Prüfliste für Microsoft-Support und Dienstleistungen zu den Verantwortlichkeiten für die DSGVO
1. Einführung
Diese Prüfliste zu den Verantwortlichkeiten ist eine bequeme Möglichkeit, um auf Informationen zuzugreifen, die Sie bei Nutzung von Microsoft Professional Services und Supportdiensten zur Unterstützung der DSGVO unter Umständen benötigen. Die Prüfliste ist basierend auf den Titeln und der Referenznummer (für jedes Prüflistenthema in Klammern) einer Gruppe von Datenschutz- und Sicherheitskontrollen für Verarbeiter von personenbezogenen Daten aufgebaut:
- ISO/IEC 27701 für Techniken und Anforderungen im Zusammenhang mit dem Datenschutzinformationsmanagement.
- ISO/IEC 27001 für Anforderungen an die Sicherheitstechnik.
Diese Kontrollstruktur wird auch verwendet, um die Präsentation der internen Kontrollen zu organisieren, die Microsoft Professional Services implementiert, um GDPR zu unterstützen, das Sie vom Service Trust Portal herunterladen können.
2. Bedingungen für Sammlung und Verarbeitung
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Identifizieren und Dokumentieren des Zwecks (7.2.1) | Der Kunde sollte den Zweck dokumentieren, zu dem personenbezogene Daten verarbeitet werden. | Eine Beschreibung der Verarbeitung, die von Microsoft für Sie durchgeführt wird, und der Zweck dieser Verarbeitung zum Einfügen in Ihre Dokumentation zur Verantwortlichkeit. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(5)(1)(b), (32)(4) |
| Identifizieren der rechtmäßigen Grundlage (7.2.2) | Der Kunde sollte sich mit allen Anforderungen in Bezug auf die rechtmäßige Grundlage der Verarbeitung vertraut machen, z.B. eine ggf. erforderliche Erteilung der Zustimmung. | Eine Beschreibung der Verarbeitung personenbezogener Daten durch Microsoft-Dienste zur Aufnahme in Ihre Verantwortlichkeitsdokumentation. | |
- Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) | ||
| Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) | Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung. | Von Microsoft Professional Services wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. | (6)(1)(a), (8)(1), (8)(2) |
| Einholen und Aufzeichnen der Zustimmung (7.2.4) | Wenn dies als erforderlich ermittelt wird, sollte der Kunde die Zustimmung entsprechend einholen. Außerdem sollte der Kunde mit allen Anforderungen vertraut sein, die für das Präsentieren und Erfassen einer Zustimmungsanforderung gelten. | Von Microsoft Professional Services wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. | (7)(1), (7)(2), (9)(2)(a) |
| Datenschutz-Folgenabschätzung (7.2.5) | Der Kunde sollte die Anforderungen zur Durchführung von Datenschutz-Folgenabschätzungen kennen (wann diese durchgeführt werden sollten, ggf. relevante Datenkategorien, Zeitpunkt der Folgenabschätzung). | Microsoft Professional Services bietet Hilfestellung, wann und wie Sie bestimmen, wann ein DPIA durchgeführt werden soll, und eine Übersicht über das DPIA-Programm bei Microsoft, einschließlich der Beteiligung des DPO, die auf dem Service Trust Portal Datenschutz-Folgenabschätzung in Bezug auf Kundendaten (DPIAs)-Seite bereitgestellt wird. Unterstützung für Ihre Datenschutz-Folgenabschätzungen finden Sie unter: |
Artikel (35) |
| Verträge mit Verarbeitern von personenbezogenen Informationen (7.2.6) | Der Kunde sollte sicherstellen, dass seine Verträge mit Verarbeitern Anforderungen zur Hilfestellung in Bezug auf alle relevanten rechtlichen oder gesetzlichen Verpflichtungen enthalten, die sich auf die Verarbeitung und den Schutz von personenbezogenen Daten beziehen. | Die Microsoft-Verträge, die uns verpflichten, Ihnen bei der Erfüllung Ihrer Verpflichtungen im Rahmen der DSGVO zu helfen, einschließlich der Unterstützung für die Rechte des Betroffenen. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Aufzeichnungen zur Verarbeitung von personenbezogenen Informationen (7.2.7) | Der Kunde sollte alle benötigten und erforderlichen Aufzeichnungen verwalten, die sich auf die Verarbeitung von personenbezogenen Daten beziehen (z. B. Zweck, Sicherheitsmaßnahmen usw.). Falls einige dieser Aufzeichnungen von einem Unterverarbeiter bereitgestellt werden müssen, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen abrufen kann. | Microsoft Professional Services verwaltet Einträge, die zum Nachweis der Compliance und Unterstützung für die Verantwortlichkeit im Rahmen der DSGVO erforderlich sind. Weitere Informationen finden Sie in der Microsoft Professional Services-Sicherheitsdokumentation [2]. | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Rechte von Betroffenen
