Freigeben über


Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Azure verwenden

Gemäß der Datenschutz-Grundverordnung (DSGVO) sind Datenverantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung (DATA Protection Impact Assessment, DPIA) für Verarbeitungsvorgänge vorzubereiten, die "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen". Microsoft Azure selbst hat nichts inne, das notwendigerweise die Erstellung einer DPIA durch einen Datencontroller erfordern würde, der es verwendet. Ob eine DPIA erforderlich ist, hängt vielmehr von den Details und dem Kontext ab, wie der Datenverantwortliche Microsoft Azure bereitstellt, konfiguriert und verwendet. In jedem Fall sollte eine DPIA frühzeitig im Leben eines Projekts beginnen und parallel zum Planungs- und Entwicklungsprozess ausgeführt werden.

Dieses Dokument soll den Datenverantwortlichen Informationen über Microsoft Azure bereitstellen, die ihnen helfen, zu bestimmen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und wenn ja, welche Informationen sie enthalten soll.

Hinweis

Microsoft stellt in diesem Artikel keine Rechtsberatungen bereit. Dieser Artikel dient ausschließlich zu Informationszwecken. Kunden sind dazu angehalten, mit Ihren Datenschutzbeauftragten (Data Protection Officer, DPO) und/oder ihrem Rechtsbeistand bzw. ihren Rechtsberatern zu arbeiten, um die Notwendigkeit und Inhalte aller DPIAs zu ermitteln, die mit der Verwendung von Microsoft Azure oder einem anderen Microsoft-Onlinedienst verbunden sind.

Teil 1: Ermitteln, ob eine Datenschutz-Folgenabschätzung (DPIA) erforderlich ist

Artikel 35 der DSGVO legt fest, dass ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen muss, „wenn die Verarbeitung insbesondere bei Einsatz neuer Technologien und unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt“. Außerdem beschreibt er bestimmte Faktoren, die auf ein solches hohes Risiko hindeuten würden, die in der folgenden Tabelle untersucht werden. Um zu ermitteln, ob eine DPIA notwendig ist, sollte ein Datenverantwortlicher diese Faktoren angesichts seiner spezifischen Implementierung(en) und der Verwendung(en) von Microsoft Azure berücksichtigen.

Hoher Risikofaktor Wichtige Informationen zu Microsoft Azure
Eine systematische und umfassende Bewertung der persönlichen Aspekte im Zusammenhang mit natürlichen Personen basierend auf der automatisierten Datenverarbeitung, einschließlich Profiling, und auf der Entscheidungen basieren, die hinsichtlich der natürlichen Person rechtliche Wirkung erzeugen oder sie auf ähnliche Weise betreffen. Microsoft Azure-Dienste sind nicht für die Verarbeitung vorgesehen, auf der Entscheidungen basieren, die rechtliche oder ähnlich signifikante Auswirkungen auf Einzelpersonen haben.

Da Es sich bei Azure jedoch um einen hochgradig anpassbaren Dienst handelt, kann ein Datencontroller möglicherweise Azure-Dienste so konfigurieren, dass sie für eine solche Verarbeitung verwendet werden. Controller sollten diese Bestimmung basierend auf ihrer Nutzung von Azure treffen.
Die umfassende Verarbeitung von Daten besonderer Kategorien (personenbezogene Daten, die die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für die zweifelsfreie Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen. Microsoft Azure ist nicht für die Verarbeitung spezieller Kategorien personenbezogener Daten in großem Umfang konzipiert.

Ein Datenverantwortlicher kann jedoch Microsoft Azure verwenden, um die aufgelisteten speziellen Kategorien von Daten zu verarbeiten. Microsoft Azure ist ein hochgradig anpassbarer Dienst, der es dem Kunden ermöglicht, personenbezogene Daten, einschließlich spezieller Kategorien personenbezogener Daten, nachzuverfolgen oder anderweitig zu verarbeiten. Als Datenverarbeiter hat Microsoft jedoch keine Kontrolle über diese Nutzung und wenig oder gar keinen Einblick in diese Nutzung. Die Bestimmung der angemessenen Verwendung der Daten des Datenverantwortlichen obliegt dem Datenverantwortlichen.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang. Microsoft Azure ist nicht darauf ausgelegt, eine solche Überwachung in großem Umfang durchzuführen oder zu ermöglichen.

