Freigeben über


Auskunftsrecht betroffener Personen für Dynamics 365 im Rahmen der DSGVO und CCPA

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union räumt natürlichen Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht ein, vom Arbeitgeber oder einer anderen Einrichtung oder Organisation (Datenverantwortlicher oder Verantwortlicher) erhobene personenbezogene Daten zu verwalten. Personenbezogene Daten sind in der DSGVO allgemein als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO gewährt betroffenen Personen spezifische Rechte an ihren personenbezogenen Daten; Zu diesen Rechten gehören der Erwerb von Kopien, das Anfordern von Änderungen an ihr, das Einschränken der Verarbeitung, das Löschen oder das Empfangen und die Übertragung an einen anderen Verantwortlichen. Eine formelle Anforderung einer betroffenen Person an einen Verantwortlichen, eine Maßnahme in Bezug auf ihre personenbezogenen Daten zu ergreifen, wird in diesem Dokument als Antrag auf Rechte betroffener Personen oder Anträge betroffener Personen bezeichnet.

In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen. Der CCPA sieht auch bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und "Opt-out/opt-in"-Anforderungen für bestimmte Datenübertragungen vor, die als "Verkäufe" klassifiziert sind. Der Umsatz ist breit definiert, um die Gemeinsame nutzung von Daten für eine wertvolle Überlegung einzubeziehen. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

In dem Leitfaden wird erläutert, wie unsere als Datenverantwortliche handelnden Kunden Microsoft-Produkte, -Dienste und -Verwaltungstools zum Suchen von und Reagieren auf personenbezogene Daten als Reaktion auf DSRs verwenden können. Dies gilt insbesondere für die Suche nach, den Zugriff auf sowie die Verarbeitung von personenbezogenen Daten oder persönlichen Informationen, die sich in der Microsoft-Cloud befinden. Im Folgenden finden Sie eine kurze Übersicht über die Prozesse, die in diesem Leitfaden beschrieben werden:

  • Erkennung: Sie können Kundendaten, die ggf. Gegenstand eines Antrags einer betroffenen Person sind, mithilfe von Such- und Ermittlungstools finden. Sobald Sie potenziell relevante Dokumente ermittelt haben, können Sie dem Antrag entsprechend eine oder mehrere der in den folgenden Schritten beschriebenen Aktionen ausführen. Möglicherweise stellen Sie jedoch fest, dass der Antrag nicht den Vorgaben Ihrer Organisation für die Beantwortung von Anträgen auf Rechteausübung entspricht.
  • Zugriff: Rufen Sie personenbezogene Daten ab, die sich in der Microsoft Cloud befinden, und erstellen Sie eine Kopie, die der betroffenen Person zur Verfügung gestellt wird, sofern dies beantragt wurde.
  • Berichtigung: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere Aktionen aus, die für die Daten angefordert werden.
  • Einschränken: Schränken Sie die Verarbeitung von personenbezogenen Daten ein, indem Sie entweder die Lizenzen für verschiedene Onlinedienste entfernen oder die gewünschten Dienste, wenn möglich, deaktivieren.
  • Löschen: Entfernen Sie personenbezogene Daten, die sich in der Microsoft-Cloud befinden, dauerhaft.
  • Exportieren/Empfangen (Portierbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) von personenbezogenen Daten oder persönlichen Informationen zur Verfügung. Personenbezogene Daten im Rahmen des CCPA sind beispielsweise alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Es gibt keinen Unterschied zwischen privaten, öffentlichen oder geschäftlichen Rollen einer Person. Der definierte Begriff "persönliche Informationen" entspricht in etwa dem Begriff "persönliche Daten" unter der DSGVO. Allerdings umfasst das CCPA auch Familien- und Haushaltsdaten. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

In jedem Abschnitt dieses Leitfadens werden die technischen Verfahren beschrieben, die ein Datenverantwortlicher organization ergreifen kann, um auf eine Anträge betroffener Personen nach personenbezogenen Daten in der Cloud von Microsoft zu reagieren.

