Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Professional Services verwenden

Einführung in Microsoft Professional Services

Microsoft Professional Services umfasst eine Vielzahl von technischen Architekten, Technikern, Beratern und Supportmitarbeitern, die sich dafür engagieren, die Mission von Microsoft zu erfüllen, Kunden zu befähigen, mehr zu tun und mehr zu erreichen. Weitere Informationen zu Microsoft Professional Services finden Sie auf der Microsoft Professional Services Trust-Seite.

Microsoft Professional Services nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst. Die Informationen in diesem Dokument sollen erläutern, welche Support- und Beratungsangebote von Microsoft Kunden bei der Vorbereitung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) gemäß der DSGVO nutzen können.

Einführung in DPIAs

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Datenverantwortliche eine DPIA für die Verarbeitung von Vorgängen vorbereiten, die „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehen“. Es gibt in Microsoft Professional Services keine inhärenten Merkmale, die die Erstellung einer Datenschutz-Folgenabschätzung durch einen Datenverantwortlichen, der diese Programme verwendet, erfordern würden. Ob eine Datenschutz-Folgenabschätzung erforderlich ist, hängt vielmehr von den Details und dem Kontext der Dienstleistungen ab und davon, wie der Datenverantwortliche die Dienstleistungen nutzt.

Dieses Dokument soll den Datenverantwortlichen Informationen über Professional Services bereitstellen, die ihnen helfen, zu bestimmen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und wenn ja, welche Informationen sie enthalten soll.

Teil 1: Bestimmen, ob eine DPIA erforderlich ist

Artikel 35 der DSGVO legt fest, dass ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen muss, „wenn die Verarbeitung insbesondere bei Einsatz neuer Technologien und unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt“. Außerdem beschreibt er bestimmte Faktoren, die auf ein solches hohes Risiko hindeuten würden. Dies wird in der folgenden Tabelle untersucht: Beim Ermitteln, ob eine DPIA notwendig ist, sollte ein Datenverantwortlicher diese Faktoren zusammen mit allen anderen relevanten Faktoren angesichts seiner spezifischen Implementierung(en) und der Verwendung(en) von Professional Services berücksichtigen.

Risikofaktor Relevante Informationen zu Professional Services
Eine systematische und umfassende Bewertung von personenbezogenen Aspekten in Bezug auf natürliche Personen, die auf der automatisierten Datenverarbeitung, z. B. Profiling, basiert und die selbst als Grundlage von Entscheidungen dient, die rechtliche Folgen für die natürliche Person haben oder sie auf ähnliche bedeutende Weise betreffen; Von Professional Services wird eine bestimmte routinemäßige oder automatische Verarbeitung von Daten ausgeführt, z. B. Support bei Unterbrechung/Problembehandlung (z. B. Unterstützung von Kunden bei Computerabstürzen), Kontomigration und Analyse von Sicherheitsrisiken. Professional Services-Lösungen, mit Ausnahme von Kundenentwicklung entsprechend dem unten stehenden Hinweis, sind nicht dafür vorgesehen, eine Verarbeitung vorzunehmen, auf der Entscheidungen basieren, die rechtliche oder ähnlich erhebliche Auswirkungen auf Einzelpersonen haben.
Die umfassende Verarbeitung1 von Daten besonderer Kategorien (personenbezogene Daten, welche die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen; Professional Services sind nicht für Arbeiten gedacht, welche die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern, mit Ausnahme von Kundenentwicklung entsprechend dem später in dieser Tabelle folgenden Hinweis.

Jedoch kann ein Datenverantwortlicher Professional Services-Beratungslösungen verwenden, um die aufgelisteten besonderen Datenkategorien zu verarbeiten. Beispielsweise bietet Professional Services die Entwicklung von Datenbanken für das Gesundheitswesen, die von einem Datenverantwortlichen genutzt werden können, um personenbezogene Daten im Zusammenhang mit einer Erkrankung zu verarbeiten. Es liegt in der Verantwortung des Datenverantwortlichen, diese Verwendung zu bewerten und entweder einzuschränken oder zu dokumentieren.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang Professional Services sind nicht für Arbeiten gedacht, die eine solche Überwachung erfordern oder vereinfachen, mit Ausnahme von Kundenentwicklung entsprechend dem später in dieser Tabelle folgenden Hinweis.

