Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Datenverantwortliche eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für die Verarbeitung von Vorgängen vorbereiten, die „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehen“. Es gibt in Microsoft Office 365 keine inhärenten Merkmale, die die Erstellung einer Datenschutz-Folgenabschätzung durch einen Datenverantwortlichen, der diese Programme verwendet, erfordern würden. Ob eine Datenschutz-Folgenabschätzung erforderlich ist, hängt vielmehr von den jeweiligen Daten ab und davon, wie Sie als Datenverantwortliche Office 365 bereitstellen, konfigurieren und verwenden.

In Teil 1 dieses Dokuments finden Sie Informationen zu Office 365, die Ihnen helfen sollen, als Datenverantwortlicher zu ermitteln, ob eine DPIA erforderlich ist. Wenn die Antwort „Ja“ lautet, sind in den Teilen 2 und 3 dieses Dokuments wichtige Informationen von Microsoft bereitgestellt, die Ihnen beim Entwurf helfen können. Insbesondere Teil 2 enthält Antworten, die für alle Office 365-Dienste für jedes der erforderlichen Elemente einer DPIA gelten. Teil 3 enthält zusätzliche produktspezifische Informationen für eine Reihe der wichtigsten Informationsanforderungen unserer Kunden für die Erstellung ihrer eigenen DPIAs. Teil 3 enthält auch ein illustratives DPIA-Dokument, das Sie herunterladen und bearbeiten können, um Ihnen die Erstellung von DPIAs zu erleichtern.

Office 365-Anwendungen und -Dienste, einschließlich, aber nicht beschränkt auf, Exchange Online, SharePoint Online, OneDrive for Business, Yammer und Microsoft Teams. Eine vollständigere Liste der Dienste, die über Office 365 verfügbar sind, finden Sie in den Tabellen 1 und 2 des Office 365-Leitfadens – Antrag einer betroffenen Person.

Teil 1: Ermitteln, ob eine Bewertung der Auswirkungen auf den Datenschutz (DPIA) erforderlich ist

Nach Artikel 35 der DSGVO muss ein für die Verarbeitung Verantwortlicher eine Folgenabschätzung zum Datenschutz erstellen, bei der eine Art der Verarbeitung, insbesondere unter Verwendung neuer Technologien, unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung wahrscheinlich ist ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. “ Darüber hinaus werden bestimmte Faktoren aufgeführt, die auf ein derart hohes Risiko hinweisen würden, die in der folgenden Tabelle erörtert werden. Bei der Bestimmung, ob eine DPIA erforderlich ist, sollten Sie als Datencontroller diese Faktoren zusammen mit anderen relevanten Faktoren im Lichte der spezifischen Implementierung(en) und Verwendung(en) von Office 365 durch den Controller berücksichtigen.

Risikofaktor Wichtige Informationen zu Office 365
Eine systematische und umfassende Bewertung der persönlichen Aspekte im Zusammenhang mit natürlichen Personen basierend auf der automatisierten Datenverarbeitung, einschließlich Profiling, und auf der Entscheidungen basieren, die hinsichtlich der natürlichen Person rechtliche Wirkung erzeugen oder sie auf ähnliche Weise betreffen Je nach der Konfiguration des Datenverantwortlichen stellt Office 365 Funktionen bereit, um bestimmte Vorgänge der Datenverarbeitung automatisiert durchzuführen, z. B. die von Workplace Analytics durchgeführten Analysen, über die der Datenverantwortliche anhand von Kopfzeileninformationen von E-Mails und Kalendern aus den Postfächern von Benutzern Einblicke gewinnen kann, wie Personen innerhalb einer Organisation zusammenarbeiten.

Office 365 wurde nicht konzipiert mit dem Hintergedanken, die automatisierte Verarbeitung als Grundlage für Entscheidungen heranzuziehen, die rechtliche oder in ähnlicher Weise bedeutende Folgen für Personen haben. Da Office 365 aber ein in hohem Maße anpassbarer Dienst ist, kann es von einem Datenverarbeiter für eine derartige Verarbeitung verwendet werden.
Die umfassende Verarbeitung1 von Daten besonderer Kategorien (personenbezogene Daten, welche die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen Office 365 ist nicht dafür vorgesehen, besondere Kategorien personenbezogener Daten zu verarbeiten.

