Mehr zu Rollen und Zuständigkeiten
Microsoft-Onlinedienste basieren auf einem Modell mit geteilten Verantwortlichkeiten, in dem ein Teil der Verantwortung für Sicherheit und Datenschutz beim Anbieter für Clouddienste und ein Teil beim Kunden liegt. Die Verteilung der Verantwortlichkeiten zwischen Microsoft und dem Kunden hängt vom verwendeten Dienstmodell (Infrastruktur, Plattform oder Software-as-a-Service) ab, wie der Dienst vom jeweiligen Kunden konfiguriert und verwendet wird und von den geltenden Datenschutzgesetzen und -vorschriften.
So illustrieren beispielsweise die folgenden Rollen und Zuständigkeiten die DSGVO-Bestimmungen:
Data Controller – Der Controller kontrolliert persönliche Daten und bestimmt, wie diese verwendet werden. Die Zuständigkeiten des Controllers umfassen aber nicht nur das Erfassen, Verwalten, Anordnen von Aktionen, Schützen, Ändern und Löschen von persönlichen Daten. Der Controller fügt Benutzer zum System hinzu, gewährt Zugriff auf das System und sammelt Daten von betroffenen Personen oder hat Mitarbeiter, die diese Aufgaben im Namen des Unternehmens erledigen. Die Verantwortung für das Verstehen des Prozesses für DSGVO-Anforderungen und das Ausführen einer DSGVO-Anforderung liegt beim Controller.
Diese Rolle wird vom Microsoft-Kunden abgedeckt.
Data Processor – Der Data Processor stellt Dienste für den Data Controller bereit und verarbeitet Daten im Auftrag des Data Controllers. Der Data Processor führt Aktionen für den Controller aus. Der Data Processor ermöglicht es dem Controller, DSGVO-konform zu sein, hat aber keine Eigentumsrechte an den Daten, reagiert nicht direkt auf die Anträge betroffener Personen und führt keine Datenschutz-Verträglichkeitsprüfungen durch.
Diese Rolle wird von Microsoft abgedeckt. Als Data Processor implementiert Microsoft Sicherheits- und Datenschutzkontrollen zum Schutz unserer Dienste und hilft Data Controllern bei der Einhaltung Ihrer Compliance-Verpflichtungen. So bietet Microsoft beispielsweise die Möglichkeit zum Administratorenwechsel zum Steuern der Datenschutzfunktionen auf den jeweiligen Mandanten. Darüber hinaus arbeiten wir direkt mit den Mandantenadministratoren des Kunden zusammen und leiten die Endbenutzerfragen zum Dienst oder zu Anträgen betroffener Personen für personenbezogene Daten weiter.
Ein wichtiger zu überprüfender Aspekt ist, was wir genau meinen, wenn wir von der Einhaltung von Compliance-Vorschriften sprechen. Unsere Kunden fragen sich oft: "Was bedeutet das, halten Sie sich an diese Gesetze und Vorschriften oder nicht?" Für die meisten branchen- oder geografischen Vorschriften ist es möglich, Microsoft-Onlinedienste auf eine Weise zu verwenden, die einem Gesetz oder einer Verordnung entspricht. Es ist jedoch nicht möglich, dass Microsoft-Onlinedienste die End-to-End-Compliance gewährleisten, da Microsoft den Inhalt der personenbezogenen Daten des Kunden nicht analysiert.
So sollten etwa Organisationen, die HIPAA- oder sonstigen Bestimmungen einhalten müssen, über ein eigenes Schulungsprogramm verfügen, um sicherzustellen, dass die Mitarbeiter unsere Microsoft-Dienste nicht zum Verletzen dieser Bestimmungen einsetzen. Microsoft kann lediglich zusagen, dass wir unseren Teil dazu beitragen und damit einem Kunden ermöglichen, ein rechtskonformes Programm auszuführen.
Beispiel: Ein US-amerikanischer Arzt speichert die vom HIPAA regulierten geschützten Gesundheitsinformationen von Patienten in unserem Dienst. Microsoft bietet Sicherheit und Datenschutzkontrollen, um sicherzustellen, dass die Mitarbeiter nicht unangemessen auf diese Patienteninformationen zugreifen oder diese offenlegen können. Allerdings kann ein Arzt, der Benutzer der Dienste ist, die vertraulichen Informationen des Patienten an einen Vermarkter senden. Microsoft würde diese Nachricht unwissentlich senden, was dazu führt, dass der Kunde den HIPAA verletzt. Microsoft würde die Anweisungen eines Beauftragten des Kunden befolgen.
Microsoft steht hinter seinen Verpflichtung, alle Dienste mit neuesten Technologien, Sicherheits- und Datenschutzmethoden auszuführen und zu betreiben. Jeder Kunde und Benutzer unserer Dienste hat die Verantwortung, zu bestimmen, wie er die jeweiligen Anforderungen und Pflichten einhalten kann.