Microsoft-Support und Professional Services für Anträge betroffener Personen für die DSGVO und den CCPA

Einführung in Microsoft Professional Services

Microsoft Professional Services umfasst eine vielfältige Gruppe von technischen Architekten, Ingenieuren, Beratern und Supportexperten, die sich dafür engagieren, die Microsoft-Mission zu erfüllen, Kunden in die Lage zu versetzen, mehr zu tun und mehr zu erreichen. Unser Professional Services-Team umfasst mehr als 21.000+ Berater, Digital Advisors, Premier Support, Ingenieure und Vertriebsexperten, die in 191 Ländern arbeiten. Unser Team unterstützt 46 verschiedene Sprachen, verwaltet mehrere Millionen Engagements pro Monat und beteiligt sich an Kunden- und Partnerinteraktionen über lokale, telefonische, Web-, Community- und automatisierte Tools. Die organization bietet umfassendes Fachwissen im gesamten Microsoft-Portfolio und nutzt ein umfangreiches Netzwerk von Partnern, technischen Communitys, Tools, Diagnose und Kanälen, die uns mit unseren Unternehmenskunden verbinden.

Weitere Informationen zu Microsoft Professional Services erhalten Sie unter der Webseite Microsoft Professional Services Security Documentation . Microsoft Professional Services nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst. Die Informationen in diesem Dokument dienen dazu, Kundenfragen darüber zu beantworten, wie die Support- und Beratungsangebote von Microsoft auf die Dsgvo reagieren und Kunden bei der Beantwortung von Verpflichtungen betroffener Personen (DSR) unterstützen.

Einführung in Anträge betroffener Personen

Die DSGVO räumt Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht ein, die von einem Arbeitgeber oder einer anderen Art von Behörde oder organization (als Datenverantwortlicher oder nur Verantwortlicher bezeichnet) gesammelten personenbezogenen Daten zu verwalten. Personenbezogene Daten sind in der DSGVO allgemein als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO gewährt betroffenen Personen spezifische Rechte an ihren personenbezogenen Daten. Zu diesen Rechten gehören Zugang, Berichtigung, Widerspruch gegen die Verarbeitung und Löschung. Ein von einer betroffenen Person formal gestellter Antrag an den Verantwortlichen, bestimmte Maßnahmen im Zusammenhang mit den personenbezogenen Daten der betroffenen Person zu ergreifen, wird als Antrag einer betroffenen Person bezeichnet. Darüber hinaus verpflichtet sie Unternehmen, die im Auftrag eines Verantwortlichen (als Datenverarbeiter oder nur Auftragsverarbeiter bezeichnet) arbeiten, den Verantwortlichen bei der Erfüllung der Anträge betroffener Personen angemessen zu unterstützen.

In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden. Die Definition von "Verkäufe" umfasst die Freigabe von Daten für eine angemessene Gegenleistung. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

In diesem Leitfaden wird erläutert, wie Sie personenbezogene Daten, die sich in IT-Systemen von Microsoft befinden und möglicherweise erfasst wurden, um Support und andere Professional Services-Angebote bereitzustellen, finden, aufrufen und verarbeiten können.

Bei der Entwicklung einer Antwort für Anträge betroffener Personen ist es für die Kunden von Microsoft wichtig zu verstehen, dass Support- und Beratungsdaten von Kundendaten in den Onlinediensten oder anderen Daten getrennt sind, die sie oder ihre betroffenen Personen Microsoft bereitgestellt haben. Tools und Prozesse, wie sie für Onlinedienste oder das Microsoft-Datenschutzdashboard bereitgestellt werden, können nicht verwendet werden, um anträge betroffener Personen auf personenbezogene Daten zu reagieren, die von Microsoft-Support oder anderen Professional Services gespeichert sind.

Alle Anfragen müssen über einen Supportmitarbeiter gestellt werden, wie weiter unten in diesem Artikel beschrieben. Derzeit gibt es kein Self-Service-Tool für Kunden, um Zugriff auf personenbezogene Daten innerhalb der Professional Services-Organisationen zu erhalten.

