Anträge betroffener Personen im Rahmen der DSGVO und des CCPA
Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Details finden Sie im Artikel DSGVO-Zusammenfassung.
In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden. Dieses Dokument führt Sie zu Informationen zur Bearbeitung von Anfragen von betroffenen Personen (Datensubjekten) im Rahmen der DSGVO unter Verwendung von Microsoft-Produkten und -Diensten.
- Office 365
- Azure
- Intune
- Dynamics 365
- Visual Studio-Produktfamilie
- Azure DevOps Services
- Microsoft-Support und Professional Services
- Windows
- Windows 365
Begrifflichkeiten
Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:
- Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
- Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Kundendaten: Daten, die bei den tagtäglichen Geschäftsausführung erstellt und gespeichert werden.
Was sind Anfragen von betroffenen Personen?
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) räumt natürlichen Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht ein, vom Arbeitgeber oder einer anderen Einrichtung oder Organisation ( Datenverantwortlicher oder Verantwortlicher) erhobene personenbezogene Daten zu verwalten. Die DSGVO gewährt betroffenen Personen bestimmte Rechte an ihren personenbezogenen Daten. Es sind dies das Recht auf Erhalt einer Kopie dieser Daten, das Recht auf Korrektur der Daten, das Recht auf Beschränkung der Bearbeitung dieser Daten und das Recht auf Empfang dieser Daten in einem elektronischen Format, sodass sie an einen anderen Verantwortlichen übermittelt werden können.
Der California Consumer Privacy Act (CCPA) bietet den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGVO entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen.
Als Verantwortlicher sind Sie verpflichtet, die einzelnen Anträge betroffener Personen unverzüglich zu prüfen und eine inhaltliche Antwort zu geben, indem Sie entweder die angeforderte Aktion ergreifen oder eine Erklärung dafür bereitstellen, warum der DsR vom Verantwortlichen nicht berücksichtigt werden kann. Ein Verantwortlicher sollte sich mit seinen eigenen Rechts- oder Complianceberatern hinsichtlich der geeigneten Disposition bezüglich einer bestimmten Datensubjektanfrage beraten.
Es sind möglicherweise mehrere Prozesse involviert, um eine Datensubjektanfrage entsprechend der DSGVO-Complianceregeln Ihrer Organisation zu erfüllen.
- Ermittlung. Der Vorgang, mit dem ermittelt wird, welche Daten zum Erfüllen einer Datensubjektanfrage erforderlich sind.
- Zugriff. Abrufen der ermittelten Daten und deren potenzielle Übermittlung an das Datensubjekt.
- Berichtigung. Implementieren von Änderungen oder andere angeforderte Änderungen der personenbezogenen Daten.
- Einschränkung. Ändern des Zugriffs oder der Verarbeitung von personenbezogenen Daten durch Einschränken des Zugriffs oder Entfernen von Daten aus der Microsoft-Cloud.
- Export. Bereitstellen personenbezogener Daten in einem „strukturierten, häufig verwendeten, maschinell lesbaren Format“ an die betroffene Person gemäß dem „Recht auf Datenübertragbarkeit“ gemäß DSGVO.
- Delete Permanentes Entfernen personenbezogener Daten aus der Microsoft-Cloud.
Spezifische Überlegungen zu Datensubjektanfragen
Von Microsoft-Produkten oder -Diensten generierte Erkenntnisse
Erkenntnisse können von Diensten (Viva Persönliche Erkenntnisse usw.) generiert werden. Office 365 umfasst Onlinedienste, die Benutzern und Organisationen, die sie verwenden, Erkenntnisse liefern. Die von diesen Diensten generierten Daten erzeugen möglicherweise personenbezogene Daten, die für eine Datensubjektanfrage relevant sind. Folgen Sie dem Link in der nachstehenden Liste, um Details zu dienstspezifischen Datensubjektanfrage-Prozessen anzuzeigen.
Datensubjektanfragen bezüglich vom System generierten Protokollen
Protokolle und zugehörige Daten, die von Microsoft generiert werden, können Daten enthalten, die gemäß der DSGVO-Definition als "personenbezogene Daten" gelten. Das Einschränken oder Berichtigen von Daten in systemgenerierten Protokollen wird nicht unterstützt. Daten in vom System generierten Protokollen geben auf Fakten basierende Aktionen innerhalb der Microsoft-Cloud sowie Diagnosedaten wieder. Änderungen würden die historische Erfassung von Aktionen kompromittieren und das Betrugs- und Sicherheitsrisiko erhöhen. Microsoft bietet die Möglichkeit, auf vom System generierte Protokolle zuzugreifen, sie zu exportieren und zu löschen, wenn dies zur Erfüllung einer Datensubjektanfrage erforderlich ist. Beispiele für solche Daten sind unter anderem:
- Daten zu Produkt- und Dienstnutzung, z. B. Aktivitätsprotokolle
- Suchanfragen und Abfragedaten von Benutzern
- Daten, die durch Produkte und Dienste infolge der Systemfunktionalität und Interaktion von Benutzern oder anderen Systemen erzeugt werden.
Viva Engage
Durch das Löschen eines Benutzerkontos werden vom System generierte Protokolle für Viva Engage nicht entfernt. Wenn Sie die Daten aus diesen Anwendungen entfernen möchten, lesen Sie eine der folgenden Ressourcen:
Nationale Clouds
In einigen nationalen Clouds muss ein globaler IT-Administrator vom System generierte Protokolle löschen.
Microsoft Services
Wenn Ihre organization oder Benutzer mit Microsoft in Kontakt treten, um Support in Bezug auf Microsoft-Produkte und -Dienste zu erhalten, können einige dieser Daten personenbezogene Daten enthalten. Weitere Informationen finden Sie unter Microsoft-Support und Professional Services für Anfragen von betroffenen Personen im Rahmen der DSGVO.
Produkte, deren Datenverantwortlicher Microsoft ist
Unter bestimmten Umständen greifen die Benutzer Ihrer Organisation auf Microsoft-Produkte oder -Dienste zu, für die Microsoft der Datenverantwortliche ist. In diesen Fällen müssen Ihre Benutzer die eigenen Datensubjektanfragen direkt an Microsoft stellen, und Microsoft erfüllt die Anforderungen direkt an den Benutzer.
Produkte von Drittanbietern
Datensubjektanfragen für Produkte und Dienste von Drittanbietern, auf die über die Microsoft-Kontoauthentifizierung zugegriffen wird, sollten direkt an den entsprechenden Drittanbieter gerichtet werden.
Werkzeuge zur Verwaltung von Anträgen betroffener Personen
- Security & Compliance Center: Vom Benutzer generierte Daten werden aus dem Security & Compliance Center oder durch anwendungsinterne Features exportiert.
- Microsoft Entra Admin Center: Löschen Sie eine betroffene Person mithilfe von Microsoft Entra Admin Center aus Microsoft Entra ID und verwandten Diensten.
- Microsoft-Datenprotokollexport: Vom System generierte Protokolle können von Mandantenadministratoren mithilfe von Microsoft-Datenprotokollexport exportiert werden.