Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
1. Einführung
Diese Prüfliste zur Verantwortlichkeitsbereitschaft bietet eine bequeme Möglichkeit, auf Informationen zuzugreifen, die Sie möglicherweise benötigen, um die DSGVO zu unterstützen, wenn Sie Microsoft Office 365 verwenden.
Definitionen der DSGVO-Terminologie finden Sie unter Datenschutz-Grundverordnung. Allgemeine Informationen zu Prüflisten für die Verantwortlichkeit für die DSGVO finden Sie unter Unterstützen Ihres DSGVO-Programms mit Prüflisten für die Verantwortlichkeitsbereitschaft.
Sie können die Elemente in dieser Checkliste mit dem Compliance-Managerverwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.
Außerdem enthalten die Punkte in dieser Checkliste unter 5.Datenschutz und Sicherheit Verweise auf Kontrollen, die unter Microsoft Managed Controls in der DSGVO-Kachel im Compliance Manager aufgeführt sind. Die Überprüfung der Microsoft-Implementierungsdetails für diese Steuerelemente bietet zusätzliche Erläuterungen zum Ansatz von Microsoft zur Erfüllung der Kundenüberlegungen im Prüflistenelement.
Die Prüfliste und der Compliance-Manager wurden basierend auf den Titeln und der Referenznummer (für jedes Prüflistenthema in Klammern) einer Gruppe von Datenschutz- und Sicherheitskontrollen für Verarbeiter von personenbezogenen Daten aufgebaut gemäß:
- ISO/IEC 27701 für Techniken und Anforderungen im Zusammenhang mit dem Datenschutzinformationsmanagement.
- ISO/IEC 27001 für Anforderungen an die Sicherheitstechnik.
Diese Kontrollstruktur organisiert auch die Darstellung der internen Kontrollen, die Microsoft Office 365 implementiert, um die DSGVO zu unterstützen, die Sie aus dem Service Trust Center herunterladen können.
2. Bedingungen für Sammlung und Verarbeitung
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Dsgvo-Artikel |
|---|---|---|---|
| Identifizieren und Dokumentieren des Zwecks (7.2.1) | Dokumentieren Sie den Zweck der Verarbeitung personenbezogener Daten. | Eine Beschreibung der Verarbeitung, die Microsoft für Sie durchführt, und die Zwecke dieser Verarbeitung, die Sie in Ihre Dokumentation zur Rechenschaftspflicht aufnehmen können. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] |
(5)(1)(b), (32)(4) |
| Identifizieren der rechtmäßigen Grundlage (7.2.2) | Verstehen Sie alle Anforderungen im Zusammenhang mit der rechtmäßigen Grundlage der Verarbeitung, z. B. ob zuerst eine Einwilligung erteilt werden muss. | Eine Beschreibung der Verarbeitung personenbezogener Daten durch Microsoft-Dienste zur Aufnahme in Ihre Verantwortlichkeitsdokumentation. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[10] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)()(6)(4)() c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c)), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) | Machen Sie sich mit den gesetzlichen oder behördlichen Anforderungen für das Einholen der Einwilligung von Einzelpersonen vor der Verarbeitung personenbezogener Daten vertraut (wenn dies erforderlich ist, wenn die Art der Verarbeitung von der Anforderung ausgeschlossen ist usw.), einschließlich der Art der Einwilligungssammlung. | Office 365 bietet keine direkte Unterstützung für das Einholen der Benutzereinwilligung. | (6)(1)(a), (8)(1), (8)(2) |
| Einholen und Aufzeichnen der Zustimmung (7.2.4) | Wenn festgestellt wird, dass dies erforderlich ist, sollten Sie die Einwilligung entsprechend einholen. Beachten Sie alle Anforderungen für die Art und Weise, wie eine Zustimmungsanforderung präsentiert und gesammelt wird. | Office 365 bietet keine direkte Unterstützung für das Einholen der Benutzereinwilligung. | (7)(1), (7)(2), (9)(2)(a) |
| Datenschutz-Folgenabschätzung (7.2.5) | Beachten Sie die Anforderungen für die Durchführung von Datenschutz-Folgenabschätzungen (wann diese durchgeführt werden sollten, Kategorien von Daten, die eine Prüfung erfordern könnten, Zeitpunkt für den Abschluss der Bewertung). | Informationen dazu, wie Microsoft-Dienste ermitteln, wann eine Datenschutz-Folgenabschätzung durchgeführt werden sollte, und eine Übersicht über das entsprechende Programm von Microsoft, einschließlich DPO-Beteiligung, finden Sie auf der Service Trust Portal-Seite zu Datenschutz-Folgenabschätzungen. Unterstützung für Ihre Datenschutz-Folgenabschätzungen finden Sie unter: - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(35) |
| Verträge mit Verarbeitern von personenbezogenen Informationen (7.2.6) | Stellen Sie sicher, dass Verträge mit Auftragsverarbeitern Anforderungen für die Unterstützung relevanter rechtlicher oder behördlicher Verpflichtungen im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten enthalten. | Die Microsoft-Verträge, die uns verpflichten, Ihnen bei der Erfüllung Ihrer Verpflichtungen im Rahmen der DSGVO zu helfen, einschließlich der Unterstützung für die Rechte des Betroffenen. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Aufzeichnungen zur Verarbeitung von personenbezogenen Informationen (7.2.7) | Führen Sie alle erforderlichen und erforderlichen Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten (d. b. Zweck, Sicherheitsmaßnahmen usw.). Wenn einige dieser Datensätze von einem Unterauftragsverarbeiter bereitgestellt werden müssen, stellen Sie sicher, dass Sie solche Datensätze erhalten können. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die erforderlichen Aufzeichnungen verwalten können, um Die Konformität und Unterstützung für die Verantwortlichkeit gemäß der DSGVO nachzuweisen. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Rechte von Betroffenen
