Auskunftsrecht betroffener Personen für Dynamics 365 im Rahmen der DSGVO und CCPA

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union räumt natürlichen Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht ein, vom Arbeitgeber oder einer anderen Einrichtung oder Organisation (Datenverantwortlicher oder Verantwortlicher) erhobene personenbezogene Daten zu verwalten. Personenbezogene Daten sind in der DSGVO allgemein als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO gewährt betroffenen Personen spezifische Rechte an ihren personenbezogenen Daten; Zu diesen Rechten gehören der Erwerb von Kopien, das Anfordern von Änderungen an ihr, das Einschränken der Verarbeitung, das Löschen oder das Empfangen und die Übertragung an einen anderen Verantwortlichen. Eine formelle Anforderung einer betroffenen Person an einen Verantwortlichen, eine Maßnahme in Bezug auf ihre personenbezogenen Daten zu ergreifen, wird in diesem Dokument als Antrag auf Rechte betroffener Personen oder Anträge betroffener Personen bezeichnet.

In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden. Die Definition von "Verkäufe" umfasst die Freigabe von Daten für eine angemessene Gegenleistung. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

In dem Leitfaden wird erläutert, wie unsere als Datenverantwortliche handelnden Kunden Microsoft-Produkte, -Dienste und -Verwaltungstools zum Suchen von und Reagieren auf personenbezogene Daten als Reaktion auf DSRs verwenden können. Dies gilt insbesondere für die Suche nach, den Zugriff auf sowie die Verarbeitung von personenbezogenen Daten oder persönlichen Informationen, die sich in der Microsoft-Cloud befinden. Im Folgenden finden Sie eine kurze Übersicht über die Prozesse, die in diesem Leitfaden beschrieben werden:

  • Erkennung: Sie können Kundendaten, die ggf. Gegenstand eines Antrags einer betroffenen Person sind, mithilfe von Such- und Ermittlungstools finden. Sobald Sie potenziell relevante Dokumente ermittelt haben, können Sie dem Antrag entsprechend eine oder mehrere der in den folgenden Schritten beschriebenen Aktionen ausführen. Möglicherweise stellen Sie jedoch fest, dass der Antrag nicht den Vorgaben Ihrer Organisation für die Beantwortung von Anträgen auf Rechteausübung entspricht.
  • Zugriff: Rufen Sie personenbezogene Daten ab, die sich in der Microsoft Cloud befinden, und erstellen Sie eine Kopie, die der betroffenen Person zur Verfügung gestellt wird, sofern dies beantragt wurde.
  • Berichtigung: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere Aktionen aus, die für die Daten angefordert werden.
  • Einschränken: Schränken Sie die Verarbeitung von personenbezogenen Daten ein, indem Sie entweder die Lizenzen für verschiedene Onlinedienste entfernen oder die gewünschten Dienste, wenn möglich, deaktivieren.
  • Löschen: Entfernen Sie personenbezogene Daten, die sich in der Microsoft-Cloud befinden, dauerhaft.
  • Exportieren/Empfangen (Portierbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) von personenbezogenen Daten oder persönlichen Informationen zur Verfügung. Personenbezogene Daten im Rahmen des CCPA sind beispielsweise alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden. Der definierte Begriff "persönliche Informationen" entspricht in etwa dem Begriff "persönliche Daten" unter der DSGVO. Allerdings umfasst das CCPA auch Familien- und Haushaltsdaten. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

In jedem Abschnitt dieses Leitfadens werden die Prozesse beschrieben, die ein als Datenverantwortlicher handelndes Unternehmen nutzen kann, um auf einen Antrag einer betroffenen Person bezüglich ihrer personenbezogenen Daten in der Microsoft-Cloud zu reagieren.

