DSGVO kennenlernen
Das Europäische Parlament veröffentlichte im April 2016 die Allgemeine Datenschutzverordnung der Europäischen Union (EU) (auch bekannt als DSGVO). Diese Verordnung dient der Harmonisierung des Datenschutzes in ganz Europa. Sie gilt sowohl für die Datenverantwortlichen (meist Verbraucherdienste) als auch für die Datenverarbeiter (Unternehmensdienste), die personenbezogene Daten einer Person mit Wohnsitz in der EU verarbeiten.
Für Microsoft-Onlinedienste sind wir der Datenverarbeiter:
- Microsoft legt den betroffenen Personen die Datenschutzerklärung des Datenverantwortlichen vor.
- Microsoft entwirft Änderungen an bestehenden Dienstfunktionen und neue Funktionen in Übereinstimmung mit den Rechten von betroffenen Personen.
- Microsoft informiert, wenn eine Datenverletzung vorliegt, wenn die Verletzung wahrscheinlich "zu einem Risiko für die Rechte oder die Freiheit einzelner Personen führt". Wir verpflichten uns, die entsprechenden Parteien innerhalb von 72 Stunden zu benachrichtigen, wenn eine Datenverletzung deklariert wurde.
In Übereinstimmung mit den DSGVO-Bestimmungen zur Umsetzung angemessener und wirksamer technischer und organisatorischer Maßnahmen richtet sich Microsoft an die Kontrollvorschriften von ISO 27001 und ISO 27018 aus und weitet die Angleichung an ISO 27701 auf alle unsere Dienste aus.
Anfragen von Datensubjekten (DSRs)
Die DSGVO gewährt Personen bestimmte Rechte in Verbindung mit der Verarbeitung ihrer personenbezogenen Daten, einschließlich des Rechts zur Korrektur falscher Daten, zum Löschen von Daten bzw. zur Einschränkung ihrer Verarbeitung, zum Empfangen von Daten und zum Erfüllen einer Anforderung zur Übertragung der Daten an einen anderen Controller. Der Verantwortliche ist für die Bereitstellung einer zeitgerechten, DSGVO-konsistenten Antwort verantwortlich. Microsoft (Datenverarbeiter) unterstützt seine Kunden (Datenverantwortlicher) durch Bereitstellung von Funktionen, welche die Compliance und Antwort auf DSRs erleichtern und ermöglichen.
Microsoft stellt seinen Kunden administrative Tools zur Verfügung, mit denen sie personenbezogenen Daten finden und auf DSRs antworten können:
- Erkennung: Sie können Kundendaten, die ggf. Gegenstand eines Antrags einer betroffenen Person sind, mithilfe von Such- und Ermittlungstools finden.
- Zugriff: Rufen Sie personenbezogene Daten ab, die sich im Microsoft-Dienst befinden, und erstellen Sie eine Kopie, die der betroffenen Person zur Verfügung gestellt werden kann, sofern dies beantragt wurde.
- Berichtigung: Nehmen Sie ggf. Änderungen an den personenbezogenen Daten vor oder führen Sie andere Aktionen aus, die für die Daten angefordert werden.
- Einschränkung: Schränken Sie die Verarbeitung von personenbezogenen Daten ein, indem Sie entweder die Lizenzen für verschiedene Microsoft-Dienste entfernen oder die gewünschten Dienste, wenn möglich, deaktivieren. Kunden können auch Daten aus der Microsoft-Cloud entfernen und lokal oder an einem anderen Speicherort speichern.
- Löschung: Entfernen Sie personenbezogene Daten, die sich im Microsoft-Dienst befinden, dauerhaft.
- Exportieren/Empfangen (Portierbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) von personenbezogenen Daten oder persönlichen Informationen zur Verfügung.
Bewertung der Auswirkungen auf den Datenschutz
Die DSGVO verlangt, dass die Verantwortlichen eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Vorgänge vorbereiten, die "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen". Microsoft-Produkte und -Dienste haben nichts inne, das die Erstellung einer DPIA erfordert. Da Microsoft-Produkte und -Dienste jedoch hochgradig anpassbar sind, kann je nach den Details der Situation eines Kunden eine Bewertung der Auswirkungen auf den Datenschutz (DPIA) erforderlich sein. Microsoft hat keine Kontrolle über und wenig oder gar keine Einsichten in solche Informationen. Die Datenverantwortliche müssen die geeignete Verwendung der Daten ermitteln. Microsoft ist sich jedoch des erheblichen Aufwands bewusst, der für die Durchführung einer Bewertung der Auswirkungen auf den Datenschutz (DPIA) erforderlich ist, und hat daher einige Ressourcen bereitgestellt, um Kunden bei der Erfüllung ihrer Verpflichtungen im Rahmen der Bewertung der Auswirkungen auf den Datenschutz (DPIA) für die DSGVO zu unterstützen, falls sie dies tun müssen.