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Dsgvo-Artikel |
|---|---|---|---|
| Ermitteln der Rechte von PII-Prinzipalen und Aktivierungsvorgang (7.3.1) | Machen Sie sich mit den Anforderungen in Bezug auf die Rechte von Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten vertraut. Diese Rechte können Zugriff, Korrektur und Löschung umfassen. Wenn Sie ein Drittanbietersystem verwenden, bestimmen Sie, welche (falls vorhanden) Teile des Systems Tools im Zusammenhang mit der Ausübung ihrer Rechte (z. B. für den Zugriff auf ihre Daten) bereitstellen. Wenn das System solche Funktionen bereitstellt, verwenden Sie sie nach Bedarf. | Die von Microsoft bereitgestellten Funktionen, die Ihnen beim Unterstützen der Rechte von Betroffenen als Hilfe dienen. - Office 365 Anträge betroffener Personen zur DSGVO [8] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe ISO, IEC 27018, 2014 control A.1.1 |
(12)(2) |
| Ermitteln von Informationen für PII-Prinzipale (betroffene Personen) (7.3.2) | Machen Sie sich mit den Anforderungen für die Arten von Informationen zur Verarbeitung personenbezogener Daten vertraut, die Sie der Person zur Verfügung stellen müssen. Diese Informationen können Folgendes umfassen: - Kontaktdetails zum Controller oder seinem Vertreter; - Informationen über die Verarbeitung (Zwecke, internationale Übertragung und damit verbundene Sicherheitsvorkehrungen, Aufbewahrungsdauer usw.); - Informationen darüber, wie der Prinzipal auf seine personenbezogenen Daten zugreifen und/oder diese ändern kann; die Löschung oder Einschränkung der Verarbeitung verlangen; Erhalt einer Kopie ihrer personenbezogenen Daten und Übertragbarkeit ihrer personenbezogenen Daten; - Wie und woher die personenbezogenen Daten abgerufen wurden (wenn sie nicht direkt vom Prinzipal beschafft wurden); - Informationen über das Recht, eine Beschwerde einzulegen und wem; - Informationen über Berichtigungen personenbezogener Daten; - Benachrichtigung, dass die Organisation den Betroffenen (PII-Prinzipal) nicht mehr identifizieren kann, wenn für die Verarbeitung keine Identifizierung des Betroffenen mehr erforderlich ist; - Übertragungen bzw. Offenlegungen von personenbezogenen Daten; - Bestehen einer automatisierten Entscheidungsfindung, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten basiert; - Informationen über die Häufigkeit, mit der Informationen an die betroffene Person aktualisiert und bereitgestellt werden (d. h. "Just-in-Time"-Benachrichtigung, organization definierte Häufigkeit usw.) Wenn Sie Systeme oder Prozessoren von Drittanbietern verwenden, bestimmen Sie, welche (falls vorhanden) dieser Informationen Sie bereitstellen müssen, und stellen Sie sicher, dass Sie die erforderlichen Informationen vom Drittanbieter erhalten können. |
Informationen zu Microsoft-Diensten, die Sie in die für Betroffene bereitgestellten Daten einbeziehen können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Bereitstellen von Informationen für PII-Prinzipale (7.3.3) | Halten Sie sich an alle Anforderungen, wie, wann und in welcher Form Sie einer Person die erforderlichen Informationen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten geben. Wenn ein Dritter die erforderlichen Informationen bereitstellt, stellen Sie sicher, dass dies innerhalb der von der DSGVO geforderten Parameter liegt. | Informationen zu Microsoft-Diensten als Vorlagen, die Sie in die für Datensubjekte bereitgestellten Daten einbeziehen können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung (7.3.4) | Machen Sie sich mit den Anforderungen vertraut, mit denen Benutzer über ihr Recht auf Zugriff, Berichtigung und Löschung ihrer personenbezogenen Daten informiert werden müssen, und dass sie dafür einen Mechanismus bereitstellen. Wenn Sie ein Drittanbietersystem verwenden, das diesen Mechanismus als Teil seiner Funktionalität bereitstellt, verwenden Sie diese Funktionalität nach Bedarf. | Informationen zu den Funktionen von Microsoft-Diensten, die Sie beim Definieren der zum Anfordern der Zustimmung für Betroffene bereitgestellten Informationen nutzen können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Bereitstellen eines Mechanismus, mit dem der Verarbeitung widersprochen werden kann (7.3.5) | Grundlegendes zu den Anforderungen in Bezug auf die Rechte von betroffenen Personen. Wenn eine Person ein Recht hat, der Verarbeitung zu widersprechen, sie zu informieren und eine Möglichkeit für die Person zu haben, ihren Widerspruch zu registrieren. | Informationen zu Microsoft-Diensten, die sich auf den Widerspruch der Verarbeitung beziehen und die Sie in für Betroffene bereitgestellte Daten einbinden können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 4: Einschränkung |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Gemeinsame Nutzung der Ausübung der Rechte von PII-Prinzipalen (7.3.6) | Verstehen der Anforderungen für die Benachrichtigung von Dritten, an die personenbezogene Daten weitergegeben werden, über Instanzen von Datenänderungen basierend auf der Ausübung von individuellen Rechten (z. B. eine Person, die Löschung oder Änderung anfordert usw.) | Informationen zu Funktionen in Microsoft-Diensten, mit denen Sie personenbezogene Daten ermitteln können, die Sie an Dritte weitergegeben haben. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] |