Ein Datenverantwortlicher kann jedoch Azure verwenden, um daten zu verarbeiten, die über eine solche Überwachung gesammelt wurden. Microsoft Azure ist ein hochgradig anpassbarer Dienst, mit dem der Kunde beliebige Arten von Daten, einschließlich Überwachungsdaten, nachverfolgen oder anderweitig verarbeiten kann. Als Datenverarbeiter hat Microsoft jedoch keine Kontrolle über diese Nutzung und wenig oder gar keinen Einblick in diese Nutzung. Die Bestimmung der angemessenen Verwendung der Daten des Datenverantwortlichen obliegt dem Datenverantwortlichen.

Teil 2: Inhalte einer DPIA

Artikel 35 Absatz 7 der DSGVO schreibt vor, dass eine Datenschutz-Folgenabschätzung die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Verarbeitung festlegt. Eine systematische Beschreibung einer umfassenden DPIA kann Faktoren wie die Art der verarbeiteten Daten, die Dauer der Aufbewahrungsdauer der Daten, den Speicherort und die Übertragung der Daten und die Möglichkeit von Dritten enthalten, die Zugriff auf die Daten haben und von einem Datenflussdiagramm unterstützt werden. Außerdem muss die DPIA Folgendes umfassen:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke;
  • Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen; Und
  • Die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Sicherheitsvorkehrungen, Sicherheitsmaßnahmen und Mechanismen, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen nachzuweisen.

Die folgende Tabelle enthält Informationen zu Microsoft Azure, die für jedes dieser Elemente relevant sind. Wie in Teil 1 müssen datenverantwortliche Datenverantwortliche die in der Tabelle angegebenen Details zusammen mit allen anderen relevanten Faktoren im Kontext der spezifischen Implementierung(en) des Verantwortlichen und der Verwendung(en) von Microsoft Azure berücksichtigen.

Elemente einer DPIA Wichtige Informationen zu Microsoft Azure
Zweck(e) der Verarbeitung Der/die Zweck/e der Verarbeitung von Daten mithilfe von Microsoft Azure wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet.

Wie in den Produktbedingungen und Produkt- und Dienstleistungsdaten-Nachtrag (DPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten, um dem Kunden die Onlinedienste in Übereinstimmung mit den dokumentierten Anweisungen des Kunden zur Verfügung zu stellen.

Wie in den Standard-Produktbedingungen und -produkten und -diensten zum Datenschutz-Addendum (DPA) beschrieben, verwendet Microsoft personenbezogene Daten auch, um eine begrenzte Anzahl von Geschäftsvorgängen zu unterstützen.

Microsoft ist verantwortlich für die Verarbeitung personenbezogener Daten zur Unterstützung dieser spezifischen Geschäftsvorgänge. Im Allgemeinen aggregiert Microsoft personenbezogene Daten, bevor sie für unsere Geschäftsvorgänge verwendet werden, wodurch Die Fähigkeit von Microsoft zur Identifizierung bestimmter Personen entfällt, und personenbezogene Daten in der am wenigsten identifizierbaren Form verwendet werden, die die für den Geschäftsbetrieb erforderliche Verarbeitung unterstützt.

Microsoft verwendet Kundendaten oder daraus abgeleitete Informationen nicht für Profilerstellungs- oder Werbezwecke oder ähnliche kommerzielle Zwecke.

Hinweis: Microsoft Azure ist eine Online-Cloudplattform für die Verarbeitung, die aus mehreren diskreten Onlinedienste besteht, von denen jede unterschiedliche Zwecke der Verarbeitung hat. Beschreibungen der einzelnen Microsoft Azure-Dienstangebote finden Sie hier.

Microsoft Azure verarbeitet personenbezogene Daten nur, um Kunden ihre Onlinedienste einschließlich der Zwecke bereitzustellen, die mit der Bereitstellung dieser Dienste kompatibel sind, z. B. Personalisierung, Sicherheit, Betrugs- und Schadsoftwareprävention, Problembehandlung und Verbesserung.
Kategorien verarbeiteter personenbezogener Daten Kundendaten: Alle Daten, einschließlich aller Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft von einem Kunden oder im Namen eines Kunden durch die Nutzung des Unternehmensdiensts bereitgestellt werden. Kundendaten umfassen sowohl (1) identifizierbare Informationen von Endbenutzern (z. B. Benutzernamen und Kontaktinformationen in Microsoft Entra ID) als auch Kundeninhalte, die ein Kunde in bestimmte Dienste hochlädt oder in bestimmten Diensten erstellt (z. B. Kundeninhalte in einem Azure Storage-Konto, Kundeninhalte einer Azure SQL-Datenbank oder das Vm-Image eines Kunden in Azure Virtual Machines).