Terminologie der DSGVO

In der nachfolgenden Liste finden Sie Definitionen von Begriffen, die für diesen Leitfaden relevant sind:

  • Datenverantwortlicher: Eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Sofern die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt werden, können der Datenverantwortliche bzw. die spezifischen Kriterien für dessen Benennung durch das Recht der Union oder des Mitgliedstaats angegeben werden.
  • Personenbezogene Daten und betroffene Person: Alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("betroffene Person"). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • Verarbeiter: Eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Kundendaten: Alle Daten, einschließlich aller Text-, Sound-, Video- oder Bilddateien, die Microsoft vom Kunden oder im Auftrag des Kunden durch Nutzung von Enterprise-Diensten bereitgestellt werden. Kundendaten umfassen sowohl (1) identifizierbare Informationen von Endbenutzern (z. B. Benutzernamen und Kontaktinformationen in Microsoft Entra ID) als auch Kundeninhalte, die ein Kunde in bestimmte Dienste hochlädt oder in bestimmten Diensten erstellt (z. B. Kundeninhalte in einem Azure Storage-Konto, Kundeninhalte einer Azure SQL-Datenbank oder das VM-Image eines Kunden in Azure Virtual Machines).
  • Vom System generierte Protokolle: Von Microsoft generierte Protokolle und verbundene Daten, die Microsoft bei der Bereitstellung von Enterprise-Diensten für Benutzer unterstützen. Vom System generierte Protokolle enthalten in erster Linie pseudonymisierte Daten, z. B. eindeutige Bezeichner– in der Regel eine Vom System generierte Zahl, die eine einzelne Person nicht allein identifizieren kann, sondern zur Bereitstellung der Unternehmensdienste für Benutzer verwendet wird.

So kann Sie dieser Leitfaden bei der Einhaltung Ihrer Verantwortlichkeiten als Datenverantwortlicher unterstützen

Der aus zwei Teilen bestehende Leitfaden erklärt, wie Dynamics 365-Produkte, -Dienste und -Verwaltungstools verwendet werden können, um Daten in der Microsoft-Cloud zu finden und zu nutzen als Reaktion auf Anforderungen von betroffenen Personen, die von ihren Rechten gemäß der DSGVO Gebrauch machen. Der erste Teil befasst sich mit personenbezogenen Daten, die in Kundendaten enthalten sind, gefolgt von einem Teil zu sonstigen pseudonymisierten personenbezogenen Daten, die in vom System generierten Protokollen enthalten sind.

  • Teil 1: Reaktion auf Anträge betroffener Personen (DSR) für personenbezogene Daten, die in Kundendaten enthalten sind: In Teil 1 dieses Leitfadens wird erläutert, wie Sie auf personenbezogene Daten aus Dynamics 365 Anwendungen (Software-as-a-Service) zugreifen, korrigieren, einschränken, löschen und exportieren können, die als Teil der Kundendaten verarbeitet werden, die Sie für den Onlinedienst bereitgestellt haben.
  • Teil 2: Reaktion auf Anträge betroffener Personen bezüglich pseudonymisierten Daten: Wenn Sie Dynamics 365 Enterprise Services verwenden, generiert Microsoft einige Informationen (in diesem Dokument als vom System generierte Protokolle bezeichnet), um den Dienst bereitzustellen, der auf den Verwendungsumfang von Endbenutzern beschränkt ist, um deren Aktionen im System zu identifizieren. Obwohl diese Daten ohne die Verwendung zusätzlicher Informationen keiner bestimmten betroffenen Person zugeordnet werden können, kann ein Teil davon im Rahmen der DSGVO als personenbezogen betrachtet werden. In Teil 2 dieses Leitfadens wird erläutert, wie Sie von Dynamics 365 generierte Protokolle aufrufen, löschen und exportieren können.