Übersicht über die in diesem Leitfaden beschriebenen Prozesse

  • Erkennung: Sie können Kundendaten, die ggf. Gegenstand eines Antrags einer betroffenen Person sind, mithilfe von Such- und Ermittlungstools finden. Sobald Sie potenziell relevante Dokumente ermittelt haben, können Sie dem Antrag entsprechend eine oder mehrere der in den folgenden Schritten beschriebenen Aktionen ausführen. Möglicherweise stellen Sie jedoch fest, dass der Antrag nicht den Vorgaben Ihrer Organisation für die Reaktion auf Anträge betroffener Personen entspricht.
  • Zugriff: Rufen Sie personenbezogene Daten ab, die sich in der Microsoft Cloud befinden, und erstellen Sie eine Kopie, die der betroffenen Person zur Verfügung gestellt werden kann, sofern dies beantragt wurde.
  • Berichtigung: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere Aktionen aus, die für die Daten angefordert werden.
  • Einschränkung: Schränken Sie die Verarbeitung von personenbezogenen Daten ein, indem Sie entweder die Lizenzen für verschiedene Onlinedienste entfernen oder die gewünschten Dienste, wenn möglich, deaktivieren. Sie können auch Daten aus der Microsoft Cloud entfernen und lokal oder an einem anderen Speicherort speichern.
  • Löschung: Entfernen Sie personenbezogene Daten, die sich in der Microsoft-Cloud befinden, dauerhaft.
  • Exportieren/Empfangen (Portierbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) von personenbezogenen Daten oder persönlichen Informationen zur Verfügung. Personenbezogene Informationen gemäß CCPA sind alle Informationen, die eine identifizierte oder identifizierbare Person betreffen. Es gibt keinen Unterschied zwischen privaten, öffentlichen oder geschäftlichen Rollen einer Person. Der definierte Begriff "persönliche Informationen" entspricht in etwa dem Begriff "persönliche Daten" unter der DSGVO. Allerdings umfasst das CCPA auch Familien- und Haushaltsdaten. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

Begrifflichkeiten

Hier sind einige relevante Definitionen von Begriffen aus der DSGVO für diesen Leitfaden:

  • Datenverantwortlicher: Eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Sofern die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt werden, können der Datenverantwortliche bzw. die spezifischen Kriterien für dessen Benennung durch das Recht der Union oder des Mitgliedstaats angegeben werden.
  • Personenbezogene Daten und betroffene Person: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Bezeichner wie einen Namen, eine Kennnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind.
  • Auftragsverarbeiter:Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Zusätzliche Begriffe und Definitionen, die möglicherweise hilfreich für das Verständnis dieses Leitfadens sind

  • Professional Services-Daten: Alle Daten, einschließlich aller Text-, Ton-, Video-, Bilddateien oder Software, die Microsoft vom Kunden oder im Namen des Kunden (oder von dem Kunden autorisiert Microsoft, von einem Produkt zu beziehen) bereitgestellt oder anderweitig von Oder im Auftrag von Microsoft im Rahmen einer Zusammenarbeit mit Microsoft zum Erwerb von Professional Services erhalten oder verarbeitet werden.
  • Kundenkontakt: Personenbezogene Daten, die möglicherweise Bestandteil Ihrer Geschäftsbeziehung mit Microsoft sind, z. B. personenbezogene Daten, die in Ihren Kundenkontaktinformationen enthalten sind. Kundenkontaktdaten können Ihren Namen, Ihre E-Mail-Adresse oder Telefonnummer des Premier Contract Service Manager (CSM), den globalen oder IT-Administrator für einen Onlinedienst oder ähnliche Rollen enthalten.
  • Pseudonymisierte Daten: Wenn Sie den Microsoft-Support für die Enterprise-Produkte und -Dienste von Microsoft nutzen, generiert Microsoft Daten, die mit einer numerischen ID verknüpft sind, um den Support bereitzustellen. Diese Informationen werden häufig als "pseudonymisierte Daten" bezeichnet. Obwohl diese Daten ohne die Verwendung zusätzlicher Informationen keiner bestimmten betroffenen Person zugeordnet werden können, kann ein Teil davon im Rahmen der weit gefassten Definition der DSGVO für personenbezogene Daten als personenbezogen betrachtet werden. In Professional Services werden deshalb beim Ausfüllen oder beim Unterstützen des Ausfüllens von Anträgen betroffener Personen immer auch pseudonymisierte Daten berücksichtigt.

