Datenschutz-Folgenabschätzungen: Leitfaden für Datenverantwortliche, die Dynamics 365 und Power Platform verwenden
Gemäß der EU-Datenschutzgrundverordnung (DSGVO) müssen Datenverantwortliche eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Verarbeitungsvorgänge durchführen, die ‚voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben‘. Es gibt nichts, das Dynamics 365 und Power Platform innewohnt, das notwendigerweise die Erstellung einer DPIA durch einen Datenverantwortlichen erfordern würde, der sie verwendet. Ob eine DPIA erforderlich ist, hängt vielmehr davon ab, wie der Datencontroller Dynamics 365 oder Power Platform bereitstellt, konfiguriert und verwendet. In jedem Fall sollte eine DPIA frühzeitig im Leben eines Projekts beginnen und parallel zum Planungs- und Entwicklungsprozess ausgeführt werden.
Der Zweck dieses Dokuments besteht darin, datenverantwortlichen Datenverantwortlichen Informationen über Dynamics 365 und Power Platform bereitzustellen, die Ihnen helfen, festzustellen, ob Sie eine DPIA benötigen und, falls ja, welche Details enthalten sind.
Hinweis
Microsoft stellt in diesem Artikel keine Rechtsberatungen bereit. Dieser Artikel dient ausschließlich zu Informationszwecken. Kunden werden aufgefordert, mit ihren Datenschutzbeauftragten (und/oder Datenschutzbeauftragten (sofern vorgesehen) und/oder Rechtsberatern und/oder Beratern zusammenzuarbeiten, um die Notwendigkeit und den Inhalt von DPIAs im Zusammenhang mit ihrer Verwendung von Microsoft Dynamics 365, Power Platform oder einem anderen Microsoft-Onlinedienst zu ermitteln.
Teil 1: Ermitteln, ob eine Bewertung der Auswirkungen auf den Datenschutz (DPIA) erforderlich ist
Gemäß Artikel 35 der DSGVO muss ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen. "Hier ist eine Art der Verarbeitung, insbesondere unter Verwendung neuer Technologien, und unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen." Darüber hinaus werden bestimmte Faktoren aufgeführt, die auf ein hohes Risiko hindeuten, die in der folgenden Tabelle erläutert werden: Bei der Bestimmung, ob eine DPIA erforderlich ist, sollte ein Datenverantwortlicher diese Faktoren zusammen mit anderen relevanten Faktoren im Hinblick auf die spezifische Implementierung(en) und die Verwendung(en) von Dynamics 365 und Power Platform durch den Verantwortlichen berücksichtigen.
Risikofaktor | Relevante Informationen zu Dynamics 365 und Power Platform |
---|---|
Eine systematische und umfassende Bewertung von personenbezogenen Aspekten in Bezug auf natürliche Personen, die auf der automatisierten Datenverarbeitung, z. B. Profiling, basiert und die selbst als Grundlage von Entscheidungen dient, die rechtliche Folgen für die natürliche Person haben oder sie auf ähnliche bedeutende Weise betreffen; | Einige Dynamics 365- und Power Platform-Dienste führen bestimmte automatisierte Verarbeitungen von Daten durch, z. B. Lead- oder Verkaufschancenbewertung (z. B. Vorhersage der Wahrscheinlichkeit eines Verkaufs). Dynamics 365- und Power Platform-Dienste sind jedoch nicht für die Verarbeitung vorgesehen, auf der Entscheidungen basieren, die rechtliche oder ähnlich signifikante Auswirkungen auf Einzelpersonen haben. Da es sich bei Dynamics 365 und Power Platform jedoch um hochgradig anpassbare Dienste handelt, kann ein Datenverantwortlicher sie möglicherweise für eine solche Verarbeitung konfigurieren. Datenverantwortliche sollten diese Entscheidung basierend auf ihrer Nutzung von Dynamics 365 und Power Platform treffen. |
Umfangreiche Verarbeitung 1 besonderer Kategorien von Daten (personenbezogene Daten, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder Die Mitgliedschaft in einer Gewerkschaft offenlegen und die Verarbeitung von genetischen Daten, biometrischen Daten, die zur eindeutigen Identifizierung einer natürlichen Person verwendet werden, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person), oder von personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten; | Dynamics 365- und Power Platform-Dienste sind nicht für die Verarbeitung spezieller Kategorien personenbezogener Daten in großem Umfang konzipiert. Ein Datenverantwortlicher kann jedoch Dynamics 365 und Power Platform verwenden, um die aufgelisteten speziellen Kategorien von Daten zu verarbeiten. Darüber hinaus ist Dynamics 365 und Power Platform ein hochgradig anpassbarer Dienst, der es dem Kunden ermöglicht, personenbezogene Daten, einschließlich spezieller Kategorien personenbezogener Daten, nachzuverfolgen oder anderweitig zu verarbeiten. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Nutzung und hat in der Regel wenig oder gar keinen Einblick in diese Nutzung. |
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang | Dynamics 365 und Power Platform sind nicht darauf ausgelegt, eine solche Überwachung in großem Umfang durchzuführen oder zu ermöglichen. Jedoch kann ein Datenverantwortlicher es verwenden, um die durch eine solche Überwachung gesammelten Daten zu verarbeiten. Dynamics 365 und Power Platform sind hochgradig anpassbare Dienste, die es dem Kunden ermöglichen, jede Art von Daten, einschließlich Überwachungsdaten, nachzuverfolgen oder anderweitig zu verarbeiten. Als Datenverarbeiter hat Microsoft keine Kontrolle über eine solche Verwendung und hat nur wenig oder gar keinen Einblick in diese Verwendung. Es ist vom Datenverantwortlichen abhängig, die angemessene Verwendung der Daten des Datenverantwortlichen zu bestimmen. |
Hinweis
1 Bezüglich der Kriterien der umfassenden Verarbeitung von Daten wird in Absatz 91 der DSGVO Folgendes klar gestellt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein."
