Datenschutz-Folgenabschätzungen im Rahmen der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Details finden Sie im Artikel DSGVO-Zusammenfassung. Dieses Dokument bietet Ihnen Informationen bezüglich Datenschutz-Folgenabschätzungen unter der DSGVO, während Sie Microsoft-Produkte und -Dienste verwenden.
Begrifflichkeiten
Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:
- Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
- Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Kundendaten: Daten, die bei Ihrer tagtäglichen Geschäftsausführung erstellt und gespeichert werden.
Was ist Datenschutz-Folgenabschätzung?
Unter der DSGVO sind Datenverantwortliche dazu aufgerufen, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Vorgänge vorzubereiten, die „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen“. Microsoft-Produkte und -Dienste enthalten nichts, für das eine DPIA erstellt werden muss. Da Microsoft-Produkte und-Dienste jedoch hochgradig anpassbar sind, kann je nach den Details Ihrer Microsoft-Konfiguration eine DPIA erforderlich sein. Microsoft hat keine Kontrolle über und wenig oder gar keine Einsichten in solche Informationen. Sie als Datenverantwortlicher müssen die geeignete Verwendung der Daten ermitteln.
Angewendete DPIA
Der DPIA-Leitfaden gilt für Office 365, Azure, Dynamics 365 und Microsoft-Support sowie Professional Services. Der Leitfaden umfasst Folgendes:
Wann ist eine DPIA erforderlich?
Die nachstehend aufgeführten Risikofaktoren sollten bei den Überlegungen zur Durchführung einer DPIA berücksichtigt werden. Weitere potenzielle Faktoren und weitere Details finden Sie in Teil 1 der einzelnen Richtlinien.
- Eine systematische und umfassende Auswertung von Daten auf der Grundlage einer automatisierten Verarbeitung.
- Verarbeitung spezieller Kategorien von Daten (Daten, aus denen Informationen hervorgehen, anhand derer eine natürliche Person eindeutig identifiziert werden kann) bzw. personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
- Systematische Überwachung eines öffentlich zugänglichen Bereichs.
In der DSGVO wird klargestellt: "Die Verarbeitung personenbezogener Daten sollte nicht als in großem Umfang betrachtet werden, wenn es sich bei der Verarbeitung um personenbezogene Daten von Patienten oder Kunden durch einen einzelnen Arzt, einen anderen Gesundheitsberuf oder einen Anwalt handelt. In solchen Fällen sollte eine Datenschutz-Folgenabschätzung nicht obligatorisch sein."
Was ist für die Durchführung einer Datenschutzfolgenabschätzung erforderlich?
Eine DPIA sollte spezifische Informationen zur beabsichtigten Verarbeitung bereitstellen. Darauf wird in Teil 2 des Leitfadens genauer eingegangen. Dazu gehören:
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck der DPIA.
- Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen.
- Vorgesehene Maßnahmen zum Umgang mit den Risiken, Sicherheitsvorkehrungen, Sicherheitsmaßnahmen und Mechanismen zur Sicherstellung des Schutzes personenbezogener Daten und zur Veranschaulichung der Einhaltung des DSGVO.
- Zwecke der Verarbeitung
- Kategorien verarbeiteter personenbezogener Daten
- Datenaufbewahrung
- Speicherort und Übermittlung personenbezogener Daten
- Teilen von Daten mit Dritten
- Teilen von Daten mit unabhängigen Dritten
- Rechte betroffener Personen
Weitere Überlegungen
Nachstehend finden Sie spezifische Details, die für Ihre Microsoft-Implementierung relevant sein können.
- Office 365: Dieses Dokument gilt für Office 365 Anwendungen und Dienste, einschließlich, aber nicht beschränkt auf Exchange Online, SharePoint, Viva Engage, Skype for Business und Power BI. Weitere Details finden Sie in den Tabellen 1 und 2.
- Azure: Kunden sind dazu angehalten, mit Ihren Datenschutzbeauftragten und Rechtsberatern zu arbeiten, um die Notwendigkeit und Inhalte aller DPIAs zu ermitteln, die mit der Verwendung von Microsoft Azure verbunden sind.
- Dynamics 365: Der Inhalt einer DPIA kann je nach Dynamics 365 Tools variieren, die Sie verwenden. Spezifische Details finden Sie in Teil 2 – Inhalte einer DPIA.
- Windows: Dieses Dokument gilt für die Konfiguration für die Verarbeitung von Windows-Diagnosedaten. Kunden sind dazu angehalten, mit Unterstützung ihrer Datenschutzbeauftragten und Rechtsberater die Notwendigkeit und Inhalte von DPIAs zu ermitteln, die mit der Verwendung der Konfiguration für die Verarbeitung von Windows-Diagnosedaten verbunden sind.
- Microsoft-Support und Professional Services: Professional Services führt keine bestimmte routinemäßige oder automatisierte Datenverarbeitung durch und ist auch nicht dazu bestimmt, spezielle Kategorien zu verarbeiten oder Aufgaben auszuführen, die die Überwachung öffentlich zugänglicher Daten erleichtern oder erfordern. Details hierzu finden Sie in Teil 1 – Bestimmen, ob eine DPIA erforderlich ist. Die Verantwortlichen müssen die oben genannten DPIA-Elemente sowie alle anderen relevanten Faktoren im Kontext der spezifischen Implementierungen und Verwendungen von Professional Services durch den Verantwortlichen berücksichtigen. Informationen zu Professional Services finden Sie in Teil 2 – Inhalte einer DPIA.