Verwenden dieses Leitfadens

Dieser Leitfaden behandelt vier Szenarien, die für einen Kunden relevant sein könnten, wenn er Microsoft Professional Services genutzt hat.

  • Antrag einer betroffenen Person für einen Kundenkontakt gegenüber Microsoft: Erklärung dazu, wie Microsoft auf Anträge eines Kundenkontakts oder IT-Administrators zur Ausübung ihrer Rechte als betroffene Personen reagiert.
  • Antrag einer betroffenen Person für einen Endbenutzer gegenüber Microsoft: Erklärung dazu, wie Microsoft auf Anträge von Mitarbeitern oder anderen betroffenen Personen eines Kunden zur Ausübung ihrer Rechte reagiert.
  • Anträge betroffener Personen für vom Kunden bereitgestellte Daten: Kommerzieller Support: Informationen dazu, wie Sie Unterstützung von Microsoft erhalten können, wenn ein Kunde eine Anfrage von seinem Mitarbeiter oder anderen betroffenen Personen zur Ausübung seiner Rechte erhalten hat und die personenbezogenen Daten dieser betroffenen Person von Microsoft-Support während eines Support-Engagements gesammelt wurden.
  • Anträge betroffener Personen für vom Kunden bereitgestellte Daten: Beratungsdienste, einschließlich FastTrack Migration Services: Informationen dazu, wie Sie Unterstützung von Microsoft erhalten, wenn ein Kunde eine Anfrage von seinem Mitarbeiter oder anderen betroffenen Personen zur Ausübung seiner Rechte erhalten hat und die personenbezogenen Daten dieser betroffenen Person von Microsoft während eines Beratungsauftrags erfasst wurden.

Antrag einer betroffenen Person für einen Kundenkontakt gegenüber Microsoft

Wie Microsoft auf Anträge eines Kundenkontakts oder IT-Administrators zur Ausübung ihrer Rechte als betroffene Personen reagiert.

Wenn ein Kunde Support- oder Beratungsdienste von Microsoft nutzt, erfasst der Microsoft-Support automatisch die personenbezogenen Daten des Kundenkontakts (z. B. Premier-CSM, globaler Administrator, IT-Administrator) oder ruft diese aus Firmendatensätzen ab. Dies beinhaltet wahrscheinlich den Namen, die E-Mail-Adresse, die Telefonnummer und andere personenbezogene Daten der Person, welche die Support- oder Beratungsdienste nutzt.

Die personenbezogenen Daten des Kundenkontakts sind Teil der Geschäftsbeziehung von Microsoft mit dem Kunden, und Microsoft ist der Datenverantwortliche, es sei denn, diese Daten werden im Rahmen der Bereitstellung von technischem Support erfasst. Microsoft antwortet auf Anträge betroffener Personen vom Kundenkontakt in Bezug auf ihre personenbezogenen Daten, unabhängig davon, ob sie noch bei der organization sind.

Wenn die personenbezogenen Daten des Kundenkontakts im Rahmen der Bereitstellung von technischem Support gesammelt werden, ist Microsoft der Datenauftragsverarbeiter.

Kunden sollten verstehen, dass der Antrag einer betroffenen Person nur die personenbezogenen Daten des Kundenkontakts abdeckt und keine Änderungen oder Löschungen an den Daten des Kunden vorgenommen werden, die im Rahmen von Engagements übermittelt werden (z. B. Transkripte, Fallbeschreibungen, Dateien, Arbeitsprodukt), da Microsoft der Datenverarbeiter ist. Zudem werden zur Beibehaltung historischer Datensätze des Engagements keinerlei Änderungen an geschlossenen Engagements vorgenommen, einschließlich des Datensatzes desjenigen, der das Engagement eröffnet hat.