(19) |
| Korrektur oder Löschung (7.3.7) | Machen Sie sich mit den Anforderungen vertraut, mit denen Benutzer über ihr Recht auf Zugriff, Berichtigung und Löschung ihrer personenbezogenen Daten informiert werden müssen, und dass sie dafür einen Mechanismus bereitstellen. Wenn Sie ein Drittanbietersystem verwenden, das diesen Mechanismus als Teil seiner Funktionalität bereitstellt, verwenden Sie diese Funktionalität nach Bedarf. | Informationen zu Microsoft-Diensten als Vorlagen, die sich auf ihre Fähigkeit beziehen, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie in für Betroffene bereitgestellte Daten einbinden können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 5: Löschung |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
| Bereitstellen einer Kopie der personenbezogenen Informationen (7.3.8) | Machen Sie sich mit den Anforderungen im Rahmen der Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten vertraut. Diese Anforderungen können das Format der Kopie (d. h. dass sie maschinenlesbar ist), die Übertragung der Kopie und vieles mehr umfassen. Wenn Sie ein Drittanbietersystem verwenden, das die Funktionalität zum Bereitstellen von Kopien bereitstellt, verwenden Sie diese Funktionalität nach Bedarf. | Informationen zu Fähigkeiten Microsoft-Diensten, die es Ihnen erlauben, eine Kopie ihrer personenbezogenen Daten zu erhalten, die Sie in für Betroffene bereitgestellte Daten einbinden können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 6: Export |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Antragsverwaltung (7.3.9) | Verstehen der Anforderungen für die Annahme und Reaktion auf legitime Anfragen von Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten. Wenn Sie ein Drittanbietersystem verwenden, sollten Sie wissen, ob dieses System die Funktionen für eine solche Verarbeitung von Anforderungen bereitstellt. Wenn ja, verwenden Sie solche Mechanismen, um Anforderungen nach Bedarf zu verarbeiten. | Informationen zu den Funktionen von Microsoft-Diensten zum Definieren der Informationen, die Sie beim Verwalten der Anforderungen von Datensubjekten für diese bereitstellen. - Office 365-Anträge betroffener Personen gemäß DSGVO [8]: Der Kunde sollte mit den Anforderungen in Bezug auf die automatisierte Verarbeitung personenbezogener Daten und die Art und Weise, wie Entscheidungen durch diese Automatisierung getroffen werden, vertraut sein. Zu diesen Anforderungen können die Bereitstellung von Informationen über die Verarbeitung für eine Person, die Widerspruch gegen eine solche Verarbeitung oder die Ergreifung eines menschlichen Eingreifens gehören. Wenn solche Funktionen von einem Drittanbietersystem bereitgestellt werden, stellen Sie sicher, dass der Drittanbieter alle erforderlichen Informationen oder Unterstützung bereitstellt. Informationen zu allen Funktionen von Microsoft-Diensten, die ggf. die automatisierte Entscheidungsfindung unterstützen und die Sie in Ihrer Dokumentation zu den Verantwortlichkeiten verwenden können, sowie Informationen zu diesen Funktionen als Vorlagen für Datensubjekte. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Datenschutz als Konzept und Standard
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Dsgvo-Artikel |
|---|---|---|---|
| Beschränken der Datensammlung (7.4.1) | Beschränken Sie die Erfassung personenbezogener Daten auf die für den angegebenen Zweck erforderlichen Daten. | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(5)(1)(b), (5)(1)(c) |
| Beschränken der Verarbeitung (7.4.2) | Beschränken Sie die Verarbeitung personenbezogener Daten auf das, was für den identifizierten Zweck angemessen ist. | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(25)(2) |
| Definieren und Dokumentieren der PII-Minimierung und von Zielen zur Deidentifizierung (7.4.3) | Machen Sie sich mit den Anforderungen im Hinblick auf die Deidentifizierung personenbezogener Daten vertraut, einschließlich des Zeitpunkts, wann sie verwendet werden sollten, in welchem Umfang sie nicht identifiziert werden sollen, und zu Fällen, in denen sie nicht verwendet werden können. | Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
| Einhalten von Identifizierungsebenen (7.4.4) | Verwenden Und einhalten Sie die von Ihrem organization festgelegten Deidentifikationsziele und -methoden. | Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
| Anonymisierung und Löschung personenbezogener Daten (7.4.5) | Machen Sie sich mit den Anforderungen in Bezug auf die Aufbewahrung personenbezogener Daten vertraut, die über ihre Verwendung für die identifizierten Zwecke verfügen. Wenn tools vom System bereitgestellt werden, verwenden Sie diese Tools, um nach Bedarf zu löschen oder zu löschen. | Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenaufbewahrung. - Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 5: Löschung |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Temporäre Dateien (7.4.6) | Beachten Sie temporäre Dateien, die vom System erstellt werden, die dazu führen können, dass Richtlinien zur Verarbeitung personenbezogener Daten nicht eingehalten werden (z. B. können personenbezogene Daten länger als erforderlich oder zulässig in einer temporären Datei aufbewahrt werden). Wenn das System solche Tools zum temporären Löschen oder Überprüfen von Dateien bereitstellt, verwenden Sie solche Tools, um die Anforderungen zu erfüllen. | Eine Beschreibung von Funktionen, die vom Dienst zum Identifizieren von personenbezogenen Daten bereitgestellt werden, um Ihre Richtlinien zu temporären Dateien zu unterstützen. - Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 1: Ermittlung |