Ein Datenverantwortlicher könnte Office 365 jedoch zur Verarbeitung der aufgeführten besonderen Kategorien von Daten verwenden. Office 365 ist ein in hohem Maße anpassbarer Dienst, mit dem Kunden alle Arten von persönlichen Daten rückverfolgen oder verarbeiten können, darunter auch besondere Kategorien personenbezogener Daten. Eine derartige Verwendung ist relevant für die Entscheidung eines Datenverantwortlichen dahingehend, ob eine DPIA erforderlich ist. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Verwendung und hat kaum oder keine Einblicke in diese Verwendung.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang Office 365 wurde nicht konzipiert, um eine solche Überwachung durchzuführen oder zu ermöglichen.

Jedoch kann ein Datenverantwortlicher es verwenden, um die durch eine solche Überwachung gesammelten Daten zu verarbeiten.

Hinweis

1 Bezüglich der Kriterien der „umfassenden“ Verarbeitung von Daten wird im Erwägungsgrund 91 der DSGVO Folgendes klar gestellt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Teil 2: Inhalte einer Bewertung der Auswirkungen auf den Datenschutz (DPIA)

DSGVO Artikel 35(7) sieht vor, dass eine Datenschutz-Folgenabschätzung eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung angibt. In den Folgeabschätzungen von Microsoft enthält eine derartige systematische Beschreibung Faktoren wie z. B. die Typen verarbeiteter Daten, wie lange die Daten aufbewahrt werden, wo sich die Daten befinden und wohin sie übertragen werden, und welche dritten Parteien möglicherweise Zugriff auf die Daten haben. Außerdem muss die Folgenabschätzung folgendes umfassen:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;
  • eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen
  • die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der Datenschutz-Grundverordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.

Die folgende Tabelle enthält wichtige Informationen von Microsoft, die beim Entwurf Ihrer Datenschutz-Folgenabschätzung behilflich sein können. Sie enthält Informationen zu Office 365, die für die einzelnen erforderlichen Elemente einer DPIA relevant sind. Wie in Teil 1 müssen Datenverantwortliche die folgenden Details sowie die Einzelheiten ihrer eigenen spezifischen Implementierung(en) und Verwendung(en) von Office 365 berücksichtigen.

Risikofaktoren Relevante Informationen zu Office 365
Zweck(e) der Verarbeitung Die Zwecke der Verarbeitung von Daten mithilfe von Office 365 werden vom Datenverantwortlichen bestimmt, der die Anwendung implementiert, konfiguriert und verwendet.

Wie in den Microsoft Online Services-Nutzungsbedingungen und dem Nachtrag zum Datenschutz angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten, um Kunden die Onlinedienste entsprechend ihren dokumentierten Anweisungen bereitzustellen.

Wie in den standardmäßigen Microsoft Online Services-Nutzungsbedingungen und dem Nachtrag zum Datenschutz beschrieben, verwendet Microsoft personenbezogene Daten auch zur Unterstützung eines begrenzten Satzes von legitimen Geschäftsvorgängen, bestehend aus: (1) Rechnungsstellung und Kontoführung; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstellung und Modellierung (z. B. Prognosen, Einnahmen, Kapazitätsplanung, Produktstrategie); (4) Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen können; (5) Verbesserung der Kernfunktionalität der Barrierefreiheit, des Datenschutzes oder der Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der in den Onlinenutzungsbedingungen dargelegten Beschränkungen der Offenlegung von Kundendaten).

Microsoft ist für die Verarbeitung personenbezogener Daten verantwortlich, um diese spezifischen legitimen Geschäftsvorgänge zu unterstützen. Im allgemeinen aggregiert Microsoft personenbezogene Daten, bevor diese für unsere legitimen Geschäftsvorgänge verwendet werden, wobei die Möglichkeit zur Identifizierung bestimmter Personen durch Microsoft entfernt wird. Die personenbezogenen Daten werden in der am wenigsten identifizierbaren Form verwendet, die die für legitime Geschäftsvorgänge erforderliche Verarbeitung unterstützt.

Microsoft verwendet Kundendaten oder daraus abgeleitete Informationen nicht für Profilerstellungs- oder Werbezwecke oder ähnliche kommerzielle Zwecke.
Kategorien verarbeiteter personenbezogener Daten Kundendaten: dabei handelt es sich um alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft von Kunden bereitgestellt werden oder die im Auftrag von Kunden durch deren Verwendung der Microsoft-Onlinedienste bereitgestellt wird. Darunter fallen auch Daten, die Kunden zum Speichern oder zur Verarbeitung hochladen, sowie auch Anpassungen. Beispiele für in Office 365 verarbeitete Kundendaten umfassen E-Mail-Inhalte in Exchange Online sowie Dokumente oder Dateien, die in SharePoint Online oder OneDrive für Unternehmen gespeichert sind.

