33)(2)
Verantwortlichkeiten und Verfahren (bei Vorfällen zur Informationssicherheit) (6.13.2) Der Kunde sollte seine Verantwortlichkeiten während einer Datenschutzverletzung oder eines Sicherheitsvorfalls, der personenbezogene Daten betrifft, verstehen und dokumentieren. Zu den Verantwortlichkeiten gehören die Benachrichtigung erforderlicher Parteien, die Kommunikation mit Auftragsverarbeitern oder anderen Dritten sowie Die Verantwortlichkeiten innerhalb der Organisation des Kunden. Beschreibung, wie Sie Microsoft-Dienste informieren können, wenn Sie einen Sicherheitsvorfall oder eine Verletzung von personenbezogenen Daten erkennen.
- Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9]
- 6.13.2 Verantwortlichkeiten und Verfahren im Compliance-Manager
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
Antwort auf Vorfälle zur Informationssicherheit (6.13.3) Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. Beschreibungen der Informationen, die von Microsoft-Diensten bereitgestellt werden, damit Sie entscheiden können, ob für personenbezogene Daten eine Verletzung vorliegt.
- Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9]
- 6.13.3 Antwort auf Vorfälle zur Informationssicherheit im Compliance-Manager
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
Schutz von Datensätzen (6.15.1) Der Kunde sollte mit den Anforderungen, die in Bezug auf die für personenbezogene Daten erforderlichen Aufzeichnungen und die damit verbundene Verwaltung gelten, vertraut sein. Beschreibung, wie für Microsoft-Dienste Aufzeichnungen in Bezug auf die Verarbeitung von personenbezogenen Daten gespeichert werden.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.18.1.3
- Office 365 ISMS Handbuch [14] siehe 9. Leistungsbeurteilung
(5)(2), (24)(2)
Unabhängige Überprüfung der Informationssicherheit (6.15.2) Der Kunde sollte sich der Anforderungen an die Bewertung der Sicherheit der Verarbeitung personenbezogener Daten bewusst sein. Dies kann interne oder externe Audits oder andere Maßnahmen zur Bewertung der Sicherheit der Verarbeitung umfassen. Wenn der Kunde für die gesamte oder einen Teil der Verarbeitung von einer anderen Organisation eines Drittanbieters abhängig ist, sollte er Informationen über diese von ihm durchgeführten Bewertungen sammeln. Beschreibung, wie für Microsoft-Dienste die Effektivität von technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit getestet und bewertet wird, einschließlich Audits durch Dritte.
- Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1]
- Office 365 ISMS Manual [14] siehe 9. Leistungsbeurteilung
- 6.15.2 Unabhängige Überprüfung der Informationssicherheit im Compliance-Manager
(32)(1)(d), (32)(2)
Überprüfung der technischen Compliance (6.15.3) Der Kunde sollte die Anforderungen an die Prüfung und Bewertung der Sicherheit der Verarbeitung personenbezogener Daten kennen. Dies kann technische Prüfungen wie z. B. Penetrationstests umfassen. Wenn der Kunde ein Fremdsystem oder einen Prozessor verwendet, sollte er kennen, welche Verantwortung er für die Sicherung und das Testen der Sicherheit hat (z. B. Konfigurationen zur Datensicherung verwalten und dann diese Konfigurationseinstellungen testen). Wenn der Drittanbieter ganz oder teilweise für die Sicherheit der Verarbeitung verantwortlich ist, sollte der Kunde wissen, welche Test- oder Evaluierungsmaßnahmen der Drittanbieter durchführt, um die Sicherheit der Verarbeitung zu gewährleisten. Beschreibung, wie die Sicherheit von Microsoft-Diensten basierend auf identifizierten Risiken getestet wird, z.B. Tests von Dritten, und welche Arten von technischen Tests und verfügbaren Berichte zu den Tests vorhanden sind.
- Microsoft-Onlinedienstbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1]
- Eine Liste mit externen Zertifizierungen finden Sie unter den Compliance-Angeboten im Microsoft Trust Center [13]
- Weitere Informationen zu Penetrationstests für Ihre Anwendungen finden Sie im FedRAMP Moderate – FedRAMP-System – Sicherheitsplan (SSP)[3], CA-8 Penetration Testing (M) (H) ab S. 204
- 6.15.3 Überprüfung der technischen Compliance im Manager
(32)(1)(d), (32)(2)
ID Beschreibung/Link
1 Onlinedienstbedingungen
2 Dokumentation zur Office 365-Sicherheit
3 FedRAMP Moderate – FedRAMP-System – Sicherheitsplan (SSP)
4 Microsoft Cloud-Sicherheitsrichtlinie
5 Schutz von Informationen in Office 365 für die DSGVO
6 Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann
7 Verträge für Verarbeiter als Subunternehmer: Arbeiten als Vertragspartner von Microsoft
8 Anträge von 365-betroffenen Personen im Rahmen der DSGVO
9 Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO
10 Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten
11 SOC 2 Typ 2 Überwachungsbericht
12 Microsoft Office 365 ISO/IEC 27001:2013 ISMS Erklärung zur Anwendbarkeit (SOA)
13 Microsoft Trust Center – Complianceangebote
14 Office 365 ISMS-Handbuch
15 Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen
16 Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center
17 Verschlüsselung in der Microsoft-Cloud
18 Datenschutzbeauftragter von Microsoft

Weitere Informationen