Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Professional Services verwenden
Einführung in Microsoft Professional Services
Microsoft Professional Services umfasst eine heterogene Gruppe aus technischen Architekten, Technikern, Beratern und Supportmitarbeitern, die die Mission von Microsoft unterstützen, Kunden zu befähigen, mehr zu tun und mehr zu erreichen. Weitere Informationen zu Microsoft Professional Services finden Sie auf der Seite Microsoft Professional Services Trust.
Microsoft Professional Services nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst. Die Informationen in diesem Dokument sollen Informationen darüber bereitstellen, wie die Support- und Beratungsangebote von Microsoft verwendet werden können, die Kunden bei der Vorbereitung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) unter der DSGVO verwenden können.
Einführung in DPIAs
Gemäß der Datenschutz-Grundverordnung (DSGVO) sind datenverantwortliche Personen verpflichtet, eine DPIA für Verarbeitungsvorgänge vorzubereiten, die "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen". Microsoft Professional Services enthält nichts, was notwendigerweise die Erstellung einer DPIA durch einen Datenverantwortlichen erfordern würde, der sie verwendet. Ob eine DPIA erforderlich ist, hängt vielmehr von den Details und dem Kontext der Art der Dienste und davon ab, wie der Datenverantwortliche die professionellen Dienstleistungen nutzt.
Dieses Dokument soll den Datenverantwortlichen Informationen über Professional Services bereitstellen, die ihnen helfen, zu bestimmen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und wenn ja, welche Informationen sie enthalten soll.
Teil 1: Bestimmen, ob eine DPIA erforderlich ist
Gemäß Artikel 35 der DSGVO muss ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen. "Hier ist eine Art der Verarbeitung, insbesondere unter Verwendung neuer Technologien, und unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen." Außerdem werden bestimmte Faktoren aufgeführt, die auf ein derart hohes Risiko hindeuten, was in der folgenden Tabelle erläutert wird: Bei der Bestimmung, ob eine DPIA erforderlich ist, sollte ein Datenverantwortlicher diese Faktoren zusammen mit allen anderen relevanten Faktoren im Hinblick auf die spezifische Implementierung(en) und die Verwendung(en) von Professional Services durch den Datenverantwortlichen berücksichtigen.
| Risikofaktor | Relevante Informationen zu Professional Services |
|---|---|
| Eine systematische und umfassende Bewertung von personenbezogenen Aspekten in Bezug auf natürliche Personen, die auf der automatisierten Datenverarbeitung, z. B. Profiling, basiert und die selbst als Grundlage von Entscheidungen dient, die rechtliche Folgen für die natürliche Person haben oder sie auf ähnliche bedeutende Weise betreffen; | Professional Services führt eine bestimmte routinemäßige oder automatisierte Verarbeitung von Daten aus, z. b. die Unterstützung für Defekt/Repariert-Support (z. b. die Unterstützung von Kunden, wenn deren Computer kaputt geht), die Kontomigration und die Analyse von System Sicherheitsrisiken. Professional Services-Lösungen, mit Ausnahme der Kundenentwicklung, die unter dem Hinweis weiter unten in dieser Tabelle behandelt werden, sind nicht dazu gedacht, eine Verarbeitung durchzuführen, auf der Entscheidungen basieren, die rechtliche oder ähnlich signifikante Auswirkungen auf Einzelpersonen haben. |
| Die umfassende Verarbeitung1 von Daten besonderer Kategorien (personenbezogene Daten, welche die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen; | Professional Services sind nicht für Arbeiten gedacht, welche die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern, mit Ausnahme von Kundenentwicklung entsprechend dem später in dieser Tabelle folgenden Hinweis. Ein Datenverantwortlicher kann jedoch Professional Services-Beratungslösungen verwenden, um die aufgelisteten speziellen Kategorien von Daten zu verarbeiten. Für instance bietet Professional Services eine Datenbankentwicklung in der Gesundheitsbranche an, die von einem Datenverantwortlichen verwendet werden kann, um personenbezogene Daten im Zusammenhang mit einem Gesundheitszustand zu verarbeiten. Es liegt in der Verantwortung des Verantwortlichen, diese Nutzung nach Bedarf zu bewerten und entweder einzuschränken oder zu dokumentieren. |
| Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang | Professional Services sind nicht für die Nutzung von Arbeiten vorgesehen, die eine solche Überwachung erfordern oder erleichtern, mit Ausnahme der Kundenentwicklung, die weiter unten in dieser Tabelle behandelt wird. Wenn ein Datenverantwortlicher Professional Services zur Entwicklung eines solchen Systems verwenden oder IT-Systeme zur Verarbeitung von durch eine solche Überwachung gesammelten Daten verwenden würde, läge dies in der Verantwortung des Datenverantwortlichen, wie später in dieser Tabelle beschrieben. |
Hinweis
1 Bezüglich der Kriterien der umfassenden Verarbeitung von Daten wird in Absatz 91 der DSGVO Folgendes klar gestellt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein."