Bei Eingang einer Anfrage eines Kundenkontakts zu einem Antrag einer betroffenen Person, bei dem Microsoft der Data Controller ist, leiten Microsoft-Mitarbeiter den Kundenkontakt zum Privacy Response Center weiter. Dies ist der primäre Eingabemechanismus von Microsoft für Anfragen und Beschwerden im Bereich des Datenschutzes. Nach Erhalt einer Anfrage erkennt das Privacy Response Center, dass dies Teil eines kommerziellen oder organisationsbezogenen Kontos ist, und antwortet entsprechend.

Wenn Microsoft der Datenverarbeiter ist, lesen Sie unten dsR für vom Kunden bereitgestellte Daten: Kommerzieller Support .

Kunden können änderungen an ihren Daten vornehmen, die im Rahmen von Professional Services-Einsätzen über normale Support- oder Beratungskanäle getrennt von diesen Anträgen betroffener Personen gesammelt werden. Für instance kann Microsoft auf Anfrage bei der Aussetzung von Supporteinsätzen helfen (siehe im Abschnitt Leitfaden zu vom Kunden bereitgestellten Daten).

Antrag einer betroffenen Person für einen Endbenutzer gegenüber Microsoft

Wie Microsoft auf Anträge von Mitarbeitern oder anderen betroffenen Personen eines Kunden zur Ausübung ihrer Rechte reagiert.

Wenn sich der Mitarbeiter eines Kunden oder eine andere betroffene Person an Microsoft wendet, um seine Rechte an Daten auszuüben, die Microsoft als Datenverarbeiter erfasst hat, wird die betroffene Person darüber informiert, dass sie sich an den Kunden von Microsoft als Datenverantwortlicher wenden muss, um diese Rechte auszuüben. Microsoft wird keine weiteren Maßnahmen ergreifen.

Wenn die betroffene Person microsoft auch zur Ausübung ihrer Rechte an Daten kontaktiert hat, die Microsoft in Situationen gesammelt hat, in denen Microsoft der Datenverantwortliche ist (z. B. der Verbrauchersupport), wird Microsoft separat auf die Anfrage der betroffenen Person auf diese personenbezogenen Daten reagieren.

Antrag einer betroffenen Person für vom Kunden bereitgestellte Daten: Kommerzieller Support

Wie ein Kunde, der einen Antrag von einem Mitarbeiter oder einer anderen betroffenen Person zur Ausübung ihrer Rechte erhalten hat, wobei die personenbezogenen Daten dieser betroffenen Person während eines Support-Engagements vom Microsoft-Support erfasst wurden, Unterstützung von Microsoft erhält.

Wenn ein Kunde den Microsoft-Support nutzt, sammelt Microsoft Support-Daten des Kunden, um die Probleme zu beheben, die zum Engagement des Microsoft-Supports geführt haben. Diese Support-Daten umfassen die Interaktion von Microsoft mit dem Kunden (z. B. Chats, Telefonate, E-Mails, Webübermittlungen) sowie alle Inhaltsdateien, die der Kunde an Microsoft sendet oder die Microsoft – mit der Erlaubnis des Kunden – aus der IT-Umgebung oder aus Onlinediensten extrahiert hat, um das Problem zu beheben. Im Fall von Premier-Support würde dies auch alle Daten beinhalten, die wir von Ihnen erfassen, um zukünftige Probleme proaktiv zu vermeiden. Nicht dazu zählen jedoch Informationen aus der Geschäftsbeziehung zwischen Microsoft und dem Kunden, z. B. Abrechnungsdatensätze.

Für alle Support- und Kontaktdaten, die im Rahmen des Supports gesammelt wurden, ist Microsoft der Auftragsverarbeiter. Als solcher reagiert Microsoft nicht auf direkte Anträge von betroffenen Personen im Hinblick auf Supportdaten, die übermittelt wurden, als sie mit einem gewerblichen Microsoft-Kunden verknüpft waren. Kunden sollten sich an ihren Customer Success Account Manager (CSAM) wenden, um technischen Support zu erhalten.

Schritt 1: Ermittlung

Der erste Schritt, um Unterstützung von Microsoft bei der Beantwortung eines Antrags einer betroffenen Person (DSR) zu erhalten, besteht darin, die persönlichen Daten zu finden, die Gegenstand des Antrags sind. Dieser erste Schritt – Suchen und Überprüfen der betroffenen personenbezogenen Daten – hilft einem Kunden, festzustellen, ob ein Antrag einer betroffenen Person die Richtlinien der Organisation bezüglich der Anerkennung oder Ablehnung eines solchen Antrags erfüllt.

