Benachrichtigung über DSGVO-Verstöße

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO. Dieses Dokument führt Sie zu Informationen zur Bearbeitung von Benachrichtigungen über Verstöße gegen die DSGVO unter Verwendung von Microsoft-Produkten und -Diensten.

Was stellt eine Verletzung personenbezogener Daten im Rahmen der DSGVO dar?

Personenbezogene Daten beziehen sich auf alle Informationen im Zusammenhang mit einer Person, die verwendet werden können, um diese Person direkt oder indirekt zu identifizieren. Eine Verletzung personenbezogener Daten stellt „einen Sicherheitsverstoß dar, der zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt“.

Begrifflichkeiten

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:

• Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
• Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Kundendaten: Daten, die während des regulären Geschäftsbetriebs erstellt und gespeichert werden.

Microsoft und Benachrichtigungen bei Datenschutzverletzungen

Microsoft nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst. Ein Sicherheitsvorfall/eine Datenverletzung bezieht sich auf Ereignisse wie rechtswidrige Zugriffe auf Kundendaten, die auf einem Microsoft-Gerät oder in Microsoft-Einrichtungen gespeichert sind, oder auf unbefugte Zugriffe, die zum Verlust, zur Offenlegung oder zur Änderung von Kundendaten führen können.

Als Datenverarbeiter stellt Microsoft sicher, dass die Kunden unserer Dienste die Anforderungen der DSGVO an Benachrichtigungen bei Datenschutzverletzungen als Datenverantwortliche erfüllen können. Unsere Benachrichtigung enthält die Informationen, die erforderlich sind, um diese Einschätzung durchführen zu können. Microsoft benachrichtigt Kunden über jegliche Verletzung personenbezogener Daten, mit Ausnahme von Fällen, in denen personenbezogene Daten nicht lesbar sind (z. B. verschlüsselte Daten, bei denen die Integrität der Schlüssel bestätigt ist).

Die Datenverantwortlichen sind dafür verantwortlich, die Datenschutzrisiken zu bewerten und zu beurteilen, ob ein Kunde über eine Datenschutzverletzung benachrichtigt werden muss. Microsoft stellt die erforderlichen Informationen zusammen mit der DSGVO-Compliancerichtlinie bereit, damit diese Einschätzung durchgeführt werden kann.

Die anfängliche Benachrichtigung umfasst eine Beschreibung der Art der Datenschutzverletzung, die ungefähren Auswirkungen auf die Benutzer und sinnvolle Maßnahmen (sofern zutreffend). Wenn unsere Untersuchung zum Zeitpunkt der ersten Benachrichtigung noch nicht abgeschlossen ist, geben wir an, was wir als nächstes tun werden und wann Sie wieder von uns hören. Weitere Informationen darüber, wie Microsoft eine Verletzung des Schutzes personenbezogener Daten erkennt und darauf reagiert, finden Sie im Service Trust Portal unter Benachrichtigung bei Datenschutzverletzungen im Rahmen der DSGVO.

Details zur Benachrichtigung über Datenschutzverletzungen für bestimmte Microsoft-Produkte und -Dienste finden Sie nachstehend.

1. Office 365

   Microsoft investiert umfassend in Systeme, Prozesse und Mitarbeiter, um die Wahrscheinlichkeit von Verletzungen des Schutzes personenbezogener Daten zu verringern, und Verletzungen, wenn sie auftreten, schnell zu erkennen und ihre Auswirkungen zu mindern. Weitere Details finden Sie unter Office 365-Investitionen in Datensicherheit.

   Möglicherweise stellt ein Kunde eine Datenschutzverletzung fest und möchte Microsoft informieren. Benachrichtigen Sie in diesem Fall den Microsoft-Support, der dann Kontakt mit den Entwicklungsteams aufnimmt, um weitere Informationen zu erhalten.

2. Azure und Dynamics 365

   Microsoft verfügt über einen rund um die Uhr verfügbaren weltweiten Notfalldienst, der dafür verantwortlich ist, die Auswirkungen von Angriffen auf Microsoft Azure und Dynamics 365 abzufangen.