Terminologie der DSGVO

In der nachfolgenden Liste finden Sie Definitionen von Begriffen, die für diesen Leitfaden relevant sind:

  • Datenverantwortlicher: Eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Sofern die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt werden, können der Datenverantwortliche bzw. die spezifischen Kriterien für dessen Benennung durch das Recht der Union oder des Mitgliedstaats angegeben werden.
  • Personenbezogene Daten und betroffene Person: Alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("betroffene Person"). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • Verarbeiter: Eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Kundendaten: Alle Daten, einschließlich aller Text-, Sound-, Video- oder Bilddateien, die Microsoft vom Kunden oder im Auftrag des Kunden durch Nutzung von Enterprise-Diensten bereitgestellt werden. Kundendaten umfassen sowohl (1) identifizierbare Informationen von Endbenutzern (z. B. Benutzernamen und Kontaktinformationen in Microsoft Entra ID) als auch Kundeninhalte, die ein Kunde in bestimmte Dienste hochlädt oder in bestimmten Diensten erstellt (z. B. Kundeninhalte in einem Azure Storage-Konto, Kundeninhalte einer Azure SQL-Datenbank oder das Vm-Image eines Kunden in Azure Virtual Machines).
  • Vom System generierte Protokolle: Von Microsoft generierte Protokolle und verbundene Daten, die Microsoft bei der Bereitstellung von Enterprise-Diensten für Benutzer unterstützen. Vom System generierte Protokolle enthalten in erster Linie pseudonymisierte Daten, z. B. eindeutige Bezeichner – in der Regel eine vom System generierte Zahl, die von sich aus eine Einzelperson nicht identifizieren kann, aber dazu verwendet wird, die Enterprise-Dienste für Benutzer bereitzustellen.

So kann Sie dieser Leitfaden bei der Einhaltung Ihrer Verantwortlichkeiten als Datenverantwortlicher unterstützen

Der aus zwei Teilen bestehende Leitfaden erklärt, wie Dynamics 365-Produkte, -Dienste und -Verwaltungstools verwendet werden können, um Daten in der Microsoft-Cloud zu finden und zu nutzen als Reaktion auf Anforderungen von betroffenen Personen, die von ihren Rechten gemäß der DSGVO Gebrauch machen. Der erste Teil befasst sich mit personenbezogenen Daten, die in Kundendaten enthalten sind, gefolgt von einem Teil zu sonstigen pseudonymisierten personenbezogenen Daten, die in vom System generierten Protokollen enthalten sind.

  • Teil 1: Reaktion auf Anträge betroffener Personen (DSR) für personenbezogene Daten, die in Kundendaten enthalten sind: In Teil 1 dieses Leitfadens wird erläutert, wie Sie auf personenbezogene Daten aus Dynamics 365 Anwendungen (Software-as-a-Service) zugreifen, korrigieren, einschränken, löschen und exportieren können, die als Teil der Kundendaten verarbeitet werden, die Sie für den Onlinedienst bereitgestellt haben.
  • Teil 2: Reaktion auf Anträge betroffener Personen bezüglich pseudonymisierten Daten: Wenn Sie Dynamics 365 Enterprise Services verwenden, generiert Microsoft einige Informationen (in diesem Dokument als vom System generierte Protokolle bezeichnet), um den Dienst bereitzustellen, der auf den Verwendungsumfang von Endbenutzern beschränkt ist, um deren Aktionen im System zu identifizieren. Obwohl diese Daten nicht ohne das Hinzuziehen zusätzlicher Informationen einer bestimmten betroffenen Person zugeordnet werden können, ist es möglich, dass ein Teil dieser Daten gemäß der Definition der DSGVO als personenbezogen eingestuft wird. In Teil 2 dieses Leitfadens wird erläutert, wie Sie von Dynamics 365 generierte Protokolle aufrufen, löschen und exportieren können.