(5)(1)(c) |
| Aufbewahrung (7.4.7) | Legen Sie fest, wie lange personenbezogene Daten unter Berücksichtigung der identifizierten Zwecke aufbewahrt werden sollen. | Informationen zur Aufbewahrung von personenbezogenen Daten durch Microsoft-Dienste, die Sie in für Datensubjekte bereitgestellte Dokumentation einbinden können. - Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Aufbewahrung [1] |
(13)(2)(a), (14)(2)(a) |
| Löschung (7.4.8) | Nutzen Sie alle vom System bereitgestellten Lösch- oder Entsorgungsmechanismen, um personenbezogene Daten zu löschen. | Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenlöschung. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 5: Löschung |
(5)(1)(f) |
| Sammlungsverfahren (7.4.9) | Beachten Sie die Anforderungen in Bezug auf die Genauigkeit personenbezogener Daten (z. B. Genauigkeit bei der Erfassung, Halten von Daten auf dem neuesten Stand usw.), und nutzen Sie alle Mechanismen, die vom System dafür bereitgestellt werden. | Wie Microsoft-Dienste die Genauigkeit von personenbezogenen Daten unterstützen, und zu allen bereitgestellten Funktionen zur Unterstützung Ihrer Richtlinie zur Datengenauigkeit. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 3: Korrektur |
(5)(1)(d) |
| Kontrolle der Übertragung (7.4.10) | Machen Sie sich mit den Anforderungen im Hinblick auf den Schutz der Übertragung personenbezogener Daten vertraut, einschließlich der Personen, die Zugriff auf Übertragungsmechanismen, Übermittlungsaufzeichnungen usw. haben. | Eine Beschreibung der Arten von personenbezogenen Daten, die Von Microsoft übertragen werden, und der Orte, zwischen denen sie übertragen werden, sowie der gesetzlichen Sicherheitsvorkehrungen für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identifizieren der Grundlage für die Übertragung personenbezogener Daten (7.5.1) | Beachten Sie die Anforderungen für die Übertragung personenbezogener Daten (PII) an einen anderen geografischen Standort, und dokumentieren Sie, welche Maßnahmen ergriffen werden, um solche Anforderungen zu erfüllen. | Eine Beschreibung der Arten von personenbezogenen Daten, die Von Microsoft übertragen werden, und der Orte, zwischen denen sie übertragen werden, sowie der gesetzlichen Sicherheitsvorkehrungen für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
Artikel (44), (45), (46), (47), (48) und (49) |
| Länder/Regionen und Organisationen, an die personenbezogene Daten übertragen werden können (7.5.2) | Verstehen sie die Länder oder Regionen, in die personenbezogene Daten übertragen werden oder übermittelt werden können. Wenn ein Drittanbieterprozessor die Übertragung durchführt, rufen Sie diese Informationen vom Prozessor ab. | Eine Beschreibung der Arten von personenbezogenen Daten, die Von Microsoft übertragen werden, und der Orte, zwischen denen sie übertragen werden, sowie der gesetzlichen Sicherheitsvorkehrungen für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(30)(1)(e) |
| Aufzeichnungen zu Übertragungen personenbezogener Daten (7.5.3) | Führen Sie alle erforderlichen und erforderlichen Aufzeichnungen im Zusammenhang mit der Übertragung personenbezogener Daten. Wenn ein Drittanbieter die Übertragung durchführt, stellen Sie sicher, dass Sie die entsprechenden Datensätze verwalten und diese bei Bedarf abrufen. | Eine Beschreibung der Arten von personenbezogenen Daten, die Von Microsoft übertragen werden, und der Orte, zwischen denen sie übertragen werden, sowie der gesetzlichen Sicherheitsvorkehrungen für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(30)(1)(e) |
| Aufzeichnungen der Offenlegung personenbezogener Daten für Dritte (7.5.4) | Verstehen der Anforderungen in Bezug auf die Aufzeichnung, an wem personenbezogene Daten offengelegt wurden. Diese Anforderung kann auch Offenlegungen an Strafverfolgungsbehörden umfassen. Wenn ein Drittanbieter die Daten offenlegt, stellen Sie sicher, dass Sie die entsprechenden Aufzeichnungen führen und diese bei Bedarf abrufen. | Bereitgestellte Dokumentation zu den Kategorien von Empfängern der Offenlegungen personenbezogener Daten, einschließlich der verfügbaren Aufzeichnungen zur Offenlegung. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(30)(1)(d) |
| Gemeinsam Verantwortlicher (7.5.5) | Bestimmen Sie, ob Sie ein gemeinsamer Controller mit anderen organization sind, und dokumentieren Und zuordnen Sie Die Zuständigkeiten entsprechend. | Dokumentation von Microsoft-Diensten, die als Controller von persönlichen Informationen dienen, einschließlich Informationen als Vorlagen, die in Dokumentation für Datensubjekte eingefügt werden können. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] |
5. Datenschutz und -sicherheit
| Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Dsgvo-Artikel |
|---|---|---|---|