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Ermitteln der Rechte von PII-Prinzipalen und Aktivierungsvorgang (7.3.1) | Der Kunde sollte die Anforderungen an die Rechte von Einzelpersonen kennen, die sich auf die Verarbeitung ihrer personenbezogenen Daten beziehen. Zu diesen Rechten können Aspekte wie Zugriff, Korrektur und Löschung gehören. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er ermitteln, welche Teile des Systems (falls zutreffend) über Tools verfügen, die Einzelpersonen die Ausübung ihrer Rechte ermöglichen (z. B. den Zugriff auf ihre Daten). Wenn diese Funktionen vom System bereitgestellt werden, sollte der Kunde sie je nach Bedarf einsetzen. | Die von Microsoft bereitgestellten Funktionen, die Ihnen beim Unterstützen der Rechte von Betroffenen als Hilfe dienen. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] |
(12)(2) |
| Ermitteln von Informationen für PII-Prinzipale (Betroffene) (7.3.2) | Der Kunde sollte mit den Anforderungen an die Arten von Informationen zur Verarbeitung von personenbezogenen Daten vertraut sein, die zur Bereitstellung für die Einzelperson verfügbar sind. Dies kann Folgendes umfassen: • Kontaktdetails zum Controller oder seinem Vertreter; • Informationen zur Verarbeitung (Zweck, internationale Übertragung und dazugehörige Schutzmaßnahmen, Aufbewahrungszeitraum usw.); • Informationen dazu, wie der Prinzipal auf personenbezogene Daten zugreifen bzw. diese ändern kann; Anfrage zu Löschung oder Einschränkung der Verarbeitung; Empfang einer Kopie seiner personenbezogenen Daten und Portabilität seiner personenbezogenen Daten; • Wie und woher die personenbezogenen Daten erhalten wurden (falls der Abruf nicht direkt vom Prinzipal erfolgt); • Informationen zum Recht auf Einreichung einer Beschwerde und zum Empfänger; • Informationen zu Korrekturen an personenbezogenen Daten; • Benachrichtigung, dass die Organisation den Betroffenen (PII-Prinzipal) nicht mehr identifizieren kann, wenn für die Verarbeitung keine Identifizierung des Betroffenen mehr erforderlich ist; • Übertragungen bzw. Offenlegungen von personenbezogenen Daten; • Vorhandensein einer automatisierten Entscheidungsfindung, die allein auf der automatisierten Verarbeitung von personenbezogenen Daten basiert; • Informationen zur Häufigkeit, mit der Informationen für den Betroffenen aktualisiert und bereitgestellt werden (z. B. per Just-in-Time-Benachrichtigung, von der Organisation festgelegter Häufigkeit usw.) Wenn der Kunde Drittanbietersysteme oder -verarbeiter nutzt, sollte er ermitteln, welche Informationen (falls zutreffend) ggf. bereitgestellt werden müssen, und sicherstellen, dass die erforderlichen Informationen vom Drittanbieter beschafft werden können. |
Informationen zu Microsoft-Diensten, die Sie in die für Betroffene bereitgestellten Daten einbeziehen können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Bereitstellen von Informationen zu PII-Prinzipalen (7.3.3) | Der Kunde sollte alle Anforderungen erfüllen, die sich darauf beziehen, wie, wann und in welcher Form die erforderlichen Informationen für eine Einzelperson in Bezug auf die Verarbeitung ihrer personenbezogenen Daten bereitgestellt werden. In Fällen, in denen ein Drittanbieter ggf. erforderliche Informationen bereitstellt, sollte der Kunde sicherstellen, dass sich dieser Vorgang innerhalb der durch die DSGVO vorgegebenen Parameter bewegt. | Informationen zu Microsoft-Diensten als Vorlagen, die Sie in die für Datensubjekte bereitgestellten Daten einbeziehen können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung (7.3.4) | Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen. | Informationen zu den Funktionen von Microsoft-Diensten, die Sie beim Definieren der zum Anfordern der Zustimmung für Betroffene bereitgestellten Informationen nutzen können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Bereitstellen eines Mechanismus, mit dem der Verarbeitung widersprochen werden kann (7.3.5) | Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte von Datensubjekten vertraut sein. Wenn eine Einzelperson das Recht hat, der Verarbeitung zu widersprechen, sollten der Kunde diese darüber informieren und eine Möglichkeit schaffen, mit der die Einzelperson den Widerspruch registrieren kann. | Informationen zu Microsoft-Diensten, die sich auf den Widerspruch der Verarbeitung beziehen und die Sie in für Betroffene bereitgestellte Daten einbinden können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Gemeinsame Nutzung der Ausübung der Rechte von PII-Prinzipalen (7.3.6) | Der Kunde sollte mit den Anforderungen in Bezug auf die Benachrichtigung von Drittanbietern, mit denen personenbezogene Daten gemeinsam genutzt wurden, über Fälle von Datenänderungen basierend auf der Ausübung der Rechte von Einzelpersonen vertraut sein (z. B. eine Einzelperson, die eine Löschung oder Änderung anfordert, usw.) | Informationen zu Funktionen von Microsoft-Diensten, die Ihnen das Ermitteln von personenbezogenen Daten ermöglichen, für die eine gemeinsame Nutzung mit Drittanbietern erfolgt ist. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(19) |