Vorbereiten auf Untersuchungen im Rahmen von Anträgen betroffener Personen

Wenn betroffene Personen Gebrauch von Ihren Rechten machen und Anforderungen stellen, müssen die folgenden Punkte berücksichtigt werden:

  • Identifizieren Sie die Person und Rolle – z. B. Mitarbeiter, Kunde, Kreditor – ordnungsgemäß anhand von Informationen, die die betroffene Person Ihnen im Rahmen ihrer Anfrage gegeben hat. Diese Informationen können ein Name, eine Mitarbeiter-ID oder Kundennummer sowie sonstige Kennungen sein.
  • Zeichnen Sie die Daten und die Uhrzeit der Anforderung auf. (Sie haben 30 Tage Zeit, um die Anforderung abzuschließen.)
  • Bestätigen Sie, dass die Anforderung die Anforderungen Ihrer organization erfüllt, um die Anforderung einer betroffenen Person zu erfüllen oder abzulehnen. Sie müssen beispielsweise sicherstellen, dass die Ausführung der Anforderung nicht mit anderen rechtlichen, finanziellen oder regulatorischen Verpflichtungen, die Sie haben, in Konflikt steht oder die Rechte und Freiheiten anderer verletzt.
  • Vergewissern Sie sich, dass Sie über die Informationen zu dem Antrag verfügen.

Teil 1: Reaktion auf Anträge betroffener Personen auf personenbezogene Daten, die in Kundendaten enthalten sind

In den folgenden Artikeln finden Sie Informationen, die Sie bei der Vorbereitung und Beantwortung von Anträgen betroffener Personen in Den in Dynamics 365 verarbeiteten Kundendaten unterstützen. Es ist wichtig zu beachten, dass personenbezogene Daten in anderen Kategorien von Daten vorhanden sein können, die von Microsoft während des Diensts eines Onlinedienste-Abonnements verarbeitet werden, z. B. Administratordaten oder Professional Services-Daten. Dieses Dokument ist darauf beschränkt, Sie bei der Ermittlung und Verwaltung von Anträgen betroffener Personen zu unterstützen, die sich auf personenbezogene Daten auswirken, die in den Kundendaten vorhanden sind, die Sie Dynamics 365 bereitgestellt haben.

Dynamics 365 ist eine Reihe von Onlinedienste, die mehrere Datenverarbeitungsfunktionen als Software-as-a-Service (SaaS) bietet. Daher bietet Dynamics 365 eine breite Palette von Funktionen zur Verarbeitung einer vielfältigen Sammlung von Daten, die je nach Art, Zweck oder anderen spezifischen Attributen wie Verkaufsdaten, Transaktionen, Finanzen, Personalinformationen usw. variieren können. Angesichts dieser Vielfalt bietet Dynamics 365 mehrere Formulare, Felder, Schemas, Endpunkte und Logik zur Verarbeitung von Kundendaten, was sich auch in den verschiedenen Möglichkeiten widerspiegelt, wie Anträge betroffener Personen in jeder Anwendung behandelt werden können. Wenn Dynamics 365 Anwendungen mehrere Möglichkeiten bieten, bestimmte Anträge betroffener Personen zu behandeln, werden wir diese in diesem Leitfaden beachten, indem wir auf die technischen Beschreibungen der einzelnen Anwendungen verweisen.

Dynamics 365

Suchen von Kundendaten

Der erste Schritt der Reaktion auf einen Antrag einer betroffenen Person ist es, die Kundendaten zu suchen und zu ermitteln, die von dem Antrag betroffen sind.

Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Sales & Dynamics 365 Marketing werden in diesem Dokument und im gesamten Dokument zusammen als "Kundenbindungsanwendungen" bezeichnet. Die richtige Klassifizierung von Kundendaten ist der Eckpfeiler der Arbeit mit personenbezogenen Daten in Kundenbindungs-Geschäftsanwendungen. Kundenbindungsanwendungen bieten Flexibilität beim Erstellen einer Anwendungserweiterung rund um die Datenklassifizierung. Eine ordnungsgemäße Klassifizierung ermöglicht es Ihnen, Informationen als personenbezogene Daten zu identifizieren, sodass sie bei der Beantwortung von Anfragen einer betroffenen Person gefunden und abgerufen werden können. Sie kann auch die Einhaltung gesetzlicher und gesetzlicher Anforderungen für die Erhebung und Verwaltung personenbezogener Daten ermöglichen.

Microsoft bietet Funktionen, die Sie bei der Beantwortung von Anträgen betroffener Personen und damit beim Zugriff auf Kundendaten unterstützen. Es liegt jedoch in Ihrer Verantwortung sicherzustellen, dass personenbezogene Daten ordnungsgemäß gespeichert und klassifiziert werden.