[Benutzerdefinierter Entwicklungshinweis] Professional Services bietet eine Vielzahl von Beratungslösungen. Ein Datenverantwortlicher könnte möglicherweise eine Lösung anfordern, die gemäß den oben genannten Kriterien eine Lösung mit hohem Risiko darstellt. Für instance kann ein Datenverantwortlicher verlangen, dass Professional Services eine Lösung zum Entwickeln einer Business Intelligence-Engine für Beschäftigungsentscheidungen oder Kreditanträge oder eine Lösung erstellt, die das Nachverfolgen von Benutzern, die spezielle Nutzung von künstlicher Intelligenz (KI)/Analyse oder die Verarbeitung spezieller Kategorien personenbezogener Daten umfasst.
Zu Beginn des Engagements bietet Professional Services Prozesse an, die für die Beurteilung und die Behandlung von Lösungen mit hohem Risiko vorgesehen sind, die möglicherweise angefragt werden. Im Rahmen dessen ist es möglich, dass Professional Services Rückbestätigungen vom Verantwortlichen für die DSGVO-Compliance (z.B. im Hinblick auf Vertragsbedingungen), einen Plan für die Entwicklung eines DPIA oder andere Kriterien (z. b. vereinbarte Betriebs-Leitlinien), nach den Angaben des Datenverarbeiters gemäß DSGVO benötigt. Unabhängig von den Handlungen von Microsoft liegt es jedoch in der Verantwortung des Datenverantwortlichen, die DPIA mit eingaben des Auftragsverarbeiters für die Daten des Kunden zu entwickeln.
Teil 2: Inhalte einer Bewertung der Auswirkungen auf den Datenschutz (DPIA)
Artikel 35 Absatz 7 schreibt vor, dass eine Bewertung der Auswirkungen auf den Datenschutz die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Verarbeitung beschreibt. Eine systematische Beschreibung einer umfassenden DPIA könnte Faktoren wie die Art der verarbeiteten Daten, die Dauer der Datenspeicherung, den Ort der Datenspeicherung und -übertragung und die Möglichkeit des Zugriffs Dritter auf die Daten beinhalten. Außerdem muss die DPIA Folgendes umfassen:
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;
- eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen
- die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.
Die folgende Tabelle enthält Informationen zu Professional Services, die für jedes dieser Elemente relevant sind. Wie in Teil 1 müssen die Datenverantwortlichen die in der Tabelle angegebenen Details zusammen mit allen anderen relevanten Faktoren im Kontext der spezifischen Implementierung(en) des Verantwortlichen und der Verwendung(en) von Professional Services berücksichtigen.
