Informationen zu den wichtigsten Datenschutzbestimmungen und-Kategorien

  • 8 Minuten

Beginnen wir mit der Überprüfung einiger wichtigen Begriffe aus dem Bereich des Datenschutzes.

Datenverantwortlicher: Eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Der Kunde ist der Datenverantwortliche im Hinblick auf die eigene Nutzung von Onlinediensten und professionellen Dienstleistungen von Microsoft. Microsoft ist der Datenverarbeiter (mit Ausnahme der Fälle, in denen der Kunde der Datenverarbeiter ist; in solchen Fällen ist Microsoft der Unterverarbeiter). Microsoft ist ein unabhängiger Datenverantwortlicher für Daten, die verwendet werden, um eine begrenzte Anzahl legitimer Geschäftsvorgänge bereitzustellen, die für die Nutzung von Onlinediensten und professionellen Dienstleistungen von Microsoft erforderlich sind.

Personenbezogene Daten und betroffene Person: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die "betroffene Person") beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann. Bei Unternehmensdiensten gibt es zwei Arten von betroffenen Personen: Endbenutzer in einem Mandanten und Benutzer außerhalb eines Mandanten.

Datenverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Rahmen von Unternehmensdiensten agiert Microsoft als Auftragsverarbeiter, der Daten gemäß den dokumentierten Anweisungen eines Kunden zur Bereitstellung der Onlinedienste oder professionellen Dienstleistungen verarbeitet. Microsoft verarbeitet Daten nur anhand Ihrer dokumentierten Anweisungen. Der Volumenlizenzierungsvertrag einschließlich der Datenschutzrichtlinien und die Art und Weise, wie ein Kunde den Dienst konfiguriert und nutzt, bilden die dokumentierten Anweisungen des Kunden.

Das nachstehende Schema veranschaulicht die Beziehung zwischen Datenverantwortlichen, Datenverarbeitern, betroffenen Personen und personenbezogenen Daten etwas genauer. In den folgenden Beispielen ist C1 ein direkter Kunde eines Unternehmensdienstes, und C2 ist ein Kunde von C1.

Der Datenverarbeiter ist Microsoft bei der Bereitstellung von Online- und professionellen Dienstleistungen. Der Datencontroller ist C1-Administrator (Lizenzinhaber). Ein Beispiel wäre der Contoso-Mandantenadministrator. Sowohl C1-Benutzer als auch C2-Benutzer können betroffene Person sein. Ein Beispiel für einen C1-Benutzer ist ein Contoso-Mitarbeiter, und ein Beispiel für einen C2-Benutzer sind externe Contoso-Benutzer.

Es gibt zwei Arten von C1-Rollen und eine Art von C2-Rolle:

  • Einen C1-Administrator, der Lizenzinhaber ist – in der Regel der Mandantenadministrator, der sich für ein Microsoft-Dienstabonnement registriert hat. C1-Administratoren werden als Datenverantwortliche betrachtet, weil sie sich im Namen ihrer Unternehmen für die Dienste anmelden. Sie konfigurieren die Einstellungen und Richtlinien des Mandanten in den Diensten, entscheiden, wer eine Lizenz im Microsoft-Dienst erhält, und weisen diesem Benutzer eine Lizenz zu.
  • Bei einem C1-Benutzer handelt es sich um einen lizenzierten Benutzer, dem der Mandantenadministrator eine Lizenz zugewiesen hat. In der Regel sind C1-Benutzer Mitarbeiter eines Unternehmens, die wir häufig als die Endbenutzer des Unternehmens bezeichnen. C1-Benutzer werden als betroffene Personen betrachtet.
  • C2-Benutzer sind die Kunden von C1. C2-Benutzer gehören nicht zum Unternehmen. Wenn beispielsweise ein C1-Benutzer einen externen Geschäftspartner zur SharePoint-Website von Contoso einlädt, ist dieser Geschäftspartner ein C2-Benutzer. C2-Benutzer werden ebenfalls als betroffene Personen betrachtet.

Von Microsoft verarbeitete Kategorien von Daten

Daten, die während des gesamten Lebenszyklus eines Kundenkontos zur Bereitstellung von Microsoft-Onlinediensten oder professionellen Microsoft-Dienstleistungen verwendet werden, fallen in eine von vier getrennten und unterschiedlichen Datenkategorien:

  • Kundendaten sind alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die der Kunde Microsoft zur Verfügung stellt oder die im Namen eines Kunden durch die Nutzung von Microsoft-Onlinediensten für Unternehmen bereitgestellt werden, ausgenommen professionelle Dienstleistungen von Microsoft. Dazu gehören Kundeninhalte, d.h. die Daten, die ein Kunde zur Speicherung oder Verarbeitung hochlädt, und Anwendungen, die ein Kunde zur Verteilung über einen Microsoft-Unternehmensdienst hochlädt.