Dynamics 365 Kundenbindungsanwendungen (wie zuvor referenziert) stellen mehrere Methoden bereit, mit denen Sie in Datensätzen nach personenbezogenen Daten suchen können, z. B.: Erweiterte Suche und Suche nach Datensätzen. Diese Funktionen ermöglichen es Ihnen, personenbezogene Daten zu identifizieren (zu finden).

In Dynamics 365 for Marketing haben Sie die folgenden zusätzlichen Funktionen:

  1. Erstellen von Power BI-Berichten, um Kundendaten zu filtern und zu identifizieren.
  2. Nutzen Sie die Insight-Ansichten für Kontakte und Objekte der Marketingversion, um zusätzliche Datenpunkte zu identifizieren, die Kundendaten enthalten können.

Dynamics 365 Commerce, Dynamics 365 Finance und Dynamics 365 Supply Chain Management bieten Ihnen mehrere Möglichkeiten, nach Kundendaten zu suchen. Als Mandantenadministrator können Sie die folgenden Aktionen durchführen, um nach Kundendaten zu suchen:

  • Sie können Ihre Kundendaten so organisieren, dass sie dem schnellen Auffinden personenbezogener Daten dienen. Hier finden Sie Informationen dazu, wie Sie den Datenbestand klassifizieren.
  • Verwenden des Personensuchberichts, um personenbezogene Daten zu suchen und zu erfassen.
  • Erweitern des Personensuchberichts durch Erstellen einer neuen Entität oder Erweitern einer vorhandenen Entität.
  • Verwenden Sie Such- und Filterfunktionen, um bestimmte personenbezogene Daten zu finden und diese mit Hilfe der Microsoft Office-Exportfunktion zu exportieren, oder drucken Sie diese Informationen mit Hilfe von Browsererweiterungen in ein .pdf-Format.
  • Erstellen Sie ein benutzerdefiniertes Formular, das personenbezogene Daten sucht und exportiert.
  • Erstellen Sie ein externes Portal oder eine externe Website, das bzw. die es einem authentifizierten Kunden ermöglicht, seine personenbezogenen Daten einzusehen.

Wenn Sie die unten aufgeführten Dynamics 365 Commerce E-Commerce-Add-Ons verwenden, lesen Sie die folgenden Ressourcen für zusätzliche Prozesse bei Anträgen betroffener Personen.

Dynamics 365 Business Central bietet ihnen mehrere Möglichkeiten, nach Kundendaten zu suchen. Einzelheiten hierzu finden Sie unter Suchen, Filtern und Sortieren von Daten.

Dynamics 365 Human Resources bietet erweiterte Such- und Filterfunktionen zum Auffinden bestimmter personenbezogener Daten sowie Microsoft Office Export-Funktionen zum Exportieren oder Drucken dieser Informationen in einen .pdf mithilfe von Browsererweiterungen.

Bereitstellen einer Kopie von Kundendaten

Kundendaten in Dynamics 365 Customer Engagement-Anwendungen (wie zuvor referenziert) können mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Kundendaten können in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Mit Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Dynamics 365 Kundenbindungsanwendungsdatensätze können auch über die Microsoft Dataverse-Web-API exportiert werden.

Darüber hinaus wird für Dynamics 365 für Marketing eine dedizierte API bereitgestellt, mit der Kunden Erweiterungen erstellen können, die zusätzliche Datensätze erfasster Kundeninteraktionen abrufen, die möglicherweise personenbezogene Daten enthalten. Die API lädt alle relevanten Informationen aus dem Back-End-System und setzt sie in einem einzigen, portablen Dokument zusammen.

Kundendaten in Dynamics 365 Commerce, Dynamics 365 Finance und Dynamics 365 Supply Chain Management können mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Unter Verwendung von Datenverwaltungs- und Integrationsentitäten kann der Mandantenadministrator bereitgestellte Entitäten verwenden, neue Entitäten erstellen oder bestehende Entitäten für einen wiederholbaren Export personenbezogener Daten nach Excel oder einer Reihe anderer gängiger Formate unter Verwendung von Datenimport- und -exportaufträgen erweitern. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Werden Kundendaten nach Excel exportiert, können Sie die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und die Datei dann in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Sie können auch denPersonensuchbericht verwenden, um der betroffenen Person Daten zur Verfügung zu stellen, die Sie als personenbezogene Daten klassifiziert haben.