Nachdem der Kunde die Daten gefunden hat, kann der Kunde die spezifische Aktion ausführen, um die Anforderung der betroffenen Person zu erfüllen. Je nachdem, was der Kunde zu tun versucht, bestimmt, welche Ermittlungsebene der Kunde benötigt, um sich zu engagieren.

Wenn Microsoft einen Kunden bei der Lösung einer betroffenen Person unterstützt, ist dies eine Geschäftsfunktion, und die Anfrage erfolgt über Ihren regulären Supportkanal.

Während er relevante Daten ausfindig macht und sich die Unterstützung von Microsoft sichert, hat ein Kunde mehrere Optionen, den Antrag einer betroffenen Person zu bearbeiten:

Option A : Microsoft-Support-übergreifender Antrag einer betroffenen Person durch den Kunden. Wenden Sie die Anträge betroffener Personen auf alle Supportdaten des Kunden in der Supportumgebung von Microsoft an. Dazu kann ein Kunde Microsoft einfach bitten, die Anträge betroffener Personen auf alle gesammelten Supportdaten anzuwenden.

Option B: Spezifische Kundenengagements. Verwenden von Onlinesystemen zum Überprüfen von Tickets und anschließendes Identifizieren bestimmter Engagements, welche die relevanten personenbezogenen Daten enthalten, um sie an Microsoft zu melden. Microsoft wird versuchen, Sie bei der Suche zu unterstützen, wenn der Kunde nicht die Möglichkeit hat, Engagements (Tickets) zu durchsuchen.

Nachdem Engagements identifiziert wurden, fordern Sie an, dass der Antrag der betroffenen Person auf einen spezifischen Teil des Datensatzes oder Microsoft-weit auf alles in Verbindung mit diesem Engagement angewendet wird.

Um bestimmte Engagements zu identifizieren, müssen Kunden ihre Engagements durchsuchen. Für Premier-Kunden verfügt das Contract Service Manager ("CSM") für einen Kunden über Sichtbarkeit für alle Supportanfragen (SRs), die gemäß diesem Vertragszeitplan erstellt werden. Für Non-Premier sind entsprechende Support-Engagement-Portale verfügbar, z. B. über Online Services-Supportbereiche.

Der CSM kann das Portal unter Services Hub aufrufen und die Verwaltung aller Supportanfragen auswählen.

Wichtig

Zusätzlich zum Fallverlauf in Services Hub besitzen Kunden möglicherweise auch personenbezogene Daten eines Endbenutzers in Dateien, die von Microsoft während eines Support-Engagements erfasst (oder mit Erlaubnis des Kunden aus dem Onlinedienst entfernt) wurden. Beispiele hierfür sind Kopien der Exchange-Postfächer des Kunden, Azure-VMs oder Datenbanken. Diese personenbezogenen Daten sind im Fallverlauf, d. h. im Ticket, für ein bestimmtes Engagement möglicherweise nicht erwähnt. Um diese Daten überprüfen zu können, muss der Kundenkontakt ein Kontakt mit spezifischer Authentifizierung (über AAD oder MSA) sein, der eine URL für einen Arbeitsbereich im Data Transfer and Management Tool (DTM) des Microsoft-Supports erhalten hat. Ein Kundenkontakt hat zwar Zugriff auf die Dateien, es ist aber keine Übersicht verfügbar, und Services Hub gibt nicht an, ob Dateien vorhanden sind.

Nachdem Kunden alle relevanten Daten in den ausgewählten Supporttickets identifiziert haben, können sie entscheiden, ob sie die Löschung von allen Elementen im Zusammenhang mit einem Ticket anfordern oder den Antrag der betroffenen Person selektiv auf einzelne Instanzen personenbezogener Daten anwenden.

Schritt 2: Zugriff

Nachdem ein Kunde Supportdaten gefunden hat, die personenbezogene Daten enthalten, die potenziell auf einen Antrag einer betroffenen Person reagieren, muss der Kunde entscheiden, welche personenbezogenen Daten in die Antwort aufgenommen werden sollen. Der Kunde kann z. B. personenbezogene Daten zu anderen betroffenen Personen und vertrauliche Informationen entfernen.