| Korrektur oder Löschung (7.3.7) | Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen. | Informationen zu Microsoft-Diensten, die sich auf ihre Fähigkeit beziehen, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie in für Betroffene bereitgestellte Daten einbinden können. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
|
| Bereitstellen einer Kopie der personenbezogenen Informationen (7.3.8) | Der Kunde sollte mit den Anforderungen in Bezug auf die Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten für die Einzelperson vertraut sein. Hierzu können auch Anforderungen an das Format der Kopie (d. h. Maschinenlesbarkeit), die Übertragung der Kopie usw. gehören. Wenn der Kunde ein Drittanbietersystem verwendet, das über die Funktionalität zur Bereitstellung von Kopien verfügt, sollte diese Funktionalität je nach Bedarf genutzt werden. | Informationen zu Funktionen in Microsoft-Diensten, mit denen Sie eine Kopie ihrer persönlichen Daten abrufen können, die Sie in die Daten aufnehmen können, die Sie in für Betroffene bereitgestellte Daten einbinden können. – Anfragen von Microsoft Professional Services-Betroffenen für die DSGVO und die CCPA [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Anfragenverwaltung (7.3.9) | Der Kunde sollte mit den Anforderungen in Bezug auf das Akzeptieren und Antworten auf legitime Anfragen von Einzelpersonen vertraut sein, die sich auf die Verarbeitung ihrer personenbezogenen Daten beziehen. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er wissen, ob das System über die Funktionen zur Verarbeitung dieser Anfragen verfügt. Wenn ja, sollte der Kunde diese Mechanismen nutzen, um Anfragen je nach Bedarf zu verarbeiten. | Informationen zu Funktionen in Microsoft-Diensten, die Sie verwenden können, wenn Sie die Informationen definieren, die Sie betroffenen Personen beim Verwalten von Anforderungen an betroffene Personen bereitstellen.– Anfragen von Microsoft Professional Services-Betroffenen für die DSGVO und die CCPA [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
| Automatisierte Entscheidungsfindung (7.3.10) | Der Kunde sollte mit den Anforderungen in Bezug auf die automatisierte Verarbeitung von personenbezogenen Daten und das Treffen von Entscheidungen im Rahmen dieser Automatisierung vertraut sein. Dies kann das Bereitstellen von Informationen zur Verarbeitung für eine Einzelperson, das Widersprechen dieser Verarbeitung oder das Erlangen eines Eingriffs durch den Menschen umfassen. Wenn diese Features von einem Drittanbietersystem bereitgestellt werden, sollte der Kunde sicherstellen, dass der Drittanbieter alle erforderlichen Informationen bzw. den entsprechenden Support bereitstellt. | Informationen zu allen Funktionen von Microsoft-Diensten, die ggf. die automatisierte Entscheidungsfindung unterstützen und die Sie in Ihrer Dokumentation zu den Verantwortlichkeiten verwenden können, sowie Informationen zu diesen Funktionen als Vorlagen für Datensubjekte. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Datenschutz als Konzept und Standard
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Beschränken der Datensammlung (7.4.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Erfassung von personenbezogenen Daten vertraut sein (z. B. die Beschränkung der Erfassung auf die Daten, die für den angegebenen Zweck erforderlich sind). | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] - Wichtige Informationen von Microsoft Professional Services für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [9]] |
(5)(1)(b), (5)(1)(c) |
| Beschränken der Verarbeitung (7.4.2) | Der Kunde ist dafür verantwortlich, die Verarbeitung von personenbezogenen Daten zu beschränken, damit nur die Daten gesammelt werden, die für den angegebenen Zweck benötigt werden. | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(25)(2) |
| Definieren und Dokumentieren der PII-Minimierung und von Zielen zur Deidentifizierung (7.4.3) | Der Kunde sollte mit den Anforderungen in Bezug auf die Deidentifizierung von personenbezogenen Daten vertraut sein. Hierzu können der Zeitpunkt der Nutzung, das Ausmaß der Deidentifizierung und Fälle gehören, in denen die Nutzung nicht möglich ist. | Der Kunde ist für die Deidentifizierung verantwortlich, bevor Daten an Microsoft übertragen werden. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
| Einhalten von Identifizierungsebenen (7.4.4) | Der Kunde sollte die Ziele und Methoden für die Deidentifizierung nutzen und einhalten, die von seiner Organisation vorgegeben werden. | Der Kunde ist für die Deidentifizierung verantwortlich, bevor Daten an Microsoft übertragen werden. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