Vom Dienst generierte Daten: Dies sind die Daten, die von Microsoft durch den Betrieb des Diensts generiert oder abgeleitet werden, z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten von Microsoft generierte pseudonyme Bezeichner.

Unterstützungsdaten – Hierbei handelt es sich um Daten, die Microsoft vom oder im Auftrag des Kunden (oder der Kunde autorisiert Microsoft, diese von einem Onlinedienst zu beziehen) im Rahmen einer Vereinbarung mit Microsoft, um technischen Support für Onlinedienste zu erhalten.

Weitere Informationen zu von Azure verarbeiteten Daten finden Sie in den Produktbedingungen, einschließlich [Vereinbarung zur Datenverarbeitung von Produkten und Diensten (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) und Microsoft Trust Center.

Datenaufbewahrung Microsoft speichert und verarbeitet Kundendaten während des Rechts des Kunden, den Onlinedienst zu nutzen, und bis alle Kundendaten vom Kunden abgerufen oder gemäß den Bestimmungen der Produktbedingungen und der Produkt- und Dienstleistungsdatenzurückgabe (DPA) gelöscht werden. Der Kunde hat während der Laufzeit des Abonnements des Kunden die Möglichkeit, auf Kundendaten zuzugreifen, die in jedem Online Dienst gespeichert sind und diese zu extrahieren. Mit Ausnahme von kostenlosen Testversionen und LinkedIn-Diensten speichert Microsoft Kundendaten, die in den Onlinediensten gespeichert sind, 90 Tage nach Ablauf oder Kündigung des Abonnements des Kunden auf einem eingeschränkten Konto, sodass der Kunde die Daten extrahieren kann. Nach Ablauf des 90-tägigen Aufbewahrungszeitraums wird Microsoft das Konto des Kunden deaktivieren und die Kundendaten löschen. Der Kunde kann personenbezogene Daten auf Antrag der betroffenen Person und unter Verwendung der Fähigkeiten laut der DSGVO-Dokumentation bezüglich Anträgen für Azure-Datensubjekte löschen.
Speicherort und Übermittlung personenbezogener Daten Kunden haben die Möglichkeit, ruhende Kundendaten innerhalb bestimmter geografischer Regionen bereitzustellen, vorbehaltlich bestimmter Ausnahmen, die in den Produktbedingungen und dem Datenschutzzusatz für Microsoft-Produkte und -Dienste (DPA) festgelegt sind. Weitere Informationen zu Dienstbereitstellungen und Datenresidenz finden Sie auch im Microsoft-Datenschutz-Nachtrag (Data Protection Addendum, DPA) zu den Produktbedingungen und auf der Webseite der globalen Azure-Infrastruktur .

Für personenbezogene Daten, die aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich übermittelt werden, stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale organization den in Artikel 46 DSGVO beschriebenen angemessenen Garantien unterliegt. Zusätzlich zu den Verpflichtungen von Microsoft im Rahmen der Standardvertragsklauseln für Auftragsverarbeiter und anderer Modellverträge hält sich Microsoft an die Bestimmungen des Datenschutzframeworks.
Teilen von Daten mit Dritten Microsoft gibt Daten an Dritte weiter, die als Unterauftragsverarbeiter fungieren (wie in der DSGVO definiert), um Funktionen wie Kunden- und technischen Support, Servicewartung und andere Vorgänge zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Kundendaten, Supportdaten oder personenbezogene Daten übermittelt, haben schriftliche Vereinbarungen mit Microsoft geschlossen, die nicht weniger schützend sind als der Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten. Alle Unterauftragsverarbeiter von Drittanbietern, mit denen Kundendaten aus den Kern-Onlinediensten von Microsoft geteilt werden, sind in der Liste der Onlinedienste-Unterauftragsverarbeiter enthalten. Alle Unterauftragsverarbeiter von Drittanbietern, die auf Supportdaten zugreifen können (einschließlich Kundendaten, die Kunden während ihrer Supportinteraktionen freigeben), sind in der Unterauftragsverarbeiterliste für Onlinedienste enthalten. 
Rechte betroffener Personen Wenn Microsoft als Datenverarbeiter tätig ist, stellt das Unternehmen dem Kunden (auch bezeichnet als Datenverantwortlicher) die personenbezogenen Daten der betroffenen Person sowie die Möglichkeit bereit, Anfragen von betroffenen Person zu erfüllen, wenn diese ihre Rechte unter der DSGVO ausüben. Microsoft tut dies in einer Weise, die der Funktionalität des Produkts und seiner Rolle als Datenverarbeiter entspricht.  Erhält Microsoft eine Anfrage von betroffenen Personen des Kunden, eine oder mehrere ihrer Rechte unter den DSGVO auszuüben, wird die Anfrage an den Datenverantwortlichen weitergeleitet.