Vorbereiten auf Untersuchungen im Rahmen von Anträgen betroffener Personen

Wenn betroffene Personen Gebrauch von Ihren Rechten machen und Anforderungen stellen, müssen die folgenden Punkte berücksichtigt werden:

  • Identifizieren Sie die Person und Rolle – z. B. Mitarbeiter, Kunde, Kreditor – ordnungsgemäß anhand von Informationen, die die betroffene Person Ihnen im Rahmen ihrer Anfrage gegeben hat. Diese Informationen können ein Name, eine Mitarbeiter-ID oder Kundennummer sowie sonstige Kennungen sein.
  • Notieren Sie das Datum und die Uhrzeit der Anforderung. (Sie haben 1 Monat Zeit, um die Anforderung abzuschließen.)
  • Bestätigen Sie, dass die Anforderung die Anforderungen Ihrer organization erfüllt, um die Anforderung einer betroffenen Person zu erfüllen oder abzulehnen. Sie müssen beispielsweise sicherstellen, dass die Ausführung der Anforderung nicht mit anderen rechtlichen, finanziellen oder regulatorischen Verpflichtungen, die Sie haben, in Konflikt steht oder die Rechte und Freiheiten anderer verletzt.
  • Vergewissern Sie sich, dass Sie über die Informationen zu dem Antrag verfügen.

Teil 1: Reaktion auf Anträge betroffener Personen auf personenbezogene Daten, die in Kundendaten enthalten sind

In den folgenden Artikeln finden Sie Informationen, die Sie bei der Vorbereitung und Beantwortung von Anträgen betroffener Personen in Den in Dynamics 365 verarbeiteten Kundendaten unterstützen. Es ist wichtig zu beachten, dass personenbezogene Daten in anderen Kategorien von Daten vorhanden sein können, die von Microsoft während des Diensts eines Onlinedienste-Abonnements verarbeitet werden, z. B. Administratordaten oder Professional Services-Daten. Dieses Dokument ist darauf beschränkt, Sie bei der Ermittlung und Verwaltung von Anträgen betroffener Personen zu unterstützen, die sich auf personenbezogene Daten auswirken, die in den Kundendaten vorhanden sind, die Sie Dynamics 365 bereitgestellt haben.

Dynamics 365 ist eine Reihe von Onlinedienste, die mehrere Datenverarbeitungsfunktionen als Software-as-a-Service (SaaS) bietet. Daher bietet Dynamics 365 eine breite Palette von Funktionen zur Verarbeitung einer vielfältigen Sammlung von Daten, die je nach Art, Zweck oder anderen spezifischen Attributen wie Verkaufsdaten, Transaktionen, Finanzen, Personalinformationen usw. variieren können. Angesichts dieser Vielfalt bietet Dynamics 365 mehrere Formulare, Felder, Schemas, Endpunkte und Logik zur Verarbeitung von Kundendaten, was sich auch in den verschiedenen Möglichkeiten widerspiegelt, wie Anträge betroffener Personen in jeder Anwendung behandelt werden können. Wenn Dynamics 365 Anwendungen mehrere Möglichkeiten bieten, bestimmte Anträge betroffener Personen zu bearbeiten, werden wir diese in diesem Leitfaden beachten, indem wir auf die technischen Beschreibungen verweisen, die von den einzelnen Anwendungen angeboten werden.

Dynamics 365

Suchen von Kundendaten

Der erste Schritt der Reaktion auf einen Antrag einer betroffenen Person ist es, die Kundendaten zu suchen und zu ermitteln, die von dem Antrag betroffen sind.

Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Sales & Dynamics 365 Customer Insights - Journeys werden in diesem Dokument und im gesamten Dokument zusammen als "Kundenbindungsanwendungen" bezeichnet. Die richtige Klassifizierung von Kundendaten ist der Eckpfeiler der Arbeit mit personenbezogenen Daten in Kundenbindungs-Geschäftsanwendungen. Kundenbindungsanwendungen bieten Flexibilität beim Erstellen einer Anwendungserweiterung rund um die Datenklassifizierung. Eine ordnungsgemäße Klassifizierung ermöglicht es Ihnen, Informationen als personenbezogene Daten zu identifizieren, sodass sie bei der Beantwortung von Anfragen einer betroffenen Person gefunden und abgerufen werden können. Sie kann auch die Einhaltung gesetzlicher und gesetzlicher Anforderungen für die Erhebung und Verwaltung personenbezogener Daten ermöglichen.