| Elemente einer DPIA | Relevante Informationen zu Professional Services |
|---|---|
| Zweck(e) der Verarbeitung | Der/die Zweck/e der Verarbeitung von Daten mithilfe von Microsoft Professional Services wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet. Wie im Microsoft Professional Services Data Protection Addendum (MPSDPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Support- und Beratungsdaten nur, um die angeforderten Dienste für unseren Kunden, den Datenverantwortlichen, bereitzustellen. Microsoft verwendet keine Support- und Beratungsdaten oder daraus abgeleiteten Informationen für Werbung oder ähnliche kommerzielle Zwecke. |
| Der/die Zweck/e der Verarbeitung von Daten mithilfe von Microsoft Professional Services wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet. | Wie im Microsoft Professional Services Data Protection Addendum (MPSDPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Support- und Beratungsdaten nur, um die angeforderten Dienste für unseren Kunden, den Datenverantwortlichen, bereitzustellen. Microsoft verwendet keine Support- und Beratungsdaten oder daraus abgeleiteten Informationen für Werbung oder ähnliche kommerzielle Zwecke. |
| Kategorien verarbeiteter personenbezogener Daten | Support- und Beratungsdaten sind alle Daten, einschließlich aller Text-, Ton-, Video-, Bilddateien oder Software, die Microsoft vom Kunden oder im Namen des Kunden (oder den der Kunde autorisiert, Microsoft von einem Onlinedienst zu beziehen) im Rahmen einer Zusammenarbeit mit Microsoft bereitgestellt werden, um Professional Services oder Support zu erhalten. Dies kann Informationen umfassen, die über Telefon, Chat, E-Mail oder Webformular gesammelt werden. Es kann eine Beschreibung von Problemen, Dateien, die an Microsoft übertragen werden, um Supportprobleme zu beheben, automatisierte Problembehandlungen oder den Remotezugriff auf Kundensysteme mit Kundenberechtigung enthalten. Kunden- und Supportdaten enthalten keine Kundenkontakt- oder Abrechnungsdaten, z. B. Abonnementinformationen und Zahlungsdaten, die Microsoft als Datenverantwortlicher sammelt und verarbeitet und die außerhalb des Geltungsbereichs dieses Dokuments fallen. |
| Datenaufbewahrung | Microsoft speichert Support- und Beratungsdaten für die Dauer des Kundenengagements sowie für einen Aufbewahrungszeitraum nach Abschluss des Engagements, um die Qualität und Kontinuität des Diensts zu gewährleisten. Beispiel: nach dem Schließen eines Support-Falles werden die Daten normalerweise für einen Zeitraums aufbewahrt, um sicherzustellen, dass darauf zugegriffen werden kann, falls das Problem wieder auftritt und der Fall erneut geöffnet wird. Wenn Professional Services Support bereitstellt, wird die Einsatzdauer definiert, wenn der Supportfall geschlossen wird. Wenn Professional Services Beratungsleistungen anbietet, wird die Einsatzdauer häufig durch den Arbeitsauftrag definiert. In anderen Fällen wird die Einsatzdauer durch die Pflege der Geschäftsbeziehung definiert. In allen Fällen werden Support- und Beratungsdaten auf Anfrage oder in Übereinstimmung mit den Anweisungen des Kunden ohne unangemessene Verzögerung mithilfe der im Professional Services Data Subject Rights Guide beschriebenen Funktionen gelöscht oder zurückgegeben. |
| Speicherort und Übermittlung personenbezogener Daten | Aufgrund der Art von Professional Services, einschließlich der Notwendigkeit, rund um die Uhr Support zu bieten, können Daten weltweit übertragen werden. Eine Liste der Standorte, an den Microsoft arbeitet, ist auf Anfrage verfügbar. Für Beratungsleistungen können Daten im Inland gespeichert werden, wenn dies im Rahmen des Arbeitsauftrags vereinbart ist. Für personenbezogene Daten aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale organization den in Artikel 46 der DSGVO beschriebenen angemessenen Garantien unterliegt. Zusätzlich zu Microsofts Verpflichtungen unter den Standardvertragsklauseln für Auftragsverarbeiter und anderen Musterverträgen hält sich Microsoft weiterhin an die Bedingungen des EU-US-Datenschutzschild-Frameworks, wird sich aber nicht mehr darauf als Grundlage für die Übermittlung personenbezogener Daten aus der EU/dem EWR in die Vereinigten Staaten stützen. |