In Dynamics 365 Business Central können Sie zwei Funktionen nutzen, um einer betroffenen Person eine Kopie von Kundendaten zur Verfügung zu stellen:

Sie können Kundendaten in eine Excel-Datei exportieren. In Excel können Sie dann die Kundendaten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.

In Dynamics 365 Personalwesen können Sie den Bericht zur Personensuche verwenden, um Informationen zur Unterstützung einer Anfrage nach einer Kopie der personenbezogenen Daten der betroffenen Person zu sammeln.

Berichtigen von Kundendaten

Dynamics 365 Kundenbindungsanwendungen bietet Ihnen die folgenden Methoden, um ungenaue oder unvollständige Kundendaten zu korrigieren oder Kundendaten zu löschen:

  • Suchen Sie mithilfe der unter "Suchen von Kundendaten" erwähnten Funktionen nach Kundendaten, und bearbeiten Sie Daten direkt in Kundenbindungsanwendungen. Änderungen können auf einer einzigen Zeilenebene oder direkt in mehreren Zeilen vorgenommen werden.
  • Sie können das Microsoft Office-Add-In verwenden, um Daten nach Microsoft Excel zu exportieren, Ihre Änderungen vorzunehmen und diese geänderten Daten dann aus Excel in Kundenbindungsanwendungen zu importieren.

In Dynamics 365 Commerce, Dynamics 365 Finance und Dynamics 365 Supply Chain Management können Sie auch Anpassungstools verwenden, aber die Entscheidung und Implementierung liegt in Ihrer Verantwortung.

Dynamics 365 Business Central bietet zwei Möglichkeiten, ungenaue oder unvollständige Kundendaten zu korrigieren.

Um mehrere Business Central-Datensätze schnell per Massenbearbeitung zu bearbeiten, können Sie Listen mithilfe des Business Central Excel-Add-Ins nach Excel exportieren, um mehrere Datensätze zu korrigieren, und dann die geänderten Daten aus Excel in Business Central veröffentlichen. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.

Sie können Kundendaten, die in einem beliebigen Feld gespeichert sind, z. B. Informationen über einen Kunden in der Kundenkarte, ändern, indem Sie das Datenelement, das die betroffenen personenbezogenen Daten enthält, manuell bearbeiten. Für Details siehe Eingabe von Daten.

Kurzer Hinweis zum Ändern von Einträgen in geschäftlichen Transaktionen

Transaktionsdatensätze wie allgemeine, Kunden- und Steuerbucheinträge sind für die Integrität eines Enterprise-Ressourcenplanungssystems unerlässlich. Personenbezogene Daten, die Teil einer Finanz- oder sonstigen Transaktion sind, werden "unverändert" aufbewahrt, um Finanzgesetze (z. B. Steuergesetze), Betrugsprävention (z. B. Sicherheitsüberwachungspfad) oder Einhaltung branchenspezifischer Zertifizierungen einzuhalten. Daher schränken Dynamics 365 Commerce, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Human Resources und Dynamics 365 Business Central das Ändern von Daten in solchen Datensätzen ein.

Wenn Sie personenbezogene Daten für Dynamics 365 Business Central in Geschäftstransaktionsdatensätzen speichern, besteht die einzige Möglichkeit, die Verarbeitung personenbezogener Daten zu korrigieren, zu löschen oder einzuschränken, um der Anforderung einer betroffenen Person nachzubestehen, die Anpassungsfunktionen zu verwenden. Die Entscheidung, eine Änderungsanfrage einer betroffenen Person zu berücksichtigen und deren Umsetzung zu übernehmen, liegt in Ihrer Verantwortung.