| PII-Deidentifizierung und -Löschung (7.4.5) | Der Kunde sollte mit den Anforderungen in Bezug auf die Aufbewahrung von personenbezogenen Daten über die Nutzung für den angegebenen Zweck hinaus vertraut sein. Wenn vom System entsprechende Tools bereitgestellt werden, sollte der Kunde diese Tools nutzen, um je nach Bedarf Löschvorgänge durchzuführen. | Von Microsoft-Diensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenaufbewahrung. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Temporäre Dateien (7.4.6) | Der Kunde sollte sich über temporäre Dateien bewusst sein, die möglicherweise an Microsoft gesendet werden, die zu einer Nichteinhaltung von Richtlinien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten führen kann (beispielsweise könnten personenbezogene Daten möglicherweise länger als erforderlich oder zulässig in einer temporären Datei aufbewahrt werden). | Eine Beschreibung von Funktionen, die vom Dienst zum Identifizieren von personenbezogenen Daten bereitgestellt werden, um Ihre Richtlinien zu temporären Dateien zu unterstützen. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(c) |
| Aufbewahrung (7.4.7) | Der Kunde sollte ermitteln, wie lange Daten aufbewahrt werden sollten, und dabei den angegebenen Zweck berücksichtigen. | Informationen zur Aufbewahrung von personenbezogenen Daten durch Microsoft-Dienste, die Sie in für Betroffene bereitgestellte Dokumentation einbinden können. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(13)(2)(a), (14)(2)(a) |
| Entsorgung (7.4.8) | Der Kunde sollte die vom System bereitgestellten Lösch- oder Entsorgungsmechanismen nutzen, um personenbezogene Daten zu löschen. | Von Microsoft-Diensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenlöschung. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(f) |
| Sammlungsverfahren (7.4.9) | Der Kunde sollte mit den Anforderungen in Bezug auf die Genauigkeit von personenbezogenen Daten (z. B. Genauigkeit bei der Erfassung, Halten von Daten auf dem aktuellen Stand usw.) vertraut sein und die Mechanismen nutzen, die vom System zu diesem Zweck bereitgestellt werden. | Informationen dazu, wie Microsoft-Dienste die Genauigkeit von personenbezogenen Daten unterstützen, und zu allen bereitgestellten Funktionen zur Unterstützung Ihrer Richtlinie zur Datengenauigkeit. - Datensubjektanforderungen von Microsoft Professional Services für die DSGVO und die CCPA [7] |
(5)(1)(d) |
| Kontrolle der Übertragung (7.4.10) | Der Kunde sollte mit den Anforderungen in Bezug auf den Schutz der Übertragung personenbezogener Daten vertraut sein, z.B. Personen, die Zugriff auf Übertragungsmechanismen haben, Aufzeichnungen der Übertragung usw. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identifizieren der Basis für die PII-Übertragung (7.5.1) | Der Kunde sollte mit den Anforderungen in Bezug auf das Übertragen von personenbezogenen Daten (PII) an einen anderen geografischen Ort und das Dokumentieren der vorhandenen Maßnahmen zur Erfüllung dieser Anforderungen vertraut sein. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
Artikel (44), (45), (46), (47), (48) und (49) |
| Länder und Organisationen als Ziel der PII-Übertragung (7.5.2) | Der Kunde sollte die Länder, in die personenbezogene Daten ggf. übertragen werden, kennen und diese für die Person bereitstellen können. Wenn diese Übertragung von einem Drittanbieter bzw. Verarbeiter durchgeführt wird, sollte der Kunde diese Informationen vom Verarbeiter beschaffen. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(30)(1)(e) |
| Aufzeichnungen zu PII-Übertragungen (personenbezogene Daten) (7.5.3) | Der Kunde sollte alle notwendigen und erforderlichen Aufzeichnungen über die Übermittlung personenbezogener Daten aufbewahren. Wenn ein Dritter/Bearbeiter die Übertragung durchführt, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen aufbewahrt und diese bei Bedarf erhält. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(30)(1)(e) |
| Aufzeichnungen der PII-Offenlegung für Dritte (7.5.4) | Der Kunde sollte mit den Anforderungen in Bezug auf die Aufzeichnungen vertraut sein, die darüber angefertigt werden, für wen personenbezogene Daten offengelegt wurden. Dies kann auch Offenlegungen für Strafverfolgungsbehörden usw. umfassen. Wenn die Daten von einem Drittanbieter bzw. Verarbeiter offengelegt werden, sollte der Kunde sicherstellen, dass dieser die entsprechenden Aufzeichnungen verwaltet, und diese je nach Bedarf beschaffen. | Bereitgestellte Dokumentation zu den Kategorien von Empfängern der Offenlegungen personenbezogener Daten, einschließlich der verfügbaren Aufzeichnungen zur Offenlegung. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(30)(1)(d) |