| Grundlegendes zur Organisation und zum Kontext (5.2.1) | Bestimmen Sie Ihre Rolle bei der Verarbeitung personenbezogener Daten (z. B. Verantwortlicher, Auftragsverarbeiter, Mitverantwortlicher), um die entsprechenden Anforderungen (gesetzliche Bestimmungen usw.) für die Verarbeitung personenbezogener Daten zu identifizieren. | Beschreibung, wie Microsoft jeden Dienst entweder als Verarbeiter oder Controller einstuft, wenn personenbezogene Daten verarbeitet werden. - Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter und Controller – Rollen und Verantwortlichkeiten, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter, und Controller – Rollen und Verantwortlichkeiten [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Grundlegendes zu den Anforderungen und Erwartungen von interessierten Parteien (5.2.2) | Identifizieren Sie Parteien, die möglicherweise eine Rolle oder ein Interesse an Ihrer Verarbeitung personenbezogener Daten haben (z. B. Regulierungsbehörden, Prüfer, betroffene Personen, auftragsverarbeiter für personenbezogene Daten), und beachten Sie die Anforderungen, diese Parteien gegebenenfalls einzubeziehen. | Beschreibung, wie Microsoft die Sichtweisen aller Beteiligten in Bezug auf die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken berücksichtigt. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] - Office 365 ISMS Manual [14] siehe 4.2. GRUNDLEGENDES ZU DEN ANFORDERUNGEN UND ERWARTUNGEN VON INTERESSENTEN - Grundlegendes zu den Anforderungen und Erwartungen von Interessenten (5.2.2) im Compliance-Manager |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit (5.2.3, 5.2.4) | Als Teil eines allgemeinen Sicherheits- oder Datenschutzprogramms, das Sie haben, schließen Sie die Verarbeitung personenbezogener Daten und damit verbundene Anforderungen ein. | Beschreibung, wie Microsoft-Dienste die Verarbeitung personenbezogener Daten in Informationssicherheitsverwaltungs- und Datenschutzprogrammen einschließen. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19 - SOC 2 Type 2 Audit Report [11] - Office 365 ISMS Manual [14] siehe 4. Kontext der Organisation - 5.2.3 Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit - 5.2.4 Verwaltungssystems für die Informationssicherheit im Compliance-Manager |
(32)(2) |
| Planung (5.3) | Berücksichtigen Sie den Umgang mit personenbezogenen Daten im Rahmen einer Risikobewertung, die Sie durchführen, und wenden Sie bei Bedarf Kontrollen an, um risiken im Zusammenhang mit personenbezogenen Daten, die Sie kontrollieren, zu mindern. | Beschreibung, wie für Microsoft-Dienste die spezifischen Risiken der Verarbeitung von personenbezogenen Daten im Rahmen des allgemeinen Sicherheits- und Datenschutzprogramms berücksichtigt werden. - Office 365 ISMS Manual [14] siehe 5.2 Richtlinie - 5.3 Planung im Compliance-Manager |
(32)(1)(b), (32)(2) |
| Richtlinien zur Informationssicherheit (6.2) | Erweitern Sie alle vorhandenen Informationssicherheitsrichtlinien, um den Schutz personenbezogener Daten einzuschließen, einschließlich der Richtlinien, die für die Einhaltung der geltenden Gesetze erforderlich sind. | Microsoft-Richtlinien zur Informationssicherheit und spezifische Maßnahmen zum Schutz personenbezogener Informationen. - Microsoft Office 365 (gesamt) ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19 - SOC 2 Type 2 Audit Report [11] - 6.2 Richtlinien für die Informationssicherheit im Compliance-Manager |
24(2) |
| Organisation der Informationssicherheit für Kunden (6.3) | Definieren Sie innerhalb Ihrer organization die Verantwortlichkeiten für die Sicherheit und den Schutz personenbezogener Daten. Diese Definition kann das Einrichten bestimmter Rollen zur Überwachung datenschutzbezogener Angelegenheiten, einschließlich eines Datenschutzbeauftragten, umfassen. Stellen Sie geeignete Schulungs- und Verwaltungsunterstützung bereit, um diese Rollen zu unterstützen. | Eine Übersicht über die Rolle des Datenschutzbeauftragten von Microsoft, die Art seiner Aufgaben, die Berichtsstruktur und die Kontaktinformationen. - Datenschutzbeauftragter von Microsoft [18] - Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN - 6.3 Organisation der Informationssicherheit im [Compliance-Manager] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Personal – Sicherheit (6.4) | Bestimmen und Zuweisen der Verantwortung für die Bereitstellung relevanter Schulungen im Zusammenhang mit dem Schutz personenbezogener Daten. | Eine Übersicht über die Rolle des Datenschutzbeauftragten von Microsoft, die Art seiner Aufgaben, die Berichtsstruktur und die Kontaktinformationen. - Datenschutzbeauftragter von Microsoft [18] - Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN - 6.4 Sicherheit im Personalwesen im Compliance-Manager |
(39)(1)(b) |
| Klassifizierung von Informationen (6.5.1) | Betrachten Sie personenbezogene Daten explizit als Teil eines Datenklassifizierungsschemas. | Funktionen in Office 365 zur Unterstützung der Klassifizierung personenbezogener Daten. - Schutz von Informationen in Office 365 für die DSGVO [5] siehe „Entwerfen eines Klassifikationsschemas für personenbezogene Daten“ - 6.5.1 Klassifizierung von Informationen im Compliance-Manager |
(39)(1)(b) |