Microsoft bietet Funktionen, die Sie bei der Beantwortung von Anträgen betroffener Personen und damit beim Zugriff auf Kundendaten unterstützen. Es liegt jedoch in Ihrer Verantwortung sicherzustellen, dass personenbezogene Daten ordnungsgemäß gespeichert und klassifiziert werden.

Dynamics 365 Kundenbindungsanwendungen (wie zuvor referenziert) stellen mehrere Methoden bereit, mit denen Sie in Datensätzen nach personenbezogenen Daten suchen können, z. B.: Erweiterte Suche Search und Search für Datensätze. Diese Funktionen ermöglichen es Ihnen, personenbezogene Daten zu identifizieren (zu finden).

In Dynamics 365 für Customer Insights – Journeys verfügen Sie über die folgenden zusätzlichen Funktionen:

  1. Erstellen von Power BI-Berichten, um Kundendaten zu filtern und zu identifizieren.
  2. Nutzen Sie die Insight-Ansichten für Kontakte und Objekte der Marketingversion, um zusätzliche Datenpunkte zu identifizieren, die Kundendaten enthalten können.

Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Human Resources und Dynamics 365 Supply Chain Management bieten Ihnen mehrere Möglichkeiten, nach Kundendaten zu suchen. Als Mandantenadministrator können Sie die folgenden Aktionen durchführen, um nach Kundendaten zu suchen:

  • Sie können Ihre Kundendaten so organisieren, dass sie dem schnellen Auffinden personenbezogener Daten dienen. Hier finden Sie Informationen dazu, wie Sie den Datenbestand klassifizieren.
  • Verwenden des Personensuchberichts, um personenbezogene Daten zu suchen und zu erfassen.
  • Erweitern des Personensuchberichts durch Erstellen einer neuen Entität oder Erweitern einer vorhandenen Entität.
  • Verwenden Sie Such- und Filterfunktionen, um bestimmte personenbezogene Daten zu finden und diese mit Hilfe der Microsoft Office-Exportfunktion zu exportieren, oder drucken Sie diese Informationen mit Hilfe von Browsererweiterungen in ein .pdf-Format.
  • Erstellen Sie ein benutzerdefiniertes Formular, das personenbezogene Daten sucht und exportiert.
  • Erstellen Sie ein externes Portal oder eine externe Website, das bzw. die es einem authentifizierten Kunden ermöglicht, seine personenbezogenen Daten einzusehen.

Wenn Sie die unten aufgeführten Dynamics 365 Commerce E-Commerce-Add-Ons verwenden, lesen Sie die folgenden Ressourcen für zusätzliche Prozesse bei Anträgen betroffener Personen.

Dynamics 365 Business Central bietet ihnen mehrere Möglichkeiten, nach Kundendaten zu suchen. Einzelheiten hierzu finden Sie unter Suchen, Filtern und Sortieren von Daten.

Bereitstellen einer Kopie von Kundendaten

Kundendaten in Dynamics 365 Customer Engagement-Anwendungen (wie zuvor referenziert) können mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Kundendaten können in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Mit Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Dynamics 365 Kundenbindungsanwendungsdatensätze können auch über die Microsoft Dataverse-Web-API exportiert werden.

Darüber hinaus wird für Dynamics 365 für Customer Journeys – Insights eine dedizierte API bereitgestellt, mit der Kunden Erweiterungen erstellen können, die zusätzliche Datensätze erfasster Kundeninteraktionen abrufen, die möglicherweise personenbezogene Daten enthalten. Die API lädt alle relevanten Informationen aus dem Back-End-System und setzt sie in einem einzigen, portablen Dokument zusammen.