| Gemeinsamer Controller (7.5.5) | Der Kunde sollte ermitteln, ob er zusammen mit einer anderen Organisation als gemeinsamer Controller fungiert, und die Zuständigkeiten auf geeignete Weise dokumentieren und zuordnen. | Microsoft ist kein gemeinsamer Controller von personenbezogenen Informationen, die als Teil von Support- und Beratungsdaten bereitgestellt werden. | (26)(1), (26)(2), (26)(3) |
5. Datenschutz und -sicherheit
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
|---|---|---|---|
| Grundlegendes zur Organisation und zum Kontext (5.2.1) | Kunden sollten ihre Rolle bei der Verarbeitung von personenbezogenen Daten (z. B. Controller, Verarbeiter, Co-Controller) ermitteln, um die entsprechenden Anforderungen (gesetzlich usw.) an die Verarbeitung von personenbezogenen Daten zu identifizieren. | Beschreibung, wie Microsoft jeden Dienst entweder als Verarbeiter oder Controller einstuft, wenn personenbezogene Daten verarbeitet werden. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Grundlegendes zu den Anforderungen und Erwartungen von Interessenten (5.2.2) | Kunden sollten Parteien identifizieren, die bei der Verarbeitung von personenbezogenen Daten ggf. eine Rolle innehaben oder ein Interesse daran haben (z. B. Regulatoren, Auditoren, Datensubjekte, unter Vertrag stehende Verarbeiter personenbezogener Daten), und mit den Anforderungen vertraut sein, die mit der Einbindung dieser Parteien je nach Bedarf verbunden sind. | Beschreibung, wie Microsoft die Sichtweisen aller Beteiligten in Bezug auf die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken berücksichtigt. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit (5.2.3, 5.2.4) | Ein allgemeines Sicherheits- oder Datenschutzprogramm, über das ein Kunde ggf. verfügt, sollte die Verarbeitung von personenbezogenen Daten und der dazugehörigen Anforderungen umfassen. | Beschreibung, wie Microsoft-Dienste die Verarbeitung personenbezogener Daten in Informationssicherheitsverwaltungs- und Datenschutzprogrammen einschließen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - ISO 27001 Überwachungsbericht [10] |
(32)(2) |
| Planung (5.3) | Kunden sollten die Verarbeitung von personenbezogenen Daten im Rahmen aller durchgeführten Risikobewertungen berücksichtigen und angemessene Kontrollen einbauen, um das Risiko für unter der Kontrolle des Kunden befindliche personenbezogene Daten zu mindern. | Beschreibung, wie für Microsoft-Dienste die spezifischen Risiken der Verarbeitung von personenbezogenen Daten im Rahmen des allgemeinen Sicherheits- und Datenschutzprogramms berücksichtigt werden. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] |
(32)(1)(b), (32)(2) |
| Richtlinien zur Informationssicherheit (6.2) | Der Kunde sollte alle vorhandenen Richtlinien zur Informationssicherheit um den Schutz personenbezogener Daten erweitern, z.B. mit Richtlinien, die zur Einhaltung geltender Gesetze erforderlich sind. | Microsoft-Richtlinien zur Informationssicherheit und spezifische Maßnahmen zum Schutz personenbezogener Informationen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - ISO 27001 Überwachungsbericht [10] |
24(2) |
| Organisation der Informationssicherheit für Kunden (6.3) | Der Kunde sollte innerhalb seiner Organisation Verantwortlichkeiten in Bezug auf die Sicherheit und den Schutz von personenbezogenen Daten definieren. Dies kann auch die Einrichtung bestimmter Rollen umfassen, über die Datenschutzbelange bearbeitet werden, einschließlich einer DPO-Rolle. Als Unterstützung für diese Rollen sollten geeignete Schulungen und Hilfestellungen bei der Verwaltung bereitgestellt werden. | Microsoft hat Informationen über den Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen veröffentlicht. - Microsoft DPO Information [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Personal – Sicherheit (6.4) | Der Kunde sollte die Verantwortlichkeiten zur Bereitstellung von relevanten Schulungen in Bezug auf den Schutz von personenbezogenen Daten ermitteln und zuweisen. | Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Beschreibung des Schulungs- und Bewusstseinsprogramms [3] |
(39)(1)(b) |
| Klassifizierung von Informationen (6.5.1) | Der Kunde sollte personenbezogene Daten explizit als Teil eines Schemas zur Datenklassifizierung ansehen. | Beschreibung, wie Microsoft personenbezogene Daten bei der Datenklassifizierung, beim Markieren und beim Nachverfolgen von Informationen einstuft. - Wichtige Informationen von Microsoft Professional Services für Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[9] |
(39)(1)(b) |