Wenn ein Datenverantwortlicher Professional Services zur Entwicklung eines solchen Systems verwenden oder IT-Systeme zur Verarbeitung von durch eine solche Überwachung gesammelten Daten verwenden würde, läge dies in der Verantwortung des Datenverantwortlichen, wie später in dieser Tabelle beschrieben.

Hinweis

1 Bezüglich der Kriterien zu einer „umfangreichen“ Verarbeitung von Daten wird im Erwägungsgrund 91 der DSGVO Folgendes klar gestellt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

[Hinweis zur benutzerdefinierten Entwicklung] Professional Services bietet eine Vielzahl von Beratungslösungen. Ein Datenverantwortlicher könnte möglicherweise eine Lösung anfordern, die entsprechend den obigen Kriterien eine Lösung mit hohem Risiko wäre. Z. B. könnte ein Datenverantwortlicher von Professional Services eine Lösung zur Entwicklung eines Business Intelligence-Moduls für Personalentscheidungen oder Kreditanträge oder eine Lösung anfordern, die Benutzerüberwachung, eine spezielle Verwendung von künstlicher Intelligenz (KI)/Analytics oder die Verarbeitung besonderer Kategorien personenbezogener Daten umfasst.

Zu Beginn eines Auftrags verfügt Professional Services über Prozesse zur Bewertung und Behandlung von Lösungen mit hohem Risiko, mit denen es möglicherweise beauftragt wird. Im Rahmen dieser Prozesse kann Professional Services von dem für die Datenverarbeitung Verantwortlichen Zusicherungen zur Einhaltung der DSGVO (z. B. Vertragsbedingungen), einen Plan für die Entwicklung eines DPIA oder andere Kriterien (z. B. vereinbarte Betriebsrichtlinien) verlangen, wie sie von einem Datenverarbeiter gemäß der DSGVO verlangt werden. Unabhängig von Microsofts Maßnahmen liegt es jedoch in der Verantwortung des für die Datenverarbeitung Verantwortlichen, die Datenschutzfolgenabschätzung zu entwickeln, ggf. mit Beiträgen des Verarbeiters der Kundendaten.

Teil 2: Inhalte einer DPIA

Artikel 35(7) legt fest, dass eine Datenschutz-Folgenabschätzung die Zwecke der Verarbeitung und eine systematische Beschreibung der angestrebten Verarbeitung enthalten muss. Eine systematische Beschreibung einer vollständigen DPIA könnte Faktoren wie die Art der verarbeiteten Daten, die Speicherdauer der Daten, den Ort und das Übermittlungsziels der Daten und Informationen darüber, welche Dritten Zugriff auf die Daten haben könnten, enthalten. Außerdem muss die DPIA folgendes beinhalten:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;
  • eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen
  • die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.

Die folgende Tabelle enthält Informationen zu Microsoft Professional Services, die für jedes dieser Elemente relevant sind. Wie in Teil 1 müssen die Datenverantwortlichen die in der Tabelle dargelegten Angaben berücksichtigen sowie andere wichtige Faktoren im Zusammenhang mit der/den spezifischen Implementierung/en und Verwendung/en von Microsoft Professional Services.

Elemente einer DPIA Relevante Informationen zu Professional Services
Zweck(e) der Verarbeitung Der/die Zweck/e der Verarbeitung von Daten mithilfe von Microsoft Professional Services wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet.