Einschränken der Verarbeitung von Kundendaten

Wenn Sie einen Antrag einer betroffenen Person auf Einschränkung der Verarbeitung von Kundendaten erhalten, können Sie die betroffenen Kundendaten einfach aus dem Onlinedienst extrahieren und in einem separaten Container (d. h. Vor-Ort-Speicherung oder separater Webdienst mit Datenisolierung) speichern, der von den Verarbeitungsfunktionen einer beliebigen Cloud-Anwendung isoliert ist.

Ein alternativer Mechanismus wie der Datenverarbeitungsblock wird von Dynamics 365 Business Central angeboten, bei dem Benutzern die Möglichkeit geboten wird, die Daten einer bestimmten betroffenen Person zu blockieren. Einzelheiten finden Sie unter Einschränken der Datenverarbeitung für eine betroffene Person. Wenn ein Datensatz als gesperrt markiert ist, stellt Dynamics 365 Business Central die Verarbeitung der Kundendaten der betroffenen Person ein. Sie können keine neuen Transaktionen anlegen, die einen gesperrten Datensatz verwenden; z. B. können Sie keine neue Rechnung für einen Kunden erstellen, wenn entweder der Kunde oder der Verkäufer gesperrt ist.

Löschen von Kundendaten

Wenn eine betroffene Person Sie auffordert, ihre Kundendaten zu löschen, gibt es mehrere Möglichkeiten, dies zu tun:

  • Für die Massenverarbeitung mehrerer Dynamics 365-Berichte können Sie das Microsoft Office-Add-In verwenden, um Daten nach Microsoft Excel zu exportieren, Ihre Änderungen vorzunehmen und die geänderten Daten aus Excel in den Onlinedienst zu importieren.
  • Sie können Kundendaten löschen, die in einem beliebigen Feld gespeichert sind, indem Sie die Daten suchen, die Sie löschen möchten, und dann das Datenelement, das die Zielkundendaten enthält, manuell löschen, z. B. durch die Verwendung einer endgültigen Löschung im Kontaktdatensatz, der die betroffene Person darstellt, und anderen Datensätzen, die personenbezogene Daten enthalten.

Darüber hinaus wird durch das Löschen eines Kontakts für Dynamics 365 Marketing sichergestellt, dass auch ausgehende Marketinginteraktionsdaten mit personenbezogene Daten entfernt werden. Für alle benutzerdefinierten Felder oder Entitäten müssen Sie Ihr System so anpassen, dass es alle Kundendaten aus zugehörigen Datensätzen löscht und/oder deren Verknüpfung mit dem Kontaktdatensatz löscht, sodass alle personenbezogenen Daten entfernt werden. Kunden, die das Echtzeit-Marketingmodul verwenden, sollten auch ein Supportticket mit ihrer Löschanfrage erstellen, und Microsoft entfernt alle Echtzeitinteraktionsdaten gemäß den Anweisungen des Kunden. Weitere Informationen finden Sie im Entwicklerhandbuch (Marketing).

Alternativ können Sie in Dynamics 365 Commerce, Dynamics 365 Finance und Dynamics 365 Supply Chain ManagementAnpassungstools verwenden, um Kundendaten zu löschen/zu ändern.

Wenn sie in Dynamics 365 Business Central von einer betroffenen Person aufgefordert wird, ihre personenbezogenen Daten zu löschen, die in Ihren Kundendaten enthalten sind, gibt es mehrere Möglichkeiten, diese Anfrage zu behandeln:

  • Um mehrere Business Central-Datensätze schnell per Massenbearbeitung zu bearbeiten, können Sie Daten mithilfe des Business Central Excel-Add-Ins nach Excel exportieren, um mehrere Datensätze zu löschen, und diese Änderungen dann aus Excel wieder in Business Central veröffentlichen. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.
  • Sie können in jedem Feld gespeicherte Kundendaten löschen, indem Sie das Datenelement, das die Zielkundendaten enthält, manuell löschen. Für Details siehe Eingabe von Daten.
  • Sie können Kundendaten direkt löschen, indem Sie z. B. einen Kontakt löschen und anschließend den Batchauftrag „Protokolleinträge zu abgebrochenen Interaktionen löschen“ ausführen, um Interaktionen für diesen Kontakt zu löschen.
  • Sie können Dokumente löschen, die Kundendaten enthalten, z. B. Notizen und gebuchte Verkaufs- und Eingangsrechnungen.