| Verwaltung von Wechselmedien (6.5.2) | Der Kunde sollte interne Richtlinien für die Verwendung von Wechselmedien in Bezug auf den Schutz von personenbezogenen Daten ermitteln (z. B. Verschlüsselung von Geräten). | Beschreibung, wie Microsoft-Dienste für die Sicherheit von personenbezogenen Informationen auf Wechselmedien sorgen. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(32)(1)(a), (5)(1)(f) |
| Übertragung physischer Medien (6.5.3) | Der Kunde sollte interne Richtlinien zum Schutz von personenbezogenen Daten bei der Übertragung von physischen Medien festlegen (z. B. Verschlüsselung). | Beschreibung, wie für Microsoft-Dienste personenbezogene Daten während einer Übertragung von physischen Medien geschützt werden. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(32)(1)(a), (5)(1)(f) |
| Verwaltung des Benutzerzugriffs (6.6.1) | Der Kunde sollte damit vertraut sein, welche Verantwortlichkeiten für ihn in Bezug auf die Zugriffssteuerung im genutzten Dienst gelten, und diese Verantwortlichkeiten mit den verfügbaren Tools entsprechend verwalten. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Registrierung und Aufhebung der Registrierung für Benutzer (6.6.2) | Der Kunde sollte die Registrierung und Aufhebung der Registrierung für Benutzer im genutzten Dienst verwalten, indem er die verfügbaren Tools verwendet. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Bereitstellung des Benutzerzugriffs (6.6.3) | Der Kunde sollte Benutzerprofile, vor allem für den berechtigten Zugriff auf personenbezogene Daten, innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Verwaltung des privilegierten Zugriffs (6.6.4) | Der Kunde sollte Benutzer-IDs innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet, um die Nachverfolgung des Zugriffs (vor allem auf personenbezogene Daten) zu ermöglichen. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Sichere Anmeldeverfahren (6.6.5) | Der Kunde sollte die vom Dienst bereitgestellten Mechanismen nutzen, um sichere Anmeldefunktionen für seine Benutzer einzurichten, wo dies erforderlich ist. | Beschreibung, wie Microsoft-Dienste Richtlinien für die interne Zugriffssteuerung in Bezug auf personenbezogene Daten unterstützen. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(5)(1)(f) |
| Kryptografie (6.7) | Der Kunde sollte ermitteln, welche Daten ggf. verschlüsselt werden müssen und ob der genutzte Dienst über eine entsprechende Funktion verfügt. Der Kunde sollte die Verschlüsselung je nach Bedarf einsetzen, indem er die verfügbaren Tools verwendet. | Beschreibung, wie Microsoft-Dienste die Verschlüsselung und Pseudonymisierung unterstützen, um das Risiko der Verarbeitung personenbezogener Daten zu mindern. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(32)(1)(a) |
| Sichere Entsorgung oder Wiederverwendung von Ausrüstung (6.8.1) | Bei Verwendung von Cloud Computing-Diensten (PaaS, SaaS, IaaS) sollte der Kunde damit vertraut sein, wie der Cloudanbieter sicherstellt, dass personenbezogene Daten aus dem Speicherbereich gelöscht werden, bevor dieser Bereich einem anderen Kunden zugewiesen wird. | Wie von Microsoft Professional Services sichergestellt wird, dass personenbezogene Daten aus Speichergeräten gelöscht werden, bevor diese Geräte übertragen oder wiederverwendet werden, wenn Microsoft Azure-Clouddienste für professionelle Dienstleistungen verwendet werden. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f) |
| Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm (6.8.2) | Der Kunde sollte die Risiken in Bezug auf Hardcopy-Material kennen, auf dem personenbezogene Daten enthalten sind bzw. angezeigt werden, und die Erstellung dieses Materials ggf. einschränken. Wenn das genutzte System über eine entsprechende Funktion verfügt (z.B. Einstellungen zur Verhinderung des Druckens oder Kopierens/Einfügens von sensiblen Daten), sollte der Kunde abwägen, ob die Nutzung dieser Funktionen erforderlich ist. | Beschreibung, was bei Microsoft zur Verwaltung von Hardcopy-Material implementiert wird. - Interne Verwaltung von Kontrollmechanismen bei Microsoft, siehe Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] Steuerelementsatz von Microsoft Professional Services für die DSGVO [4] |
(5)(1)(f) |
| Trennung von Umgebungen für Entwicklung, Tests und Betrieb (6.9.1) | Der Kunde sollte die Auswirkungen berücksichtigen, die mit der Verwendung von personenbezogenen Daten in Entwicklungs- und Testumgebungen in seiner Organisation verbunden sind. | Beschreibung, wie bei Microsoft sichergestellt wird, dass personenbezogene Daten in Entwicklungs- und Testumgebungen geschützt sind. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Informationssicherung (6.9.2) | Der Kunde sollte sicherstellen, dass er vom System bereitgestellte Funktionen nutzt, um Redundanzen für seine Daten zu erstellen und je nach Bedarf Tests durchzuführen. | Beschreibung, wie bei Microsoft die Verfügbarkeit der Daten sichergestellt wird, in denen personenbezogene Daten enthalten sein können, wie für die Genauigkeit von wiederhergestellten Daten gesorgt wird und welche Tools und Verfahren von den Microsoft-Diensten bereitgestellt werden, um Ihnen das Sichern und Wiederherstellen von Daten zu ermöglichen. - Dokumentation zur Verwaltung der Geschäftskontinuität in Microsoft Enterprise [5] |