| Teilen von Daten mit Dritten | Microsoft teilt Daten mit Drittanbietern, die als unsere Subprozessoren zur Unterstützung von Funktionen wie Kunden- und technischem Support, Wartung von Diensten und anderen Vorgängen agieren. Alle Subunternehmer, an die Microsoft Support- und Beratungsdaten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die nicht weniger schützen als die Datenschutzbestimmungen der MPSDPA. Alle Unterauftragsverarbeiter von Drittanbietern, mit denen Support- und Beratungsdaten im Rahmen der MPSDPA geteilt werden, sind in der Liste der Microsoft Commercial Support-Auftragnehmer enthalten. Microsoft gibt Support- und Beratungsdaten nicht an Strafverfolgungsbehörden weiter, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn die Strafverfolgungsbehörden Microsoft mit einer Anfrage nach Support- und Beratungsdaten kontaktieren, versucht Microsoft, die Strafverfolgungsbehörde umzuleiten, um die Daten direkt vom Kunden anzufordern. Wenn Microsoft gezwungen wird, Support- und Beratungsdaten an Strafverfolgungsbehörden offenzulegen, wird Microsoft den Kunden unverzüglich benachrichtigen und eine Kopie der Forderung zur Verfügung stellen, sofern dies nicht gesetzlich verboten ist. Nach Erhalt einer anderen Anfrage von Drittanbietern für Support- und Beratungsdaten wird Microsoft den Kunden unverzüglich benachrichtigen, sofern dies nicht gesetzlich verboten ist. Microsoft lehnt die Anforderung ab, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn die Anforderung gültig ist, versucht Microsoft, den Drittanbieter umzuleiten, um die Daten direkt vom Kunden anzufordern. |
| Rechte betroffener Personen | Wenn Microsoft als Auftragsverarbeiter tätig ist, stellt Microsoft dem Kunden (Datenverantwortlichen) die personenbezogenen Daten seiner betroffenen Personen und die Möglichkeit zur Erfüllung von Anträgen betroffener Personen zur Verfügung, wenn diese ihre Rechte gemäß der DSGVO ausüben. Wir tun dies in einer Weise, die mit der Funktionalität des Produkts und unserer Rolle als Verarbeiter vereinbar ist. Wenn wir eine Anfrage von der betroffenen Person des Kunden erhalten, eines oder mehrere seiner Rechte gemäß der DSGVO auszuüben, leiten wir die betroffene Person um, ihre Anfrage direkt an den Datenverantwortlichen zu stellen. Die DSGVO-Dokumentation zu Anfragen von Datensubjekten bei Professional Services enthält eine Beschreibung, wie Kunden ihre Verpflichtungen bezüglich der Rechte betroffener Personen in Professional Services erfüllen können. |
| Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck | Eine solche Bewertung hängt von den Bedürfnissen und Zwecken der Verarbeitung des Verantwortlichen ab. Die seitens Microsoft ausgeführte Datenverarbeitung dient dem Zweck, unsere Dienste dem Datenverantwortlichen des Kunden bereitzustellen. In diesem Zusammenhang ist sie notwendig und verhältnismäßig. Microsoft verpflichtet sich dazu in der MPSDPA. |
| Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen | Die wichtigsten Risiken für die Rechte und Freiheiten betroffener Personen aus der Nutzung von Professional Services sind eine Funktion davon, wie und in welchem Kontext der Datenverantwortliche die professionellen Dienstleistungen und alle von Professional Services bereitgestellten Lösungen implementiert, konfiguriert und nutzt. Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft zum Umgang mit solchen Risiken ergreift, werden weiter unten in diesem Artikel erläutert. |
| Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden. | Microsoft verpflichtet sich, die Sicherheit der Kundendaten zu schützen. Gemäß Artikel 32 der DSGVO hat Microsoft technische und organisatorische Maßnahmen eingeführt und erhält und befolgt diese zum Schutz der Support- und Beratungsdaten gegen unbeabsichtigte/n, nicht autorisierte/n oder rechtswidrige/n Zugriff, Offenlegung, Abänderung, Verlust oder Zerstörung. Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung. |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für