    Zu den Kundeninhalten gehören beispielsweise Exchange Online-E-Mail und -Anhänge, Power BI-Berichte, SharePoint Online-Websiteinhalte oder Chat-Unterhaltungen.

  • Vom Dienst generierte Daten umfassen alle Daten, die von Microsoft über die Verwendung eines Onlinediensts „generiert“ oder „abgeleitet“ werden. Microsoft fasst diese Daten aus unseren Onlinediensten zusammen und verwendet sie, um sicherzustellen, dass Leistung, Sicherheit, Skalierung und andere Dienste, die sich auf die Kundenerfahrung auswirken, auf dem von unseren Kunden gewünschten Niveau betrieben werden.

    Um beispielsweise zu verstehen, wie die Kapazität des Rechenzentrums erhöht werden kann, wenn die Nutzung von Microsoft Teams durch den Kunden zunimmt, verarbeiten wir die Protokolldaten der Nutzung der Teams. Anschließend prüfen wir die Protokolle auf Spitzenzeiten und entscheiden, welche Rechenzentren hinzugefügt werden müssen, um dieser Kapazität gerecht zu werden.

  • Diagnosedaten umfassen alle Daten, die von Software „erfasst“ oder „erhalten“ werden, die lokal zur Verwendung in Verbindung mit dem Microsoft-Onlinedienst für Unternehmen installiert ist. Sie werden verwendet, um Microsoft dabei zu helfen, die Sicherheit und ordnungsgemäße Ausführung der Client-Software zu gewährleisten.

    Beispielsweise sammelt Microsoft Informationen darüber, wie lange es dauert, eine Anwendung zu starten, ob ein Add-In abgestürzt ist und wie oft eine Anmeldung versucht wurde. Diagnosedaten können auch als Telemetriedaten bezeichnet werden. Sie enthalten keine Namen, E-Mail-Adressen oder Dateiinhalte.

  • Daten zu professionellen Dienstleistungen umfassen alle Daten, die von Microsoft bereitgestellt oder nach Genehmigung und durch eine Vereinbarung mit Microsoft verarbeitet werden, um professionelle Dienstleistungen in Anspruch zu nehmen. Daten zu professionellen Dienstleistungen umfassen Supportdaten, die Microsoft während des technischen Supports für einen Onlinedienst bereitstellt.

    Zu diesen Daten gehören beispielsweise Text-, Ton-, Video- und Bilddateien oder Software, die Microsoft bei der Problembehandlung zur Verfügung gestellt werden.

Wenn ein Kunde Microsoft-Onlinedienste nutzt, werden drei der oben genannten vier Datenkategorien verarbeitet: Kundendaten, vom Dienst generierte Daten und Diagnosedaten. Wenn ein Kunde professionelle Dienstleistungen in Anspruch nimmt, werden nur Daten zu der professionellen Dienstleistung sowie alle anderen Daten, auf die wir auf Autorisierung des Kunden hin zugreifen dürfen, um die angeforderte Dienstleistung auszuführen. Daten aus allen vier Datenkategorien werden darüber hinaus verwendet, um eine begrenzte Anzahl legitimer Geschäftsvorgänge auszuführen, die uns bei der Bereitstellung von Microsoft-Onlinediensten und professionellen Microsoft-Dienstleistungen helfen. Wir begrenzen unsere Nutzung personenbezogener Daten für legitime Geschäftsvorgänge, indem wir nur anonymisierte Daten aus Diagnosedaten verwenden, und personenbezogene Daten zusammenfassen, bevor wir sie für legitime Geschäftsvorgänge verwenden, sodass sie nicht mehr zurückverfolgt und mit Benutzern verknüpft werden können.

Bei der Verwendung von Daten zur Durchführung legitimer Geschäftsvorgänge agiert Microsoft als unabhängiger Datenverantwortlicher. Die Verwendung ist auf die folgenden Aufgaben beschränkt:

  • Abrechnung und Kontoverwaltung
  • Vergütung (beispielsweise zum Berechnen von Mitarbeiterprovisionen)
  • internes Reporting und Modellerstellung (z. B. Prognosen, Umsatz, Kapazitätsplanung, Produktstrategie)
  • Bekämpfung von Betrug, Cyberkriminalität oder Cyber-Attacken, die sich auf Microsoft oder Microsoft-Produkte auswirken können
  • Verbesserung der Kernfunktionalität von Barrierefreiheit, Datenschutz oder Energieeffizienz
  • finanzielle Berichterstellung oder Einhaltung gesetzlicher Vorschriften

Weitere Informationen