| Verwaltung von Wechselmedien (6.5.2) | Legen Sie interne Richtlinien für die Verwendung von Wechselmedien fest, die sich auf den Schutz personenbezogener Daten beziehen (z. B. das Verschlüsseln von Geräten). | Beschreibung, wie Microsoft-Dienste für die Sicherheit von personenbezogenen Informationen auf Wechselmedien sorgen. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - Verwaltung von Wechselmedien im Compliance-Manager |
(32)(1)(a), (5)(1)(f) |
| Übertragung physischer Medien (6.5.3) | Der Kunde sollte interne Richtlinien zum Schutz von personenbezogenen Daten bei der Übertragung von physischen Medien festlegen (z. B. Verschlüsselung). | Beschreibung, wie für Microsoft-Dienste personenbezogene Daten während einer Übertragung von physischen Medien geschützt werden. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - 6.5.3 Übertragung physischer Medien im Compliance-Manager |
(32)(1)(a), (5)(1)(f) |
| Verwaltung des Benutzerzugriffs (6.6.1) | Der Kunde sollte damit vertraut sein, welche Verantwortlichkeiten für ihn in Bezug auf die Zugriffssteuerung im genutzten Dienst gelten, und diese Verantwortlichkeiten mit den verfügbaren Tools entsprechend verwalten. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - 6.6.1 im Compliance-Manager |
(5)(1)(f) |
| Registrierung und Aufhebung der Registrierung für Benutzer (6.6.2) | Der Kunde sollte die Registrierung und Aufhebung der Registrierung für Benutzer im genutzten Dienst verwalten, indem er die verfügbaren Tools verwendet. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - 6.6.2 Registrierung und Aufhebung der Registrierung für Benutzer im Compliance-Manager |
(5)(1)(f) |
| Bereitstellung des Benutzerzugriffs (6.6.3) | Der Kunde sollte Benutzerprofile, vor allem für den berechtigten Zugriff auf personenbezogene Daten, innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen, Zugriff auf Anwendungen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15] - Benutzerzugriffsbereitstellung im Compliance-Manager |
(5)(1)(f) |
| Verwaltung des privilegierten Zugriffs (6.6.4) | Kunden sollten Benutzer-IDs verwalten, um die Zugriffsverfolgung (insbesondere auf personenbezogene Daten) innerhalb des genutzten Diensts unter Verwendung der zur Verfügung stehenden Tools zu erleichtern. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15] -6.6.4 Verwaltung des privilegierten Zugriffs im Compliance-Manager |
(5)(1)(f) |
| Sichere Anmeldeverfahren (6.6.5) | Der Kunde sollte die vom Dienst bereitgestellten Mechanismen nutzen, um sichere Anmeldefunktionen für seine Benutzer einzurichten, wo dies erforderlich ist. | Beschreibung, wie Microsoft-Dienste Richtlinien für die interne Zugriffssteuerung in Bezug auf personenbezogene Daten unterstützen. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] - 6.6.5 Sichere Anmeldeverfahren im Compliance-Manager |
(5)(1)(f) |
| Kryptografie (6.7) | Der Kunde sollte ermitteln, welche Daten ggf. verschlüsselt werden müssen und ob der genutzte Dienst über eine entsprechende Funktion verfügt. Der Kunde sollte die Verschlüsselung nach Bedarf mit den verfügbaren Tools einsetzen. | Beschreibung, wie Microsoft-Dienste die Verschlüsselung und Pseudonymisierung unterstützen, um das Risiko der Verarbeitung personenbezogener Daten zu mindern. - FedRAMP Moderate – FedRAMP-System-Sicherheitsplan (SSP) siehe Cosmos ab S. 29 - 6.7 Kryptographie im Compliance-Manager |
(32)(1)(a) |
| Sichere Entsorgung oder Wiederverwendung von Ausrüstung (6.8.1) | Bei Verwendung von Cloud Computing-Diensten (PaaS, SaaS, IaaS) sollte der Kunde damit vertraut sein, wie der Cloudanbieter sicherstellt, dass personenbezogene Daten aus dem Speicherbereich gelöscht werden, bevor dieser Bereich einem anderen Kunden zugewiesen wird. | Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass persönliche Daten von Speicherausrüstung gelöscht werden, bevor diese Ausrüstung übertragen oder wiederverwendet wird. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - 6.8.1 Sichere Entsorgung oder Wiederverwendung von Ausrüstung im Compliance-Manager |
(5)(1)(f) |
| Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm (6.8.2) | Der Kunde sollte Risiken im Zusammenhang mit Papiermaterial, das personenbezogene Daten anzeigt, berücksichtigen und die Erstellung dieses Materials unter Umständen einschränken. Wenn das verwendete System die Möglichkeit bietet, dies einzuschränken (z. B. Einstellungen zum Verhindern des Ausdrucks oder Kopierens/Einfügens vertraulicher Daten), sollte der Kunde die Notwendigkeit in Betracht ziehen, diese Funktionen zu nutzen. | Beschreibung, was bei Microsoft zur Verwaltung von Hardcopy-Material implementiert wird. Interne Verwaltung von Kontrollmechanismen bei Microsoft, siehe Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] A.10.2, A.10.7, und A.4.1 - 6.8.2 Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm im Compliance-Manager |
(5)(1)(f) |
| Trennung von Umgebungen für Entwicklung, Tests und Betrieb (6.9.1) | Der Kunde sollte die Auswirkungen berücksichtigen, die mit der Verwendung von personenbezogenen Daten in Entwicklungs- und Testumgebungen in seiner Organisation verbunden sind. | Beschreibung, wie bei Microsoft sichergestellt wird, dass personenbezogene Daten in Entwicklungs- und Testumgebungen geschützt sind. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.12.1.4 - 6.9.1 Trennung von Umgebungen für Entwicklung, Tests und Betrieb im Compliance-Manager |
5(1)(f) |