Beachten Sie neben dem Massen- oder Einzellöschen diskreter Datensätze, dass nur gekündigte Mitarbeiter vollständig aus Dynamics 365 für Personalwesen gelöscht werden können. Führen Sie die folgenden Schritte aus, um gekündigte Worker zu löschen.

Exportieren von Kundendaten

Um auf eine Datenportabilitätsanforderung zu reagieren, können Kundendaten in Dynamics 365 Customer Engagement-Anwendungen mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Kundendaten können in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Mit Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern.

Darüber hinaus wird für Dynamics 365 für Marketing eine dedizierte API bereitgestellt, mit der Kunden Erweiterungen erstellen können, die zusätzliche Datensätze erfasster Kundeninteraktionen abrufen, die möglicherweise personenbezogene Daten enthalten. Die API lädt alle relevanten Informationen aus dem Back-End-System und setzt sie in einem einzigen, portablen Dokument zusammen.

Dynamics 365 Commerce, Dynamics 365 Finance und Dynamics 365 Supply Chain Management bietet Datenverwaltungs- und Integrationsentitäten, die bereitgestellte Entitäten, neu erstellte Entitäten oder erweiterte Entitäten für einen wiederholbaren Export personenbezogener Daten nach Excel oder eine Reihe anderer gängiger Formate mitDatenimport- und -exportaufträge. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Werden Kundendaten auf diese Weise nach Excel exportiert, können Sie die personenbezogenen Daten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und die Datei dann in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern.

Sowohl Dynamics 365 for Finance and Operations als auch Dynamics 365 Human Resources bieten einen Personensuchbericht an, um der betroffenen Person Daten zur Verfügung zu stellen, die Sie als personenbezogene Daten klassifiziert haben.

Dynamics 365 Business Central bietet die folgenden Features:

  • Sie können Kundendaten in eine Excel-Datei exportieren. In Excel können Sie dann die Kundendaten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.
  • Sie können Kundendaten in eine Excel-Datei exportieren. In Excel können Sie dann die Kundendaten, die in den Antrag auf Datenübertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format, wie z. B. CSV oder XML, speichern. Weitere Informationen finden Sie unter Exportieren Ihrer Geschäftsdaten nach Excel.

Anträge betroffener Personen für andere Dynamics 365 Anwendungen

DsR-Prozesse für Power Platform-Anwendungen

Teil 2: Reagieren auf Anträge betroffener Personen für vom System generierte Protokolle

Microsoft bietet Ihnen außerdem die Möglichkeit, auf vom System erzeugte Protokolle zuzugreifen, sie zu exportieren und zu löschen, die nach der weit gefassten Definition der DSGVO als "personenbezogene Daten" gelten können. Beispiele für vom System generierte Protokolle, die unter der DSGVO als personenbezogen angesehen werden können:

  • Daten zu Produkt- und Dienstnutzung, z. B. Aktivitätsprotokolle
  • Suchanfragen und Abfragedaten von Benutzern
  • Daten, die durch Produkte und Dienste als Produkt der Systemfunktionalität und Interaktion von Benutzern oder anderen Systemen erzeugt werden

Die Möglichkeit, Daten in vom System generierten Protokollen einzuschränken oder zu korrigieren, wird nicht unterstützt. Daten in vom System generierten Protokollen geben auf Fakten basierende Aktionen innerhalb der Microsoft-Cloud sowie Diagnosedaten wieder, und Änderungen an diesen Daten würden die historische Erfassung von Aktionen kompromittieren und das Betrugs- und Sicherheitsrisiko erhöhen.