(32)(1)(c), (5)(1)(f) |
| Ereignisprotokollierung (6.9.3) | Der Kunde sollte mit den Funktionen für die Protokollierung vertraut sein, die vom System bereitgestellt werden. Er sollte mit diesen Funktionen sicherstellen, dass Aktionen, für die dies erforderlich ist, für personenbezogene Daten protokolliert werden können. | Die Daten, die vom Microsoft-Dienst für Sie aufgezeichnet werden, z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse in Bezug auf die Informationssicherheit, und die Vorgehensweise zum Zugreifen auf diese Protokolle zur Verwendung im Rahmen der Aufzeichnungen. - Microsoft Professional Services-Sicherheitsdokumentation [2] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Schutz von Protokollinformationen (6.9.4) | Der Kunde sollte die Anforderungen in Bezug auf den Schutz von Protokollinformationen kennen, die ggf. personenbezogene Daten oder Aufzeichnungen zur Verarbeitung von personenbezogenen Daten enthalten. Wenn vom genutzten System Funktionen zum Schützen von Protokollen bereitgestellt werden, sollte der Kunde diese Funktionen verwenden, soweit dies erforderlich ist. | Beschreibung, wie bei Microsoft Protokolle geschützt werden, die ggf. personenbezogene Daten enthalten. - Microsoft Professional Services-Sicherheitsdokumentation [2] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Informationsübertragung – Richtlinien und Verfahren (6.10) | Der Kunde sollte über Verfahren für Fälle verfügen, in denen personenbezogene Daten auf physischen Medien übertragen werden (z.B. auf einer Festplatte, die in anderen Servern eingebaut oder in anderen Gebäuden genutzt wird). Hierzu können Protokolle, Autorisierungen und Nachverfolgungen gehören. Wenn Dritte oder andere Verarbeiter physische Medien übertragen, sollte der Kunde sicherstellen, dass diese Organisation über Verfahren verfügt, mit denen die Sicherheit der personenbezogenen Daten gewährleistet wird. | Beschreibung, wie für Microsoft-Dienste physische Medien übertragen werden, die ggf. personenbezogene Daten enthalten, einschließlich der Umstände einer Übertragung, und der getroffenen Maßnahmen zum Schützen der Daten. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f) |
| Vertraulichkeits- bzw. Geheimhaltungsverträge (6.10.2) | Der Kunde sollte ermitteln, ob Geheimhaltungsverträge oder entsprechende Vereinbarungen für Einzelpersonen, die Zugriff auf personenbezogene Daten haben oder über entsprechende Verantwortlichkeiten verfügen, erforderlich sind. | Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass sich Einzelpersonen mit autorisiertem Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet haben. -Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Steuerelementsatz von Microsoft Professional Services [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Schützen von Anwendungsdiensten in öffentlichen Netzwerken (6.11.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Verschlüsselung von personenbezogenen Daten vertraut sein, vor allem beim Senden über öffentliche Netzwerke. Wenn vom System Mechanismen zur Verschlüsselung von Daten bereitgestellt werden, sollte der Kunde diese Mechanismen verwenden, soweit dies erforderlich ist. | Beschreibungen der Maßnahmen, die für Microsoft-Dienste unternommen werden, um Daten während der Übertragung zu schützen, einschließlich Verschlüsselung der Daten. Es wird auch beschrieben, wie für Microsoft-Dienste Daten geschützt werden, die ggf. personenbezogene Daten enthalten, wenn diese über öffentliche Datennetzwerke übertragen werden, einschließlich Verschlüsselungsmaßnahmen. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(1)(f), (32)(1)(a) |
| Prinzipien sicherer Systeme (6.11.2) | Der Kunde sollte damit vertraut sein, wie Systeme aufgebaut sind und erstellt werden, um den Schutz von personenbezogenen Daten zu berücksichtigen. Wenn ein Kunde ein System nutzt, das von einem Drittanbieter erstellt wurde, muss der Kunde sicherstellen, dass dieser Schutz berücksichtigt wurde. | Beschreibung, wie bei Microsoft-Diensten Prinzipien des Schutzes von personenbezogenen Daten ein obligatorischer Teil der Prinzipien für den sicheren Entwurf und die sichere Erstellung sind. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Was ist der Security Development Lifecycle? |
|