Die Antwort auf die Anträge betroffener Personen kann eine Kopie des tatsächlichen Dokuments, eine entsprechend bearbeitete Version oder einen Screenshot der Teile enthalten, die der Kunde als geeignet erachtet hat, zu teilen. Für jede dieser Antworten auf eine Zugriffsanforderung muss der Kunde eine Kopie des Dokuments oder eines anderen Elements abrufen, das die reaktionsfähigen Daten enthält.

Der Zugriff auf die personenbezogenen Daten eines Endbenutzers kann über eine Erwähnung oder Notation in den verschiedenen Arten von Inhaltsdokumenten erfolgen. Da Kunden möglicherweise auf das Engagement-Ticket und den Inhalt zugreifen können, können sie selbst eine Zusammenfassung der personenbezogenen Daten, ohne weitere Unterstützung von Microsoft, bereitstellen.

In seltenen Fällen müssen Kunden Kopien der supportbezogenen Interaktionsdaten (z. B. E-Mails, transkribierte Kopien von Anrufmitschnitten, Chatprotokolle) beschaffen, die zwischen einem Microsoft-Mitarbeiter und dem Vertreter des Kunden ausgetauscht wurden. Soweit erforderlich, kann Microsoft redigierte Kopien dieser Transkripte auf der Basis von Bedarf, Vertraulichkeit und Schwierigkeit bereitstellen.

Schritt 3: Berichtigung

Wenn eine betroffene Person den Kunden aufgefordert hat, die personenbezogenen Daten zu korrigieren, die sich in den Supportdaten ihrer organization befinden, muss der Kunde bestimmen, ob es angemessen ist, die Anfrage zu berücksichtigen. Wenn der Kunde sich entscheidet, die Anforderung zu berücksichtigen, kann der Kunde verlangen, dass Microsoft die Änderung vorschreibt. Microsoft kann Daten berichtigen oder Kundendaten aus den Supportsystemen löschen und den Kunden bitten, sie im korrigierten Format erneut an Microsoft zu übermitteln.

Schritt 4: Einschränkung

Der Kunde kann jederzeit ein Engagement schließen oder Microsoft kontaktieren und das Schließen des Engagements beantragen. Ein geschlossenes Engagement verhindert, dass Arbeiten ausgeführt werden.

Schritt 5: Löschung

Das "Recht auf Löschung" durch das Entfernen personenbezogener Daten aus den Support-Daten eines Unternehmens ist ein zentraler Schutzmechanismus in der DSGVO. Zum Entfernen von personenbezogenen Daten zählt das Löschen von ganzen Engagements, Dokumenten oder Dateien bzw. das Löschen bestimmter Daten innerhalb eines Engagements, eines Dokuments oder einer Datei.

Nachfolgend finden Sie einige wichtige Hinweise, wie das Löschen für den Microsoft-Support funktioniert. Diese sollte ein Kunde beachten, wenn er als Reaktion auf einen Antrag einer betroffenen Personen Daten untersucht oder plant, personenbezogene Daten zu löschen.

Auf alle Daten bei Microsoft wird eine Richtlinie zur Aufbewahrung und Löschung angewendet, die je nach Risiko und anderen Faktoren variiert.

Kunden, die die universelle Löschung der personenbezogenen Daten einer betroffenen Person in allen Supportsystemen anfordern, können dies über Ihren Customer Success Account Manager (CSAM) oder durch Einreichen einer Supportanfrage (SR) im Services Hub oder einem gleichwertigen System tun. Sie müssen darauf hinweisen, dass dies eine Anforderung zur Unterstützung bei einem Antrag einer betroffenen Person gemäß der DSGVO ist.

Option A : Microsoft-Support-übergreifender Antrag einer betroffenen Person durch den Kunden. Bei einer systemübergreifenden betroffenen Person muss der Kunde die personenbezogenen Daten angeben, die Microsoft benötigt, um die erforderlichen Daten zu identifizieren (z. B. E-Mail-Adresse, Telefonnummer). Microsoft korreliert oder recherchiert keine Datensätze und sucht nur direkt nach den vom Kunden bereitgestellten Kennzeichnern. Wenn Daten gefunden werden, löscht Microsoft alle Engagements und alle zugehörigen Daten.