Der Leitfaden für Anträge betroffener Personen in Azure enthält eine Beschreibung für den Datenverantwortlichen, wie die Rechte der betroffenen Personen mithilfe der Funktionen in Azure unterstützt werden können.

Anträge einer betroffenen Person zur Ausübung von Rechten gemäß der DSGVO für personenbezogene Daten, die zur Unterstützung der legitimen Geschäftsprozesse verarbeitet werden, sollten an Microsoft gerichtet werden, wie in der Microsoft-Datenschutzerklärung erläutert.

Microsoft aggregiert im Allgemeinen personenbezogene Daten, bevor es für unsere Geschäftsvorgänge verwendet wird, und ist nicht in der Lage, personenbezogene Daten für eine bestimmte Person im Aggregat zu identifizieren. Diese Aktion verringert das Datenschutzrisiko für die Person. Wenn Microsoft nicht in der Lage ist, die Person zu identifizieren, kann es die Rechte der betroffenen Person auf Zugriff, Löschung, Übertragbarkeit oder die Einschränkung oder Ablehnung der Verarbeitung nicht unterstützen.

Die DSGVO-Dokumentation vom Azure zu Anforderungen von betroffenen Personen enthält eine Beschreibung, wie die Rechte der betroffenen Personen mithilfe der Funktionen von Azure unterstützt werden können.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck Eine solche Bewertung hängt vom Bedarf und dem Zweck der Verarbeitung des Datenverantwortlichen ab.

Microsoft ergreift Maßnahmen wie die Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung von Geschäftsvorgängen verwendet werden, um die Bereitstellung der Dienste zu unterstützen, wodurch das Risiko einer solchen Verarbeitung für betroffene Personen, die den Dienst nutzen, minimiert wird.

Die seitens Microsoft ausgeführte Datenverarbeitung dient dem Zweck, unsere Dienste dem Datenverantwortlichen des Kunden bereitzustellen. In diesem Zusammenhang ist sie notwendig und verhältnismäßig.
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen Die wichtigsten Risiken für die Rechte und Freiheiten betroffener Personen durch die Verwendung von Microsoft Azure hängen davon ab, wie und in welchem Kontext der Datenverantwortliche Microsoft Azure implementiert, konfiguriert und verwendet.

Microsoft ergreift Maßnahmen wie die Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung von Geschäftsvorgängen verwendet werden, um die Bereitstellung der Dienste zu unterstützen, wodurch das Risiko einer solchen Verarbeitung für betroffene Personen, die den Dienst nutzen, minimiert wird.

Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft zur Bewältigung solcher Risiken ergreift, werden in den Produktbedingungen erläutert, wie weiter unten in diesem Artikel näher erläutert.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden Microsoft ist bestrebt, die Sicherheit von Kundendaten zu schützen. Die Sicherheitsmaßnahmen, die Microsoft ergreift, werden in den Produktbedingungen ausführlich beschrieben.

Microsoft beachtet strenge Sicherheitsstandards und die branchenweit führende Methode zum Datenschutz. Microsoft verbessert seine Systeme kontinuierlich, um sich neuen Bedrohungen zu stellen. Weitere Informationen zu Cloudgovernance und Datenschutzpraktiken finden Sie auf der Seite Verwalten von Compliance in der Cloud im Trust Center .

Microsoft trifft angemessene und geeignete technische und organisatorische Maßnahmen, um die von Microsoft verarbeiteten personenbezogenen Daten zu schützen. Dazu gehören unter anderem interne Datenschutzrichtlinien und -praktiken, vertragliche Verpflichtungen sowie internationale und regionale Standardzertifikate. Weitere Informationen finden Sie auf der Seite Datenschutz im Trust Center.

Microsoft stellt umfangreiche, transparente Sicherheits- und Datenschutzmaterialien für Kunden bereit, die die Verwendung und Verarbeitung personenbezogener Daten durch Microsoft erläutern. Kunden werden ermutigt, sich mit Fragen an Microsoft zu wenden.

Wenn Microsoft als Datenverarbeiter fungiert, hält es außerdem die geltenden Bestimmungen der DSGVO ein, die für Datenverarbeiter gelten.

Wenn Microsoft personenbezogene Daten für seine Geschäftsvorgänge verarbeitet, erfüllt es die DSGVO-Verpflichtungen, die für Datenverantwortliche gelten.

Weitere Informationen