Vom Dienst generierte Daten: Dies sind Daten, die von Microsoft durch den Betrieb des Diensts generiert oder abgeleitet wurden, wie z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden.

Diagnosedaten: Diese Daten werden von Microsoft gesammelt oder aus einer Software abgerufen, die vom Kunden in Verbindung mit dem Onlinedienst lokal installiert wurde. Diese Daten werden auch als Telemetriedaten bezeichnet. Diese Daten werden häufig durch Attribute der lokal installierten Software oder des Computers, auf dem die Software ausgeführt wird, identifiziert.

Unterstützungsdaten: Diese Daten sind von oder im Namen der Kunden an Microsoft bereitgestellt (oder der Kunde autorisiert Microsoft, diese von einem Onlinedienst zu erhalten) durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten.

Kundendaten, vom System generierte Protokolldaten und Unterstützungsdaten umfassen keine Administrator- und Abrechnungsdaten, z. B. Kontaktinformationen für den Kundenadministrator, Abonnementinformationen und Zahlungsdaten, die Microsoft in seiner Rolle als Datenverantwortlicher erfasst und verarbeitet und die nicht im Umfang dieses Dokuments enthalten sind.
Datenaufbewahrung Kundendaten: Wie in den Datenschutzbedingungen der Online Services-Nutzungsbedingungen dargelegt, speichert Microsoft Kundendaten für die Dauer der Nutzung des Diensts durch den Kunden und bis zu dem Zeitpunkt, an dem alle Kundendaten gelöscht oder gemäß den Kundenanweisungen oder den Online Services-Nutzungsbedingungen zurückgegeben wurden.

Während der Laufzeit des Abonnements hat der Kunde zu jedem Zeitpunkt Zugriff auf die Kundendaten, die in dem Dienst gespeichert sind, und kann diese extrahieren und löschen, wobei in manchen Fällen eine bestimmte Produktfunktionalität zum Tragen kommt, die das Risiko eines versehentlichen Löschens minimieren soll (z. B. den Exchange-Ordner für wiederhergestellte Elemente). Dies ist in der Produktdokumentation im Detail beschrieben.

Mit Ausnahme von kostenlosen Testversionen und LinkedIn-Diensten speichert Microsoft Kundendaten, die in den Onlinediensten gespeichert sind, 90 Tage nach Ablauf oder Kündigung des Abonnements des Kunden auf einem eingeschränkten Konto, sodass der Kunde die Daten extrahieren kann. Nach der 90-tägigen Speicherfrist deaktiviert Microsoft das Kundenkonto und löscht die Kundendaten.

Vom System generierte Daten: Diese Daten werden standardmäßig bis zu 180 Tage nach Erfassung gespeichert; längere Aufbewahrungszeiträume sind möglich, wenn dies zur Sicherheit der Dienste oder zur Erfüllung rechtlicher oder behördlicher Vorschriften erforderlich ist.

Weitere Informationen zu Dienstfunktionen, mit denen der Kunde personenbezogene Daten, die in dem Dienst gespeichert sind, jederzeit löschen kann, finden Sie im Leitfaden zu den Office 365-Anforderungen betroffener Personen.
Speicherort und Übermittlung personenbezogener Daten Wie in Anhang 1 der Online Services-Nutzungsbedingungen dargelegt, speichert Microsoft die folgenden ruhenden Kundendaten nur an dem jeweiligen Ort, wenn der Kunde seine Instanz von Office 365 in Australien, Kanada, in der Europäischen Union, in Frankreich, in Indien, in Japan, in Südkorea, in Großbritannien oder in den USA bereitstellt: (1) Exchange Online-Postfachinhalte (E-Mail-Text, Kalendereinträge und die Inhalte von E-Mail-Anlagen), (2) SharePoint Online-Websiteinhalte und die in dieser Website gespeicherten Dateien, (3) Dateien, die in OneDrive for Business hochgeladen wurden, und (4) Projektinhalte, die in Project Online hochgeladen wurden.