Kundendaten in Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Human Resources und Dynamics 365 Supply Chain Management können mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Unter Verwendung von Datenverwaltungs- und Integrationsentitäten kann der Mandantenadministrator bereitgestellte Entitäten verwenden, neue Entitäten erstellen oder bestehende Entitäten für einen wiederholbaren Export personenbezogener Daten nach Excel oder einer Reihe anderer gängiger Formate unter Verwendung von Datenimport- und -exportaufträgen erweitern. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Werden Kundendaten nach Excel exportiert, können Sie die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und die Datei dann in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Sie können auch erwägen, den Bericht zur Personensuche zu verwenden, um der betroffenen Person Daten zur Verfügung zu stellen, die Sie als personenbezogene Daten klassifiziert haben.

In Dynamics 365 Business Central können Sie zwei Funktionen nutzen, um einer betroffenen Person eine Kopie von Kundendaten zur Verfügung zu stellen:

Sie können Kundendaten in eine Excel-Datei exportieren. In Excel können Sie dann die Kundendaten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.

Berichtigen von Kundendaten

Dynamics 365 Kundenbindungsanwendungen bietet Ihnen die folgenden Methoden, um ungenaue oder unvollständige Kundendaten zu korrigieren oder Kundendaten zu löschen:

  • Search für Kundendaten mithilfe der unter "Suchen von Kundendaten" erwähnten Funktionen und bearbeiten Sie Daten direkt in Kundenbindungsanwendungen. Änderungen können auf einer einzigen Zeilenebene oder direkt in mehreren Zeilen vorgenommen werden.
  • Sie können das Microsoft Office-Add-In verwenden, um Daten nach Microsoft Excel zu exportieren, Ihre Änderungen vorzunehmen und diese geänderten Daten dann aus Excel in Kundenbindungsanwendungen zu importieren.

In Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics Human Resources und Dynamics 365 Supply Chain Management können Sie auch Anpassungstools verwenden, aber die Entscheidung und Implementierung liegt in Ihrer Verantwortung.

Dynamics 365 Business Central bietet zwei Möglichkeiten, ungenaue oder unvollständige Kundendaten zu korrigieren.

Um mehrere Business Central-Datensätze schnell per Massenbearbeitung zu bearbeiten, können Sie Listen mithilfe des Business Central Excel-Add-Ins nach Excel exportieren, um mehrere Datensätze zu korrigieren, und dann die geänderten Daten aus Excel in Business Central veröffentlichen. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.

Sie können Kundendaten, die in einem beliebigen Feld gespeichert sind, z. B. Informationen über einen Kunden in der Kundenkarte, ändern, indem Sie das Datenelement, das die betroffenen personenbezogenen Daten enthält, manuell bearbeiten. Für Details siehe Eingabe von Daten.

Kurzer Hinweis zum Ändern von Einträgen in geschäftlichen Transaktionen

Transaktionsdatensätze wie allgemeine, Kunden- und Steuerbucheinträge sind für die Integrität eines Enterprise-Ressourcenplanungssystems unerlässlich. Personenbezogene Daten, die Teil einer Finanz- oder sonstigen Transaktion sind, werden "unverändert" aufbewahrt, um Finanzgesetze (z. B. Steuergesetze), Betrugsprävention (z. B. Sicherheitsüberwachungspfad) oder Einhaltung branchenspezifischer Zertifizierungen einzuhalten. Daher schränken Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Human Resources und Dynamics 365 Business Central das Ändern von Daten in solchen Datensätzen ein.

Wenn Sie personenbezogene Daten für Dynamics 365 Business Central in Geschäftstransaktionsdatensätzen speichern, besteht die einzige Möglichkeit, die Verarbeitung personenbezogener Daten zu korrigieren, zu löschen oder einzuschränken, um der Anforderung einer betroffenen Person nachzubestehen, die Anpassungsfunktionen zu verwenden. Die Entscheidung, eine Änderungsanfrage einer betroffenen Person zu berücksichtigen und deren Umsetzung zu übernehmen, liegt in Ihrer Verantwortung.