| Informationssicherung (6.9.2) | Der Kunde sollte sicherstellen, dass er vom System bereitgestellte Funktionen nutzt, um Redundanzen für seine Daten zu erstellen und je nach Bedarf Tests durchzuführen. | Beschreibung, wie bei Microsoft die Verfügbarkeit der Daten sichergestellt wird, in denen personenbezogene Daten enthalten sein können, wie für die Genauigkeit von wiederhergestellten Daten gesorgt wird und welche Tools und Verfahren von den Microsoft-Diensten bereitgestellt werden, um Ihnen das Sichern und Wiederherstellen von Daten zu ermöglichen. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 10.9 Verfügbarkeit - 6.9.2 Informationssicherung im Compliance-Manager |
(32)(1)(c), (5)(1)(f) |
| Ereignisprotokollierung (6.9.3) | Der Kunde sollte mit den Funktionen für die Protokollierung vertraut sein, die vom System bereitgestellt werden. Er sollte mit diesen Funktionen sicherstellen, dass Aktionen, für die dies erforderlich ist, für personenbezogene Daten protokolliert werden können. | Die Daten, die vom Microsoft-Dienst für Sie aufgezeichnet werden, z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse in Bezug auf die Informationssicherheit, und die Vorgehensweise zum Zugreifen auf diese Protokolle zur Verwendung im Rahmen der Aufzeichnungen. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] - 6.9.3 Ereignisprotokollierung im Compliance-Manager |
(5)(1)(f) |
| Schutz von Protokollinformationen (6.9.4) | Der Kunde sollte die Anforderungen in Bezug auf den Schutz von Protokollinformationen kennen, die ggf. personenbezogene Daten oder Aufzeichnungen zur Verarbeitung von personenbezogenen Daten enthalten. Wenn vom genutzten System Funktionen zum Schützen von Protokollen bereitgestellt werden, sollte der Kunde diese Funktionen bei Bedarf verwenden. | Beschreibung, wie bei Microsoft Protokolle geschützt werden, die ggf. personenbezogene Daten enthalten. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] - 6.9.4 Schutz von Protokollinformationen im Compliance Manager |
(5)(1)(f) |
| Informationsübertragung – Richtlinien und Verfahren (6.10.1) | Der Kunde sollte Verfahren für Fälle eingerichtet haben, in denen personenbezogene Daten auf physischen Medien übertragen werden (z.B. auf einer Festplatte, die in anderen Servern eingebaut oder in anderen Gebäuden genutzt wird). Dazu können Protokolle, Autorisierungen und Nachverfolgung gehören. Wenn ein Dritter oder ein anderer Auftragsverarbeiter physische Medien übertragen kann, sollte der Kunde sicherstellen, dass seine organization über Verfahren verfügt, um die Sicherheit der personenbezogenen Daten zu gewährleisten. | Beschreibung, wie für Microsoft-Dienste physische Medien übertragen werden, die ggf. personenbezogene Daten enthalten, einschließlich der Umstände einer Übertragung, und der getroffenen Maßnahmen zum Schützen der Daten. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - 6.10.1 Informationsübertragung – Richtlinien und Verfahren Compliance-Manager |
(5)(1)(f) |
| Vertraulichkeits- bzw. Geheimhaltungsverträge (6.10.2) | Der Kunde sollte ermitteln, ob Geheimhaltungsverträge oder entsprechende Vereinbarungen für Einzelpersonen, die Zugriff auf personenbezogene Daten haben oder über entsprechende Verantwortlichkeiten verfügen, erforderlich sind. | Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass sich Einzelpersonen mit autorisiertem Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet haben. - SOC 2 Typ 2 Überwachungsbericht [11], siehe CC1.4 ab S. 33 - 6.10.2 Vertraulichkeits- bzw. Geheimhaltungsverträge im Compliance-Manager |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Schützen von Anwendungsdiensten in öffentlichen Netzwerken (6.11.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Verschlüsselung von personenbezogenen Daten vertraut sein, vor allem bei deren Übermittlung über öffentliche Netzwerke. Wenn vom System Mechanismen zur Verschlüsselung von Daten bereitgestellt werden, sollte der Kunde diese Mechanismen verwenden, wenn dies erforderlich ist. | Beschreibungen der Maßnahmen, die für Microsoft-Dienste unternommen werden, um Daten während der Übertragung zu schützen, einschließlich Verschlüsselung der Daten. Es wird auch beschrieben, wie für Microsoft-Dienste Daten geschützt werden, die ggf. personenbezogene Daten enthalten, wenn diese über öffentliche Datennetzwerke übertragen werden, einschließlich Verschlüsselungsmaßnahmen. - Verschlüsselung in der Microsoft-Cloud [17] siehe Verschlüsselung von Kundendaten bei der Übertragung - 6.11.1 Schützen von Anwendungsdiensten in öffentlichen Netzwerken Compliance-Manager |
(5)(1)(f), (32)(1)(a) |
| Prinzipien sicherer Systeme (6.11.2) | Der Kunde sollte sich darüber im klaren sein, wie Systeme für den Schutz personenbezogener Daten konzipiert und entwickelt sind. Wenn ein Kunde ein von einem Drittanbieter entwickeltes System verwendet, liegt es in seiner Verantwortung, sicherzustellen, dass dieser Datenschutz berücksichtigt wurde. | Beschreibung, wie bei Microsoft-Diensten Prinzipien des Schutzes von personenbezogenen Daten ein obligatorischer Teil der Prinzipien für den sicheren Entwurf und die sichere Erstellung sind. - SOC 2 Typ 2 Überwachungsbericht [11], siehe Security Development Lifecycle ab. S. 23, CC7.1 ab S. 45. - Sichere System-Engineering-Prinzipien im Compliance-Manager |
(25)(1) |