Für personenbezogene Daten aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation den entsprechenden Bestimmungen gemäß Artikel 46 der DSGVO unterliegt. Zusätzlich zu Microsofts Verpflichtungen unter den Standardvertragsklauseln für Auftragsverarbeiter und anderen Musterverträgen hält sich Microsoft weiterhin an die Bedingungen des EU-US-Datenschutzschild-Frameworks, wird sich aber nicht mehr darauf als Grundlage für die Übermittlung personenbezogener Daten aus der EU/dem EWR in die Vereinigten Staaten stützen.
Teilen von Daten mit Dritten Microsoft teilt die Daten mit Dritten, die als unsere Unterauftragsverarbeiter tätig sind, um Funktionen wie den Kunden- und den technischen Support, Dienstwartung und sonstige Abläufe zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Kundendaten, Unterstützungsdaten oder persönliche Daten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die das gleiche Schutzniveau bieten wie die Datenschutzbedingungen der Onlinedienstbedingungen. Alle dritten Unterauftragsverarbeiter, mit denen Kundendaten oder Unterstützungsdaten geteilt werden, sind in der Liste der Unterauftragnehmer für Onlinedienste zu finden. Alle dritten Unterauftragsverarbeiter, die auf Unterstützungsdaten zugreifen können (einschließlich Kundendaten, die Kunden während der Interaktionen mit dem Support freigeben), sind in der Liste der kommerziellen Supportanbieter von Microsoft enthalten.
Teilen von Daten mit unabhängigen Dritten Einige Office 365-Produkte enthalten Erweiterbarkeitsoptionen, die, nach Ermessen des Datenverantwortlichen, das Teilen von Daten mit unabhängigen Dritten ermöglichen. Exchange Online ist beispielsweise eine erweiterbare Plattform, über die Add-Ins oder Connectors von Drittanbietern in Outlook integriert werden können und so die Featuregruppen von Outlook erweitern. Diese Drittanbieter von Add-Ins oder Connectors agieren unabhängig von Microsoft. Ihre Add-Ins oder Connectors müssen von den Benutzern oder Unternehmensadministratoren aktiviert werden, die sich mit ihrem Add-In- oder Connector-Konto authentifizieren.

Microsoft legt keine Kundendaten oder Unterstützungsdaten gegenüber Strafvollzugsbehörden offen, es sei denn, wir sind rechtlich dazu verpflichtet. Wenn eine Strafvollzugsbehörde Microsoft mit einer Anfrage nach Kundendaten oder Unterstützungsdaten kontaktiert, wird Microsoft versuchen, die Strafvollzugsbehörde direkt an den Kunden weiterzuleiten. Wenn Microsoft verpflichtet ist, Kundendaten oder Unterstützungsdaten an die Strafvollzugsbehörde zu übergeben, wird Microsoft den Kunden umgehend benachrichtigen und eine Kopie der Anfrage bereitstellen, es sie denn, dies wird uns rechtlich untersagt.

Wenn wir von anderen Dritten aufgefordert werden, Kundendaten oder Unterstützungsdaten auszuhändigen, benachrichtig Microsoft umgehend den Kunden, es sei denn, dies wird uns rechtlich untersagt. Microsoft kommt dem Antrag nicht nach, es sie denn, wir sind rechtlich dazu verpflichtet. Wenn der Antrag rechtsgültig ist, versucht Microsoft, den Dritten an den Kunden zu verweisen, um die Daten direkt bei ihm anzufragen.
Rechte betroffener Personen In unserer Rolle als Datenverarbeiter stellt Microsoft dem Kunden (dem Datenverantwortlichen) die personenbezogenen Daten der betroffenen Personen zur Verfügung und bietet die Möglichkeit, Anträgen betroffener Personen nachzukommen, wenn diese von ihren Rechten im Rahmen der DSGVO Gebrauch machen. Wir tun dies in Übereinstimmung mit der Funktionalität des Produkts und unserer Rolle als Datenverarbeiter. Wenn wir einen Antrag einer betroffenen Person des Kunden erhalten, die von einem oder mehreren ihrer Rechte Gebrauch machen möchte, bitten wir die betroffene Person, ihren Antrag direkt an den Datenverantwortlichen zu stellen. Das Office 365-Antragshandbuch für betroffene Personen enthält eine Beschreibung für den Datencontroller zur Unterstützung der Rechte betroffener Personen mithilfe der Funktionen in Office 365.

Anfragen einer betroffenen Person auf Ausübung der Rechte nach der DSGVO für personenbezogene Daten, die zur Unterstützung legitimer Geschäftsvorgänge verarbeitet werden, sollten an Microsoft gerichtet werden, wie in den Microsoft-Datenschutzbestimmungen erläutert.