   • Erkennung von Datenschutzverletzungen: Da sowohl Microsoft als auch der Kunde Sicherheitsverpflichtungen haben, basieren die Azure-Dienste auf einem Modell der gemeinsamen Verantwortung, um sicherheitstechnische und geschäftliche Verantwortlichkeiten zu definieren. Microsoft überwacht und reagiert nicht auf Sicherheitsvorfälle im Zuständigkeitsbereich des Kunden. Im Fall von Datenschutzverletzungen können Kunden mit dem Kundensupport von Azure zusammenarbeiten, sofern entsprechende Dienstverträge bestehen. Microsoft Azure bietet auch verschiedene Dienste (z. B. Microsoft Defender für Cloud), die Kunden für die Entwicklung und Verwaltung der Reaktion auf Sicherheitsvorfälle nutzen können.

     Eine Liste der Ereignisse, die eine Untersuchung einer Datenschutzverletzung in Microsoft Azure auslösen, finden Sie unter Erkennung potenzieller Sicherheitsverletzungen. Die Seite Azure und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO enthält weitere Informationen dazu, wie Microsoft Sicherheitsvorfälle in Azure untersucht, verwaltet und darauf reagiert.

   • Reaktion auf Datenschutzverletzungen: Microsoft bestimmt geeignete Prioritäts- und Schweregrade einer Datenschutzverletzung durch eine Untersuchung der funktionellen Auswirkungen, der Wiederherstellbarkeit und der Beeinträchtigung von Daten durch den Vorfall. Die Prioritäten und Schweregrade können sich im Verlauf der Untersuchung aufgrund neuer Erkenntnisse und Schlussfolgerungen ändern. Das Microsoft-Team für die Reaktion auf Sicherheitsvorfälle arbeitet eng mit weltweit tätigen Rechtsberatern zusammen, um sicherzustellen, dass die Forensik unter Einhaltung der gesetzlichen Verpflichtungen und Zusagen gegenüber dem Kunden ausgeführt wird. Diese Prozesse sind unter Reaktion auf Datenschutzverletzungen in Azuredetailliert beschrieben.

   • Kundenbenachrichtigung: Microsoft Azure benachrichtigt Kunden und Aufsichtsbehörden bei Bedarf über Datenschutzverstöße. Ab dem Zeitpunkt, an dem wir eine Datenschutzverletzung deklarieren, vergehen nicht mehr als 72 Stunden, bis wir unsere Kunden informieren, mit Ausnahme der folgenden Situationen:

     • Microsoft ist der Meinung, dass eine Benachrichtigung das Risiko für andere Kunden erhöht.
     • Im Verlauf des 72-Stunden-Zeitlimits ergeben sich möglicherweise neue Erkenntnisse zum Vorfall. Diese Details werden Ihnen bei im Verlauf der Untersuchung bereitgestellt.

     Weitere Details finden Sie unter Kundenbenachrichtigung.

3. Microsoft-Support und Professional Services
   Aufgrund der Arbeitsweise von Professional Services fallen einige Datenschutzvorfälle in den Zuständigkeitsbereich des Kunden. Wenn Microsoft Professional Services einen Datenschutzvorfall identifiziert, wird der dokumentierte, standardmäßige Reaktionsplan der Branche befolgt, der unter Umfang und Grenzen des Prozesses für die Reaktion auf Datenschutzverletzungen beschrieben ist.

4. Windows

   Die Konfiguration des Windows-Diagnosedatenprozessors nutzt die Clouddienstinfrastruktur und integrierte Sicherheitsfeatures, um die Daten zu schützen. Microsoft verfügt über einen globalen 24x7-Dienst zur Reaktion auf Vorfälle, der die Auswirkungen von Angriffen auf die Konfiguration von Microsoft Azure- und Windows-Diagnosedatenprozessoren verringert.

Administratortools zur Benachrichtigung bei Sicherheitsverletzungen

• Legen Sie den Datenschutzkontakt organization fest: Mandantenadministratoren können das Microsoft Entra Admin Center verwenden, um den Datenschutzkontakt Ihrer organization zu definieren, falls Microsoft mit ihnen kommunizieren muss.

Weitere Informationen

• Microsoft Trust Center