Wichtiger Hinweis: Dies kann zum Verlust von Verlaufsdatensätzen führen, die für die organization des Kunden wichtig sind.

Option B: Spezifische Kundenengagements. Für spezifische Engagements, die der Kunde identifiziert hat und löschen lassen möchte, dürfen Sie keine Tickets aus Services Hub löschen. Dies kann sonst dazu führen, dass personenbezogene Daten in Protokollen und nachgelagerten Systemen verbleiben und nicht innerhalb des erforderlichen Zeitrahmens gelöscht werden. Identifizieren Sie stattdessen das Ticket oder die personenbezogenen Daten in dem Ticket, die gelöscht werden müssen, und wenden Sie sich an den Microsoft-Support, um sich beim Löschen dieser Daten unterstützen zu lassen.

Anweisungen zum Data Transfer and Management Tool (DTM) des Microsoft-Supports

Bei all diesen Suchvorgängen sucht Microsoft aufgrund der potenziellen Vertraulichkeit von Inhalten in Dateien nicht über DTM hinweg. Wenn der Kunde dies wünscht, löscht Microsoft jedoch alle Dateien, die in DTM enthalten sind, die dem Konto des Kunden zugeordnet sind. Aufgrund der potenziellen schwerwiegenden Auswirkungen auf kundenseitig verlangt Microsoft eine separate Anforderung vom Kunden, die die Löschung von DTM-Dateien angibt.

  • Bei offenen Oder für Fälle, die weniger als 90 Tage geschlossen wurden, kann der Kundenkontakt in DTM wechseln und Dateien löschen.
  • Standardmäßig werden Dateien 90 Tage nach Abschluss des Falls automatisch gelöscht.
  • Kunden sollten Microsoft auch auffordern, die personenbezogenen Daten systemübergreifend zu überprüfen, da Dateien gelegentlich aus DTM zu Diagnosezwecken über ihr CSAM oder über das Privacy Response Center auf andere Systeme kopiert werden.

Schritt 6: Export

Das "Recht auf Datenübertragbarkeit" ermöglicht es einer betroffenen Person, eine Kopie ihrer personenbezogenen Daten in einem elektronischen Format anzufordern und zu verlangen, dass Ihre organization diese an einen anderen Verantwortlichen übermitteln. Im Fall von Supportdaten würden alle verwendbaren Informationen, über die Microsoft verfügt, in Form von Engagementinformationen oder Dateien vorliegen, die Ihnen zur erneuten Kommunikation oder zum Hochladen an einen anderen Verantwortlichen zurückgegeben werden können.

Hinweis: Exportierte Daten dürfen kein geistiges Eigentum von Microsoft oder andere Daten enthalten, welche die Sicherheit oder Stabilität des Dienstes kompromittieren könnten.

Leitfaden für Anträge betroffener Personen für von Kunden bereitgestellte Daten in Beratungsdiensten, einschließlich Migrationsdiensten

Wie ein Kunde, der einen Antrag von einem Mitarbeiter oder einer anderen betroffenen Person zur Ausübung ihrer Rechte erhalten hat, wobei die personenbezogenen Daten dieser betroffenen Person während eines Beratungsengagements von Microsoft erfasst wurden, Unterstützung von Microsoft erhält.

Microsoft Consulting Services

Für Microsoft Consulting Services-Engagements, bei denen der [Microsoft Products and Services Data Protection Addendum (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) abgeschlossen wurde.

Microsoft ist der Datenverantwortliche für Kundenkontakte, die mit dem Engagement-Team zusammenarbeiten. Diese Personen sollten sich an das Privacy Response Center wenden, um die Rechte betroffener Personen zu erfüllen.