Microsoft fasst personenbezogene Daten in der Regel zusammen, bevor sie für die legitimen Geschäftsvorgänge verwendet werden, und ist nicht in der Lage, in dem Aggregat personenbezogene Daten für eine bestimmte Person zu identifizieren. Dies reduziert das Datenschutzrisiko für den Einzelnen erheblich. Wenn Microsoft nicht in der Lage ist, die Person zu identifizieren, kann es die Rechte der betroffenen Person auf Zugriff, Löschung, Übertragbarkeit oder die Einschränkung oder Ablehnung der Verarbeitung nicht unterstützen.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck Eine solche Bewertung hängt davon ab, ob und wozu der Datenverantwortliche die Datenverarbeitung einsetzen möchte.

Die seitens Microsoft ausgeführte Datenverarbeitung dient dem Zweck, unsere Dienste dem Datenverantwortlichen des Kunden bereitzustellen. In diesem Zusammenhang ist sie notwendig und verhältnismäßig.
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen Die wichtigsten Risiken für die Rechte und Freiheiten der betroffenen Personen durch die Nutzung von Office 365 hängen davon ab, wie und in welchem Kontext der Datenverantwortliche es einsetzt, konfiguriert und verwendet.

Microsoft trifft Maßnahmen, beispielsweise die Anonymisierung oder Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung von legitimen Geschäftsvorgängen zur Unterstützung der Bereitstellung der Dienste verwendet werden, wodurch das Risiko einer solchen Verarbeitung für betroffene Personen, die diesen Dienst nutzen, minimiert wird.

Wie bei jedem Dienst können jedoch personenbezogene Daten, die im Dienst gespeichert sind, einem unbefugten Zugriff oder einer versehentlichen Offenlegung ausgesetzt sein. Maßnahmen, die Microsoft zur Bewältigung solcher Risiken ergreift, werden in den folgenden Abschnitten erläutert.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden Microsoft hat eine Verpflichtung zum Schutz von Kundendaten. Gemäß Artikel 32 der DSGVO hat Microsoft technische und organisatorische Maßnahmen eingeführt und erhält und befolgt diese zum Schutz der Kundendaten und Unterstützungsdaten gegen unbeabsichtigte/n, nicht autorisierte/n oder rechtswidrige/n Zugriff, Offenlegung, Abänderung, Verlust oder Zerstörung.

Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung.

Wenn Microsoft personenbezogene Daten für seine legitimen Geschäftsvorgänge verarbeitet, erfüllt es die Verpflichtungen unter der DSGVO, die für Datenverantwortliche gelten.

Teil 3: DPIAs sind schwer, aber das kann helfen

Wenn Sie festgestellt haben, dass Ihre Organisation eine DPIA erstellen muss, sollen die Informationen in diesem Abschnitt dazu beitragen, Ihnen diesen Prozess zu vereinfachen.

Dieser Abschnitt:

  • bietet Office 365 und produktspezifische Informationen relevante Dienstelemente und
  • bietet Ihnen eine Vorlage für ein leeres Modell, das Sie herunterladen, DPIA und verwenden können, um Ihre eigenen DPIAs zu entwerfen.

Matrix für DPIA-Dienstelemente

Die Matrix DPIA-Dienstelemente ist eine Organisation von Inhalten, die beim Starten der Dokumenterstellung in DPIA hilfreich sein können. Sie ist nach Dienststellen geordnet und bietet produktspezifische Informationen und Links zu Dokumentationen, die Ihnen helfen können, leichter Antworten auf die erforderlichen Elemente der DPIA zu entwerfen.

Anpassbares DPIA-Dokument

Wir sind uns bewusst, dass das Entwerfen von DPIAs sehr zeitaufwändig sein kann. Obwohl sich die DPIA jedes Kunden je nach Konfiguration und Nutzung von Office 365 durch die einzelnen Organisationen unterscheidet, kann Ihnen das folgende Dokument Zeit sparen. Sie können das Anpassbare DPIA-Dokument als modifizierbare illustrative Vorlage herunterladen, um schnell loslegen zu können. Die Nutzung und Anpassung an Ihre spezifische Implementierung des Dienstes ist für Sie kostenlos. Dieses Dokument ist nicht als Rechtsberatung durch Microsoft oder eines seiner verbundenen Unternehmen zu verstehen. Wenn Sie Fragen zum DPIA-Entwurf haben, bitten wir Sie, sich an Ihren Rechtsanwalt zu wenden.

Mehr erfahren