Einschränken der Verarbeitung von Kundendaten

Wenn Sie eine Anforderung von einer betroffenen Person erhalten, die Verarbeitung von Kundendaten einzuschränken, können Sie die betroffenen Kundendaten ganz einfach aus dem Onlinedienst extrahieren und in einem separaten Container (d. h. lokalem Speicher oder separatem Webdienst mit Datenisolationsfunktionen) speichern, die von den Verarbeitungsfunktionen einer beliebigen Cloudanwendung isoliert sind.

Ein alternativer Mechanismus wie der Datenverarbeitungsblock wird von Dynamics 365 Business Central angeboten, bei dem Benutzern die Möglichkeit geboten wird, die Daten einer bestimmten betroffenen Person zu blockieren. Einzelheiten finden Sie unter Einschränken der Datenverarbeitung für eine betroffene Person. Wenn ein Datensatz als blockiert markiert wird, stellt Dynamics 365 Business Central die Verarbeitung der Kundendaten dieser betroffenen Person ein. Sie können keine neuen Transaktionen erstellen, die einen blockierten Datensatz verwenden. Beispielsweise können Sie keine neue Rechnung für einen Kunden erstellen, wenn entweder der Kunde oder der Verkäufer blockiert ist.

Löschen von Kundendaten

Wenn eine betroffene Person Sie auffordert, ihre Kundendaten zu löschen, gibt es mehrere Möglichkeiten, dies zu tun:

  • Für die Massenverarbeitung mehrerer Dynamics 365-Berichte können Sie das Microsoft Office-Add-In verwenden, um Daten nach Microsoft Excel zu exportieren, Ihre Änderungen vorzunehmen und die geänderten Daten aus Excel in den Onlinedienst zu importieren.
  • Sie können Kundendaten löschen, die in einem beliebigen Feld gespeichert sind, indem Sie die Daten suchen, die Sie löschen möchten, und dann das Datenelement, das die Zielkundendaten enthält, manuell löschen, z. B. durch die Verwendung einer endgültigen Löschung im Kontaktdatensatz, der die betroffene Person darstellt, und anderen Datensätzen, die personenbezogene Daten enthalten.

Darüber hinaus stellt die Löschung eines Kontakts für Dynamics 365 Customer Insights - Journeys sicher, dass auch daten für ausgehende Marketinginteraktionen mit persönlichen Informationen entfernt werden. Für alle benutzerdefinierten Felder oder Entitäten müssen Sie Ihr System so anpassen, dass es alle Kundendaten aus zugehörigen Datensätzen löscht und/oder deren Verknüpfung mit dem Kontaktdatensatz löscht, sodass alle personenbezogenen Daten entfernt werden. Kunden, die das Echtzeit-Marketingmodul verwenden, sollten einen zusätzlichen Schritt ausführen, um Marketinginteraktionsdaten zu löschen.

Alternativ können Sie in Dynamics 365 Commerce, Dynamics 365 Finance und Dynamics 365 Supply Chain ManagementAnpassungstools verwenden, um Kundendaten zu löschen/zu ändern.

Wenn sie in Dynamics 365 Business Central von einer betroffenen Person aufgefordert wird, ihre personenbezogenen Daten zu löschen, die in Ihren Kundendaten enthalten sind, gibt es mehrere Möglichkeiten, diese Anfrage zu behandeln:

  • Um mehrere Business Central-Datensätze schnell per Massenbearbeitung zu bearbeiten, können Sie Daten mithilfe des Business Central Excel-Add-Ins nach Excel exportieren, um mehrere Datensätze zu löschen, und diese Änderungen dann aus Excel wieder in Business Central veröffentlichen. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.
  • Sie können in jedem Feld gespeicherte Kundendaten löschen, indem Sie das Datenelement, das die Zielkundendaten enthält, manuell löschen. Für Details siehe Eingabe von Daten.
  • Sie können Kundendaten direkt löschen, indem Sie z. B. einen Kontakt löschen und anschließend den Batchauftrag „Protokolleinträge zu abgebrochenen Interaktionen löschen“ ausführen, um Interaktionen für diesen Kontakt zu löschen.
  • Sie können Dokumente löschen, die Kundendaten enthalten, z. B. Notizen und gebuchte Verkaufs- und Eingangsrechnungen.