Microsoft ist der Datenauftragsverarbeiter für einen Antrag einer betroffenen Person, der sich innerhalb der Daten befindet, die während eines Beratungsauftrags bereitgestellt werden. Der Kunde sollte sich an den Engagement-Manager wenden, um einen Plan zu erstellen, der auf der Grundlage der gesammelten Daten und der dann bereitgestellten spezifischen Art von Beratungsdiensten bei der Reaktion auf einen Antrag einer betroffenen Person hilft. Soweit Ihre Anfrage einen Aufwand darstellt, der normalerweise im Rahmen eines Microsoft Consulting Services-Engagements zu sehen ist, ist möglicherweise ein zusätzlicher Arbeitsauftrag erforderlich. Darüber hinaus werden personenbezogene Daten nach jedem Beratungsauftrag innerhalb eines von der Art des Beratungsauftrags abhängigen Zeitrahmen gelöscht. Der Kunde kann verlangen, dass Daten früher gelöscht werden, und einen Nachweis der Löschung anfordern.

Microsoft FastTrack Services

Microsoft FastTrack bietet IT-Beratungsdienstleistungen für Organisationen, um ihnen zu helfen, Microsoft Cloud Services wie Microsoft 365, Azure und Dynamics 365 aufzunehmen und zu verwenden.

Microsoft ist der Datenverantwortliche für Kundenkontakte, die mit dem FastTrack-Team zusammenarbeiten. Wenn Kundenkontakte auf Die FastTrack-Datensätze von Microsoft zugreifen, diese überarbeiten oder entfernen möchten, können Kunden verlangen, dass die betroffene Person die Anfrage direkt an Office 365 FastTrack DSGVO-Anforderungseingang <o365ftgdpr@microsoft.com>sendet.

Für FastTrack-Migrationsdienste ist Microsoft der Datenverarbeiter. In Übereinstimmung mit unserer zusätzlichen Datenschutzerklärung für Fast Track gelten alle Daten während der Migration als "Migrationsdaten". Wenn Sie Anträge betroffener Personen ausführen müssen, während Ihr organization an einem FastTrack-Migrationsprojekt beteiligt ist, ist besondere Sorgfalt erforderlich.

Wenn Sie Zugriff auf die Verarbeitung von Anträgen während der Verarbeitung der Daten eines Benutzers durch das FastTrack-Migrationssystem benötigen, oder Anträge berichtigen oder exportieren möchten, liegt es in der Verantwortung des Kunden, diese Anträge über seine vorhandenen Quellsysteme zu erfüllen, in denen die Benutzerdaten gespeichert sind. Sobald die Migration des Benutzers abgeschlossen ist und die Daten zum gewünschten Microsoft Cloud Service migriert wurden, gelten die von Microsoft bereitgestellten Leitfäden, wie Kunden Microsoft-Produkte, -Dienste und -Verwaltungstools zur Suche nach und zum Umgang mit persönlichen Daten nutzen können, um Anträge von betroffenen Personen zu bearbeiten. Sie finden diese Leitfäden unter Anträge betroffener Personen für die DSGVO.

Wenn Sie ein Benutzerkonto als Reaktion auf eine Löschanforderung einer betroffenen Person löschen müssen, während Ihr organization an einem laufenden FastTrack-Migrationsprojekt beteiligt ist, sollten Sie sich darüber im Klaren sein, dass Migrationssysteme eine Kopie der Benutzermigrationsdaten möglicherweise für einen Zeitraum nach Abschluss der Migration des Benutzers aufbewahren und das Löschen des Benutzerkontos diese in FastTrack-Migrationssystemen gespeicherten Benutzermigrationsdaten nicht automatisch löschen. Wenn Sie möchten, dass das Microsoft FastTrack-Team Benutzermigrationsdaten löscht, können Sie eine Anforderung senden. Im normalen Geschäftsverlauf löschen Microsoft FastTrack alle Datenkopien, sobald die Migration Ihrer organization abgeschlossen ist.

Sonstige Beratungsdienste

Kunden, die andere Professional Services über Microsoft erhalten, sollten über das Engagement-Team zusammenarbeiten, um alle DSGVO-Anforderungen zu erfüllen. Wenn das Engagement-Team nicht in der Lage ist, klare Anweisungen zur Erfüllung der DSGVO-Anträge betroffener Personen bereitzustellen, sollten Kunden sich an ihren CSAM wenden oder eine Anfrage für technischen Support stellen.