Anträge betroffener Personen im Rahmen der DSGVO und des CCPA

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO.

In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden. Dieses Dokument führt Sie zu Informationen zur Bearbeitung von Anfragen von betroffenen Personen (Datensubjekten) im Rahmen der DSGVO unter Verwendung von Microsoft-Produkten und -Diensten.

Begrifflichkeiten

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:

  • Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Kundendaten: Daten, die bei den tagtäglichen Geschäftsausführung erstellt und gespeichert werden.

Was sind Anfragen von betroffenen Personen?

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) räumt natürlichen Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht ein, vom Arbeitgeber oder einer anderen Einrichtung oder Organisation ( Datenverantwortlicher oder Verantwortlicher) erhobene personenbezogene Daten zu verwalten. Die DSGVO gewährt betroffenen Personen bestimmte Rechte an ihren personenbezogenen Daten. Es sind dies das Recht auf Erhalt einer Kopie dieser Daten, das Recht auf Korrektur der Daten, das Recht auf Beschränkung der Bearbeitung dieser Daten und das Recht auf Empfang dieser Daten in einem elektronischen Format, sodass sie an einen anderen Verantwortlichen übermittelt werden können.

Der California Consumer Privacy Act (CCPA) bietet den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGVO entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen.

Als Verantwortlicher sind Sie verpflichtet, jede Datensubjektanfrage sofort zu überprüfen und darauf zu reagieren, und zwar entweder, indem Sie die angeforderte Maßnahme ergreifen oder indem Sie erläutern, warum der Anfrage der betroffenen Person seitens des Verantwortlichen nicht nachgekommen werden kann. Ein Verantwortlicher sollte sich mit seinen eigenen Rechts- oder Complianceberatern hinsichtlich der geeigneten Disposition bezüglich einer bestimmten Datensubjektanfrage beraten.

Es sind möglicherweise mehrere Prozesse involviert, um eine Datensubjektanfrage entsprechend der DSGVO-Complianceregeln Ihrer Organisation zu erfüllen.

  • Ermittlung. Der Vorgang, mit dem ermittelt wird, welche Daten zum Erfüllen einer Datensubjektanfrage erforderlich sind.
  • Zugriff. Abrufen der ermittelten Daten und deren potenzielle Übermittlung an das Datensubjekt.
  • Berichtigung. Implementieren von Änderungen oder andere angeforderte Änderungen der personenbezogenen Daten.
  • Einschränkung. Ändern des Zugriffs oder der Verarbeitung von personenbezogenen Daten durch Einschränken des Zugriffs oder Entfernen von Daten aus der Microsoft-Cloud.
  • Export. Bereitstellen personenbezogener Daten in einem „strukturierten, häufig verwendeten, maschinell lesbaren Format“ an die betroffene Person gemäß dem „Recht auf Datenübertragbarkeit“ gemäß DSGVO.
  • Delete Permanentes Entfernen personenbezogener Daten aus der Microsoft-Cloud.

Spezifische Überlegungen zu Datensubjektanfragen

Von Microsoft-Produkten oder -Diensten generierte Erkenntnisse

Erkenntnisse können durch Dienste (Viva Personal Insights usw.) generiert werden. Office 365 umfasst Onlinedienste, die Benutzern und Organisationen, die sie verwenden, Erkenntnisse liefern. Die von diesen Diensten generierten Daten erzeugen möglicherweise personenbezogene Daten, die für eine Datensubjektanfrage relevant sind. Folgen Sie dem Link in der nachstehenden Liste, um Details zu dienstspezifischen Datensubjektanfrage-Prozessen anzuzeigen.

Datensubjektanfragen bezüglich vom System generierten Protokollen

Protokolle und zugehörige Daten, die von Microsoft generiert werden, können Daten enthalten, die gemäß der DSGVO-Definition als "personenbezogene Daten" gelten. Das Einschränken oder Berichtigen von Daten in vom System generierten Protokollen wird nicht unterstützt. Daten in vom System generierten Protokollen geben auf Fakten basierende Aktionen innerhalb der Microsoft-Cloud sowie Diagnosedaten wieder. Änderungen würden die historische Erfassung von Aktionen kompromittieren und das Betrugs- und Sicherheitsrisiko erhöhen. Microsoft bietet die Möglichkeit, auf vom System generierte Protokolle zuzugreifen, sie zu exportieren und zu löschen, wenn dies zur Erfüllung einer Datensubjektanfrage erforderlich ist. Beispiele für solche Daten sind unter anderem:

  • Daten zu Produkt- und Dienstnutzung, z. B. Aktivitätsprotokolle
  • Suchanfragen und Abfragedaten von Benutzern
  • Daten, die durch Produkte und Dienste infolge der Systemfunktionalität und Interaktion von Benutzern oder anderen Systemen erzeugt werden.

Viva Engage und Kaizala

Durch das Löschen eines Benutzerkontos werden vom System generierte Protokolle für Viva Engage und Kaizala nicht entfernt. Wenn Sie die Daten aus diesen Anwendungen entfernen möchten, lesen Sie eine der folgenden Ressourcen:

Nationale Clouds

In einigen nationalen Clouds muss ein globaler IT-Administrator vom System generierte Protokolle löschen.

Microsoft Services

Wenn Ihre organization oder Benutzer mit Microsoft in Kontakt treten, um Support in Bezug auf Microsoft-Produkte und -Dienste zu erhalten, können einige dieser Daten personenbezogene Daten enthalten. Weitere Informationen finden Sie unter Microsoft-Support und Professional Services für Anfragen von betroffenen Personen im Rahmen der DSGVO.

Produkte, deren Datenverantwortlicher Microsoft ist

Unter bestimmten Umständen greifen die Benutzer Ihrer Organisation auf Microsoft-Produkte oder -Dienste zu, für die Microsoft der Datenverantwortliche ist. In diesen Fällen müssen Ihre Benutzer die eigenen Datensubjektanfragen direkt an Microsoft stellen, und Microsoft erfüllt die Anforderungen direkt an den Benutzer.

Produkte von Drittanbietern

Datensubjektanfragen für Produkte und Dienste von Drittanbietern, auf die über die Microsoft-Kontoauthentifizierung zugegriffen wird, sollten direkt an den entsprechenden Drittanbieter gerichtet werden.

Werkzeuge zur Verwaltung von Anträgen betroffener Personen

Weitere Informationen