Wie im Microsoft Professional Services – Nachtrag zum Datenschutz (Microsoft Professional Services Data Protection Addendum, MPSDPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Support- und Beratungsdaten ausschließlich, um für unsere Kunden, die Datenverantwortlichen, die gewünschten Dienste bereitzustellen. Microsoft verwendet Support- und Beratungsdaten oder daraus abgeleitete Informationen nicht für Werbe- oder ähnliche kommerzielle Zwecke.
Der/die Zweck/e der Verarbeitung von Daten mithilfe von Microsoft Professional Services wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet. Wie im Microsoft Professional Services – Nachtrag zum Datenschutz (Microsoft Professional Services Data Protection Addendum, MPSDPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Support- und Beratungsdaten ausschließlich, um für unsere Kunden, die Datenverantwortlichen, die gewünschten Dienste bereitzustellen. Microsoft verwendet Support- und Beratungsdaten oder daraus abgeleitete Informationen nicht für Werbe- oder ähnliche kommerzielle Zwecke.
Kategorien verarbeiteter personenbezogener Daten Support- und Beratungsdaten sind alle Daten, einschließlich Text, Ton, Video, Bilddateien und Software, die Microsoft durch den Kunden oder in dessen Namen durch ein Engagement mit Microsoft übermittelt werden (oder deren Abruf über einen Onlinedienst Microsoft vom Kunden genehmigt wird), um Professional Services oder Support zu erhalten. Dies kann über Telefon, Chat, E-Mail oder Webformulare gesammelte Informationen umfassen. Darin können eine Beschreibung der Probleme, an Microsoft zur Lösung von Supportproblemen übermittelte Dateien, automatisierte Problembehandlungen oder durch Remotezugriff auf Kundensysteme mit der Genehmigung des Kunden erhaltene Daten enthalten sein.

Kundendaten und Supportdaten enthalten keine Kundenkontakt- oder Abrechnungsdaten, z. B. Abonnementinformationen und Zahlungsdaten, die Microsoft in seiner Funktion als Datenverantwortlicher erfasst und verarbeitet. Diese werden in diesem Dokument nicht behandelt.
Datenaufbewahrung Microsoft speichert Support- und Beratungsdaten für die Dauer des Kundenengagements sowie ggf. einen Aufbewahrungszeitraum nach dem Engagement, um die Qualität und Kontinuität des Diensts sicherzustellen. Beispielsweise werden nach Abschluss einer Supportanfrage Daten normalerweise für einen bestimmten Zeitraum aufbewahrt, um darauf zurückgreifen zu können, wenn das Problem erneut entsteht und der Fall erneut geöffnet wird.

Wenn Professional Services Support leistet, wird die Dauer des Engagements definiert, wenn die Supportanfrage geschlossen wird. Wenn Professional Services Beratungsdienste bereitstellt, wird die Dauer des Engagements häufig durch den Arbeitsauftrag definiert. In anderen Fällen wird die Dauer des Engagements durch die Aufrechterhaltung der Geschäftsbeziehung definiert. In allen Fällen werden Support- und Beratungsdaten auf Anfrage oder gemäß den Anweisungen des Kunden unverzüglich mithilfe der im Leitfaden zu Rechten betroffener Personen für Professional Services beschriebenen Funktionen gelöscht oder zurückgegeben.
Speicherort und Übermittlung personenbezogener Daten Aufgrund der Art der Professional Services, einschließlich der Anforderung von Support rund um die Uhr, werden Daten möglicherweise weltweit übertragen. Eine Liste der Standorte, in denen Microsoft tätig ist, ist auf Anforderung erhältlich. Für Beratungsdienste werden Daten möglicherweise innerhalb des Lands gespeichert, wenn dies in der Bestellung vereinbart wird.

Für personenbezogene Daten aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation den entsprechenden Bestimmungen gemäß Artikel 46 der DSGVO unterliegt. Zusätzlich zu Microsofts Verpflichtungen unter den Standardvertragsklauseln für Auftragsverarbeiter und anderen Musterverträgen hält sich Microsoft weiterhin an die Bedingungen des EU-US-Datenschutzschild-Frameworks, wird sich aber nicht mehr darauf als Grundlage für die Übermittlung personenbezogener Daten aus der EU/dem EWR in die Vereinigten Staaten stützen.
Teilen von Daten mit Dritten Microsoft teil die Daten mit Dritten, die als unsere Unterauftragsverarbeiter tätig sind, um Funktionen wie den Kunden- und den technischen Support, Dienstwartung und sonstige Abläufe zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Support- und Beratungsdaten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die das gleiche Schutzniveau bieten wie die Datenschutzbedingungen des MPSDPA. Alle dritten Unterauftragsverarbeiter, mit denen Support- und Beratungsdaten entsprechend dem MPSDPA geteilt werden, sind in der Liste der kommerziellen Support-Auftragnehmer von Microsoft zu finden.