Beachten Sie neben dem Massen- oder Einzellöschen diskreter Datensätze, dass nur gekündigte Mitarbeiter vollständig aus Dynamics 365 für Personalwesen gelöscht werden können. Führen Sie die folgenden Schritte aus, um gekündigte Worker zu löschen.

Exportieren von Kundendaten

Um auf eine Datenportabilitätsanforderung zu reagieren, können Kundendaten in Dynamics 365 Customer Engagement-Anwendungen mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Kundendaten können in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Mit Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern.

Darüber hinaus wird für Dynamics 365 für Customer Insights – Journeys eine dedizierte API bereitgestellt, mit der Kunden Erweiterungen erstellen können, die zusätzliche Datensätze erfasster Kundeninteraktionen abrufen, die möglicherweise personenbezogene Daten enthalten. Die API lädt alle relevanten Informationen aus dem Back-End-System und setzt sie in einem einzigen, portablen Dokument zusammen.

Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Human Resources und Dynamics 365 Supply Chain Management bietet Datenverwaltungs- und Integrationsentitäten die bereitgestellten Entitäten, neu erstellten Entitäten oder erweiterten Entitäten für einen wiederholbaren Export personenbezogener Daten nach Excel oder eine Reihe anderer gängiger Formate mithilfe von Datenimport- und -exportaufträgen ermöglicht. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Werden Kundendaten auf diese Weise nach Excel exportiert, können Sie die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und die Datei dann in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern.

Sowohl Dynamics 365 for Finance and Operations als auch Dynamics 365 Human Resources bieten einen Personensuchbericht an, um der betroffenen Person Daten zur Verfügung zu stellen, die Sie als personenbezogene Daten klassifiziert haben.

Dynamics 365 Business Central bietet die folgenden Features:

  • Sie können Kundendaten in eine Excel-Datei exportieren. In Excel können Sie dann die Kundendaten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.
  • Sie können Kundendaten in eine Excel-Datei exportieren. In Excel können Sie dann die Kundendaten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.

Anträge betroffener Personen für andere Dynamics 365 Anwendungen

DsR-Prozesse für Power Platform-Anwendungen

Teil 2: Reagieren auf Anträge betroffener Personen für vom System generierte Protokolle

Microsoft bietet Ihnen außerdem die Möglichkeit, auf vom System erzeugte Protokolle zuzugreifen, sie zu exportieren und zu löschen, die nach der weit gefassten Definition der DSGVO als "personenbezogene Daten" gelten können. Beispiele für vom System generierte Protokolle, die unter der DSGVO als personenbezogen angesehen werden können:

  • Daten zu Produkt- und Dienstnutzung, z. B. Aktivitätsprotokolle
  • Suchanfragen und Abfragedaten von Benutzern
  • Daten, die durch Produkte und Dienste als Produkt der Systemfunktionalität und Interaktion von Benutzern oder anderen Systemen erzeugt werden

Die Möglichkeit, Daten in vom System generierten Protokollen einzuschränken oder zu korrigieren, wird nicht unterstützt. Daten in vom System generierten Protokollen geben auf Fakten basierende Aktionen innerhalb der Microsoft-Cloud sowie Diagnosedaten wieder, und Änderungen an diesen Daten würden die historische Erfassung von Aktionen kompromittieren und das Betrugs- und Sicherheitsrisiko erhöhen.

Zugreifen auf und Exportieren von vom System generierte(n) Protokolle(n)

Mandantenadministratoren können auf vom System generierte Protokolle zugreifen, die der Verwendung von Dynamics 365 Diensten und Anwendungen durch einen bestimmten Benutzer zugeordnet sind. Vom System generierte Protokolle können von Mandantenadministratoren mithilfe des Microsoft-Datenprotokollexports exportiert werden. Details finden Sie auf der Seite DSGVO: Anträge betroffener Personen (DSRs) im Microsoft Trust Center, und wählen Sie unter DsR-Administratortoolsdie Option Weitere Informationen zum Datenprotokollexport aus.