| Lieferantenbeziehungen (6.12) | Der Kunde sollte sicherstellen, dass alle Anforderungen in Bezug auf die Informationssicherheit und den Schutz von personenbezogenen Daten sowie die hiermit verbundenen Verantwortlichkeiten von Dritten vertraglich festgelegt bzw. Teil anderer Vereinbarungen sind. In den Vereinbarungen sollten außerdem die Anweisungen zur Verarbeitung enthalten sein. | Beschreibung, wie für Microsoft-Dienste die Sicherheit und der Datenschutz in den Vereinbarungen mit unseren Lieferanten geregelt ist und wie sichergestellt wird, dass diese Vereinbarungen auf effektive Weise umgesetzt werden. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] - Verträge für Verarbeiter als Subunternehmer: Arbeiten als Vertragspartner von Microsoft [7] - 6.12 Lieferantenbeziehungen im Compliance-Manager |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit (6.13.1) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibung, wie für Microsoft-Dienste ermittelt wird, ob ein Sicherheitsvorfall eine Verletzung Ihrer personenbezogenen Daten darstellt, und wie wir Sie über die Verletzung informieren. - Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9] - 6.13.1 Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit im Compliance-Manager |
(33)(2) |
| Verantwortlichkeiten und Verfahren (bei Vorfällen zur Informationssicherheit) (6.13.2) | Der Kunde sollte wissen, wofür er bei einer Datenpanne oder einem Sicherheitsincident in Bezug auf personenbezogene Daten verantwortlich ist, und dies entsprechend dokumentieren. Beispiele für Verantwortlichkeiten sind die Benachrichtigung der jeweiligen Parteien, die Kommunikation mit Auftragsverarbeitern oder anderen Drittparteien sowie Verantwortlichkeiten innerhalb der Organisation des Kunden. | Beschreibung, wie Sie Microsoft-Dienste informieren können, wenn Sie einen Sicherheitsvorfall oder eine Verletzung von personenbezogenen Daten erkennen. - Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9] - 6.13.2 Verantwortlichkeiten und Verfahren im Compliance-Manager |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Antwort auf Vorfälle zur Informationssicherheit (6.13.3) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibungen der Informationen, die von Microsoft-Diensten bereitgestellt werden, damit Sie entscheiden können, ob für personenbezogene Daten eine Verletzung vorliegt. - Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9] - 6.13.3 Antwort auf Vorfälle zur Informationssicherheit im Compliance-Manager |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Schutz von Aufzeichnungen (6.15.1) | Der Kunde sollte mit den Anforderungen, die in Bezug auf die für personenbezogene Daten erforderlichen Aufzeichnungen und die damit verbundene Verwaltung gelten, vertraut sein. | Beschreibung, wie für Microsoft-Dienste Aufzeichnungen in Bezug auf die Verarbeitung von personenbezogenen Daten gespeichert werden. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.18.1.3 - Office 365 ISMS Handbuch [14] siehe 9. Leistungsbeurteilung |
(5)(2), (24)(2) |
| Unabhängige Überprüfung der Informationssicherheit (6.15.2) | Der Kunde sollte sich der Anforderungen an die Bewertung der Sicherheit der Verarbeitung personenbezogener Daten bewusst sein. Dies kann interne oder externe Audits oder andere Maßnahmen zur Bewertung der Sicherheit der Verarbeitung umfassen. Wenn der Kunde für die gesamte oder einen Teil der Verarbeitung von einer anderen Organisation eines Drittanbieters abhängig ist, sollte er Informationen über diese von ihm durchgeführten Bewertungen sammeln. | Beschreibung, wie für Microsoft-Dienste die Effektivität von technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit getestet und bewertet wird, einschließlich Audits durch Dritte. - Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1] - Office 365 ISMS Manual [14] siehe 9. Leistungsbeurteilung - 6.15.2 Unabhängige Überprüfung der Informationssicherheit im Compliance-Manager |
(32)(1)(d), (32)(2) |
| Überprüfung der technischen Compliance (6.15.3) | Der Kunde sollte die Anforderungen an die Prüfung und Bewertung der Sicherheit der Verarbeitung personenbezogener Daten kennen. Dies kann technische Prüfungen wie z. B. Penetrationstests umfassen. Wenn der Kunde ein Fremdsystem oder einen Prozessor verwendet, sollte er kennen, welche Verantwortung er für die Sicherung und das Testen der Sicherheit hat (z. B. Konfigurationen zur Datensicherung verwalten und dann diese Konfigurationseinstellungen testen). Wenn der Drittanbieter ganz oder teilweise für die Sicherheit der Verarbeitung verantwortlich ist, sollte der Kunde wissen, welche Test- oder Evaluierungsmaßnahmen der Drittanbieter durchführt, um die Sicherheit der Verarbeitung zu gewährleisten. | Beschreibung, wie die Sicherheit von Microsoft-Diensten basierend auf identifizierten Risiken getestet wird, z.B. Tests von Dritten, und welche Arten von technischen Tests und verfügbaren Berichte zu den Tests vorhanden sind. - Microsoft-Onlinedienstbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1] - Eine Liste mit externen Zertifizierungen finden Sie unter den Compliance-Angeboten im Microsoft Trust Center [13] - Weitere Informationen zu Penetrationstests für Ihre Anwendungen finden Sie im FedRAMP Moderate – FedRAMP-System – Sicherheitsplan (SSP)[3], CA-8 Penetration Testing (M) (H) ab S. 204 - 6.15.3 Überprüfung der technischen Compliance im Compliance-Manager |
(32)(1)(d), (32)(2) |