Microsoft legt keine Support- oder Beratungsdaten gegenüber Strafvollzugsbehörden offen, es sei denn, dies ist gesetzlich erforderlich. Wenn eine Strafvollzugsbehörde Microsoft mit einer Anfrage nach Support- oder Beratungsdaten kontaktiert, wird Microsoft versuchen, die Strafvollzugsbehörde direkt an den Kunden weiterzuleiten. Wenn Microsoft verpflichtet ist, Support- oder Beratungsdaten an die Strafvollzugsbehörde zu übergeben, wird Microsoft den Kunden umgehend benachrichtigen und eine Kopie der Anfrage bereitstellen, es sie denn, dies ist gesetzlich untersagt.

Nach dem Erhalt weiterer Anfragen von Dritten nach Support- oder Beratungsdaten wird Microsoft den Kunden umgehend benachrichtigen, es sei denn, dies ist gesetzlich untersagt. Microsoft lehnt die Abfrage ab, es sie denn, sie muss gesetzlich erfüllt werden. Wen die Anfrage berechtigt ist, wird Microsoft den Dritten an den Kunden verweisen, um die Kunden direkt anzufragen.
Rechte betroffener Personen Wenn Microsoft als Datenverarbeiter aktiv wird, stellt Microsoft dem Kunden (Datenverantwortliche) die personenbezogenen Daten seiner betroffenen Personen und die Fähigkeit bereit, die Anforderungen der betroffenen Personen zu erfüllen, wenn diese Gebrauch von ihren Rechten gemäß der DSGVO machen. Wir tun dies in Übereinstimmung mit der Funktionalität des Produkts und seiner Rolle als Datenverarbeiter. Wenn wir eine Anforderung von den betroffenen Personen des Kunden erhalten, die von einem oder mehreren ihrer Rechte gemäß der DSGVO Gebrauch machen möchten, wird die Anfrage an den Datenverantwortlichen weitergeleitet.

Die DSGVO-Dokumentation zu Anfragen von Datensubjekten bei Professional Services enthält eine Beschreibung, wie Kunden ihre Verpflichtungen bezüglich der Rechte betroffener Personen in Professional Services erfüllen können.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck Eine solche Bewertung hängt davon ab, ob und wozu der Datenverantwortliche die Datenverarbeitung einsetzen möchte.

Im Hinblick auf die von Microsoft durchgeführte Verarbeitung ist diese notwendig und dem Zweck angemessen, um die Dienste dem Datenverantwortlichen bereitzustellen. Microsoft verpflichtet sich im MPSDPA hierzu.
Eine Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen Die wichtigsten Risiken für die Rechte und Freiheiten der betroffenen Personen durch die Nutzung von Professional Services hängen davon ab, wie und in welchem Kontext der Datenverantwortliche die Dienstleistungen und von Professional Services bereitgestellte Lösungen implementiert, konfiguriert und verwendet.

Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft ergreift, um solche Risiken zu steuern, werden später in diesem Artikel genauer erläutert.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden. Microsoft verpflichtet sich, die Sicherheit der Kundendaten zu schützen. Gemäß Artikel 32 der DSGVO hat Microsoft technische und organisatorische Maßnahmen eingeführt und erhält und befolgt diese zum Schutz der Support- und Beratungsdaten gegen unbeabsichtigte/n, nicht autorisierte/n oder rechtswidrige/n Zugriff, Offenlegung, Abänderung, Verlust oder Zerstörung.

Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung.

Weitere Informationen