Nachdem Sie eine neue Anforderung erstellt haben, wird sie auf der Seite Benutzeranforderungen verwalten im Azure-Portal aufgeführt, auf dem Sie die status nachverfolgen können. Nachdem eine Anforderung abgeschlossen ist, können Sie einen Link für den Zugriff auf die vom System generierten Protokolle auswählen, die innerhalb von 30 Tagen nach erstellung der Anforderung in den Azure Storage-Standort Ihres organization exportiert werden. Die Daten werden in gängigen, maschinenlesbaren Dateiformaten wie JSON oder XML gespeichert. Wenn Sie nicht über ein Azure-Konto und keinen Azure Storage-Standort verfügen, müssen Sie ein Azure-Konto und/oder einen Azure Storage-Standort für Ihre organization erstellen, damit das Datenprotokollexporttool die vom System generierten Protokolle exportieren kann.

Wichtig

Sie müssen ein Mandantenadministrator sein, um Benutzerdaten aus dem Mandanten exportieren können.

Die folgende Tabelle fasst den Zugriff auf und den Export von vom System generierten Protokollen zusammen:

Frage Answer
Wie lange benötigt das Tool für den Datenprotokollexport von Microsoft, um eine Anforderung abzuschließen? Dies kann von mehreren Faktoren abhängen. In den meisten Fällen sollte es in ein oder zwei Tagen abgeschlossen sein, aber es kann bis zu 30 Tage dauern.
Welches Format weist die Ausgabe auf? Bei der Ausgabe handelt es sich um strukturierte maschinenlesbare Dateien wie XML, CSV oder JSON.
Welche Daten werden durch das Tool für den Datenprotokollexport ausgegeben? Das Tool für den Datenprotokollexport gibt vom System generierte Protokolle aus, die Microsoft speichert. Die exportierten Daten umfassen mehrere Microsoft-Dienste, einschließlich Office 365, Azure und Dynamics.
* Wer hat Zugriff auf das Tool für den Datenprotokollexport und kann Zugriffsanforderungen für vom System generierte Protokolle senden? Dynamics 365 globalen Administratoren haben Zugriff auf das GDPR Log Manager-Hilfsprogramm.
Wie werden Daten an den Benutzer zurückgegeben? Die Daten werden an den Azure Storage-Speicherort Ihres organization exportiert. Es liegt an Administratoren in Ihrem organization, zu bestimmen, wie diese Daten benutzern angezeigt bzw. zurückgegeben werden.
Wie werden Daten in vom System generierten Protokollen dargestellt? Beispiel für ein vom System generiertes Protokoll im JSON-Format:

"DateTime": "2017-04-28T12:09:29-07:00",
"AppName": "SharePoint",
"Action": "OpenFile",
"IP": "154.192.13.131",
"DevicePlatform": "Windows 1.0.1607"

Löschen personenbezogener Daten in vom System generierten Protokollen

Um vom System generierte Protokolle zu löschen, die über eine DsR-Anforderung abgerufen wurden, müssen Sie den Benutzer aus dem Dienst entfernen und sein Microsoft Entra Konto endgültig löschen. Durch die dauerhafte Löschung eines Benutzerkontos werden die Daten des Benutzers – mit Ausnahme von Daten, die für die Sicherheit und die Stabilität des Dienstes wesentlich sind – innerhalb von 30 Tagen aus vom System generierten Protokollen für fast alle Dynamics 365-Dienste entfernt. Weitere Informationen zu den Verwaltungstools für anträge betroffene Personen im Microsoft Entra Admin Center finden Sie auf der Seite DSGVO: Anträge betroffener Personen (DSRs) im Microsoft Trust Center.

Weitere Informationen