Zugreifen auf und Exportieren von vom System generierte(n) Protokolle(n)

Mandantenadministratoren können auf vom System generierte Protokolle zugreifen, die der Verwendung von Dynamics 365 Diensten und Anwendungen durch einen bestimmten Benutzer zugeordnet sind. Vom System generierte Protokolle können von Mandantenadministratoren mithilfe des Microsoft-Datenprotokollexports exportiert werden. Details finden Sie auf der Seite DSGVO: Anträge betroffener Personen (DSRs) im Microsoft Trust Center, und wählen Sie unter DsR-Administratortoolsdie Option Weitere Informationen zum Datenprotokollexport aus.

Nachdem Sie eine neue Anforderung erstellt haben, wird sie im Azure-Portal auf der Seite Benutzeranforderungen verwalten aufgeführt, auf der Sie die status nachverfolgen können. Nachdem eine Anforderung abgeschlossen ist, können Sie auf einen Link klicken, um auf die vom System generierten Protokolle zuzugreifen, die innerhalb von 30 Tagen nach dem Erstellen der Anforderung in den Azure Storage-Standort Ihres organization exportiert wurden. Die Daten werden in gängigen, maschinenlesbaren Dateiformaten wie JSON oder XML gespeichert. Wenn Sie nicht über ein Azure-Konto und keinen Azure Storage-Standort verfügen, müssen Sie ein Azure-Konto und/oder einen Azure Storage-Standort für Ihre organization erstellen, damit das Datenprotokollexporttool die vom System generierten Protokolle exportieren kann.

Wichtig

Sie müssen ein Mandantenadministrator sein, um Benutzerdaten aus dem Mandanten exportieren können.

Die folgende Tabelle fasst den Zugriff auf und den Export von vom System generierten Protokollen zusammen:

Frage Answer
Wie lange benötigt das Tool für den Datenprotokollexport von Microsoft, um eine Anforderung abzuschließen? Dies kann von mehreren Faktoren abhängen. In den meisten Fällen sollte es in ein oder zwei Tagen abgeschlossen sein, aber es kann bis zu 30 Tage dauern.
Welches Format weist die Ausgabe auf? Die Ausgabe ist in maschinenlesbaren Dateien, z. B. XML, CSV oder JSON, strukturiert.
Welche Daten werden durch das Tool für den Datenprotokollexport ausgegeben? Das Tool für den Datenprotokollexport gibt vom System generierte Protokolle aus, die Microsoft speichert. Die exportierten Daten umfassen mehrere Microsoft-Dienste, einschließlich Office 365, Azure und Dynamics.
*Wer hat Zugriff auf das Tool für den Datenprotokollexport und kann Zugriffsanforderungen für vom System generierte Protokolle senden? Globale Administratoren von Dynamics 365 haben Zugriff auf das DSGVO-Hilfsprogramm zur Verwaltung von Protokollen.
Wie werden Daten an den Benutzer zurückgegeben? Die Daten werden an den Azure Storage-Standort Ihres organization exportiert. Es liegt an den Administratoren in Ihrem organization, zu bestimmen, wie diese Daten benutzern angezeigt bzw. zurückgegeben werden.
Wie werden Daten in vom System generierten Protokollen dargestellt? Beispiel für ein vom System generiertes Protokoll im JSON-Format:

"DateTime": "2017-04-28T12:09:29-07:00",
"AppName": "SharePoint",
"Action": "OpenFile",
"IP": "154.192.13.131",
"DevicePlatform": "Windows 1.0.1607"

Löschen von vom System generierten Protokollen

Um vom System generierte Protokolle zu löschen, die über eine DsR-Anforderung abgerufen wurden, müssen Sie den Benutzer aus dem Dienst entfernen und sein Microsoft Entra Konto endgültig löschen. Durch die dauerhafte Löschung eines Benutzerkontos werden die Daten des Benutzers – mit Ausnahme von Daten, die für die Sicherheit und die Stabilität des Dienstes wesentlich sind – innerhalb von 30 Tagen aus vom System generierten Protokollen für fast alle Dynamics 365-Dienste entfernt. Weitere Informationen zu den Verwaltungstools für anträge betroffene Personen im Microsoft Entra Admin Center finden Sie auf der Seite DSGVO: Anträge betroffener Personen (DSRs) im Microsoft Trust Center.

Weitere Informationen