| (25)(1) | |||
| Lieferantenbeziehungen (6.12) | Der Kunde sollte sicherstellen, dass alle Anforderungen in Bezug auf die Informationssicherheit und den Schutz von personenbezogenen Daten sowie die hiermit verbundenen Verantwortlichkeiten von Dritten vertraglich festgelegt bzw. Teil anderer Vereinbarungen sind. In den Vereinbarungen sollten außerdem die Anweisungen zur Verarbeitung enthalten sein. | Beschreibung, wie für Microsoft-Dienste die Sicherheit und der Datenschutz in den Vereinbarungen mit unseren Lieferanten geregelt ist und wie sichergestellt wird, dass diese Vereinbarungen auf effektive Weise umgesetzt werden. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit (6.13.1) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibung, wie für Microsoft-Dienste ermittelt wird, ob ein Sicherheitsvorfall eine Verletzung Ihrer personenbezogenen Daten darstellt, und wie wir Sie über die Verletzung informieren. - Microsoft Professional Services und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [8] |
(33)(2) |
| Verantwortlichkeiten und Verfahren (bei Vorfällen zur Informationssicherheit) (6.13.2) | Der Kunde sollte wissen, wofür er bei einer Datenverletzung oder einem Sicherheitsvorfall in Bezug auf personenbezogene Daten verantwortlich ist, und dies entsprechend dokumentieren. Beispiele für Verantwortlichkeiten sind die Benachrichtigung der jeweiligen Parteien, die Kommunikation mit Verarbeitern oder anderen Drittparteien und Verantwortlichkeiten innerhalb der Organisation des Kunden. | Beschreibung, wie Sie Microsoft-Dienste informieren können, wenn Sie einen Sicherheitsvorfall oder eine Verletzung von personenbezogenen Daten erkennen. - Microsoft Professional Services und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Antwort auf Vorfälle zur Informationssicherheit (6.13.3) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibung der Informationen, die von Microsoft-Diensten bereitgestellt werden, damit Sie entscheiden können, ob für personenbezogene Daten eine Verletzung vorliegt. - Microsoft Professional Services und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Schutz von Aufzeichnungen (6.15.1) | Der Kunde sollte mit den Anforderungen, die in Bezug auf die für personenbezogene Daten erforderlichen Aufzeichnungen und die damit verbundene Verwaltung gelten, vertraut sein. | Beschreibung, wie für Microsoft-Dienste Aufzeichnungen in Bezug auf die Verarbeitung von personenbezogenen Daten gespeichert werden. - Microsoft Professional Services-Sicherheitsdokumentation [2] |
(5)(2), (24)(2) |
| Unabhängige Überprüfung der Informationssicherheit (6.15.2) | Der Kunde sollte mit den Anforderungen in Bezug auf Bewertungen der Sicherheit der Verarbeitung von personenbezogenen Daten vertraut sein. Dies können interne oder externe Audits oder andere Maßnahmen sein, mit denen die Sicherheit der Verarbeitung bewertet wird. Wenn der Kunde für die gesamte Verarbeitung oder einen Teil davon von einer anderen Organisation abhängig ist, sollte er die Informationen zu diesen Bewertungen beschaffen, die von dieser Organisation durchgeführt werden. | Beschreibung, wie für Microsoft-Dienste die Effektivität von technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit getestet und bewertet wird, einschließlich Audits durch Dritte. - Microsoft Professional Services – Nachtrag zum Datenschutz [1] |
(32)(1)(d), (32)(2) |
| Überprüfung der technischen Compliance (6.15.3) | Der Kunde sollte mit den Anforderungen in Bezug auf das Testen und Evaluieren der Sicherheit der Verarbeitung von personenbezogenen Daten vertraut sein. Dies können beispielsweise technische Tests sein, z.B. Penetrationstests. Wenn der Kunde ein System oder einen Verarbeiter eines Drittanbieters nutzt, sollte er wissen, welche Verantwortlichkeiten hinsichtlich des Schutzes und des Testens der Sicherheit bestehen (z.B. Verwalten von Konfigurationen zum Schützen von Daten und anschließendes Testen dieser Konfigurationseinstellungen). Wenn die Drittpartei teilweise oder vollständig dafür verantwortlich ist, die Sicherheit der Verarbeitung zu gewährleisten, sollte der Kunde wissen, welche Test- oder Evaluierungsmaßnahmen von der Drittpartei durchgeführt werden, um die Sicherheit der Verarbeitung sicherzustellen. | Beschreibung, wie die Sicherheit von Microsoft-Dienste basierend auf identifizierten Risiken getestet wird, einschließlich Tests von Dritten, und welche Arten von technischen Tests. - Eine Liste der externen Zertifizierungen finden Sie unter den Compliance-Angebote im Microsoft Trust Center Compliance-Angebote [12] - Weitere Informationen zum Testen Ihrer Anwendungen auf Sicherheitsrisikos finden Sie in der Microsoft Professional Services-Sicherheitsdokumentation [2] |
(32)(1)(d), (32)(2) |