Teil 2: Inhalte einer Bewertung der Auswirkungen auf den Datenschutz (DPIA)
Artikel 35 Absatz 7 der DSGVO schreibt vor, dass eine Datenschutz-Folgenabschätzung die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Verarbeitung festlegt. Eine systematische Beschreibung in einer umfassenden DPIA kann Faktoren wie die Art der verarbeiteten Daten, die Dauer der Aufbewahrungsdauer der Daten, den Speicherort und die Übertragung der Daten und die Möglichkeit von Dritten umfassen, auf die Daten zugreifen zu können. Im Idealfall unterstützt ein Datenflussdiagramm die Beschreibung. Außerdem muss die DPIA Folgendes umfassen:
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke;
- Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen; Und
- Die Maßnahmen, die zur Bewältigung der Risiken verwendet werden, einschließlich Sicherheitsvorkehrungen, Sicherheitsmaßnahmen und Mechanismen, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung der DSGVO unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen nachzuweisen.
Die folgende Tabelle enthält Informationen zu Dynamics 365 und Power Platform, die für jedes dieser Elemente relevant sind. Wie in Teil 1 müssen die Datenverantwortlichen die unten angegebenen Details zusammen mit allen anderen relevanten Faktoren im Kontext der spezifischen Implementierung(en) des Datenverantwortlichen und der Verwendung(en) von Dynamics 365 oder Power Platform berücksichtigen.
Elemente einer DPIA | Relevante Informationen zu Dynamics 365 und Power Platform |
---|---|
Zweck(e) der Verarbeitung | Der Zweck der Verarbeitung von Daten mithilfe von Dynamics 365 und Power Platform wird durch den Controller bestimmt, der sie implementiert, konfiguriert und verwendet. Wie in den Produktbedingungen und dem Datenschutzzutrag für Microsoft-Produkte und -Dienste (DPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten, um dem Kunden Onlinedienste in Übereinstimmung mit den dokumentierten Anweisungen des Kunden zur Verfügung zu stellen. Wie im Nachtrag zum Datenschutz für Produktbedingungenund Produkte und Dienste (DPA) beschrieben, verwendet Microsoft personenbezogene Daten auch, um eine begrenzte Anzahl von Geschäftsvorgängen zu unterstützen. Microsoft ist verantwortlich für die Verarbeitung personenbezogener Daten zur Unterstützung dieser spezifischen Geschäftsvorgänge. Im Allgemeinen aggregiert Microsoft personenbezogene Daten, bevor sie für unsere Geschäftsvorgänge verwendet werden, wodurch Microsoft die Möglichkeit entbe, bestimmte Personen zu identifizieren. Microsoft verwendet personenbezogene Daten in der am wenigsten identifizierbaren Form, die die für den Geschäftsbetrieb erforderliche Verarbeitung unterstützt. Microsoft verwendet keine Kundendaten oder daraus abgeleiteten Informationen für die Profilerstellung oder für Werbung oder ähnliche kommerzielle Zwecke. Dynamics 365 ist eine Onlineplattform für die Verarbeitung, die über mehrere diskrete Onlinedienste verfügt, von denen jede unterschiedliche Zwecke der Verarbeitung hat. Beschreibungen der einzelnen Dynamics 365-Dienstangebote finden Sie hier und Power Platform-Dienstangebot hier. Dynamics 365 und Power Platform verarbeiten personenbezogene Daten nur, um Kunden ihre Onlinedienste zur Verfügung zu stellen, einschließlich der Zwecke, die mit der Bereitstellung dieser Dienste kompatibel sind. |
Kategorien verarbeiteter personenbezogener Daten |
Kundendaten: Alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die Kunden Microsoft zur Verfügung stellen oder die im Auftrag des Kunden durch die Verwendung von Microsoft Onlinedienste bereitgestellt werden. Darunter fallen auch Daten, die Kunden zum Speichern oder zur Verarbeitung hochladen, sowie auch Anpassungen. Dienstgenerierte Daten: Daten, die Microsoft generiert, wenn Sie einen Dienst betreiben, z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden. Professional Services-Daten: Alle Daten, einschließlich aller Text-, Ton-, Video-, Bilddateien oder Software, die Microsoft vom Kunden oder im Namen des Kunden (oder von dem Der Kunde autorisiert Microsoft, von einem Produkt zu beziehen) bereitgestellt oder anderweitig durch oder im Namen von Microsoft im Rahmen einer Zusammenarbeit mit Microsoft zur Beschaffung von Professional Services erhalten oder verarbeitet werden. Weitere Informationen zu daten, die von Dynamics 365 und Power Platform verarbeitet werden, finden Sie unter Produktbedingungen und Microsoft-Produkte und -Dienste – Nachtrag zum Datenschutz. |
Datenaufbewahrung | Microsoft speichert Kundendaten für die Dauer des Rechts des Kunden, den Dienst zu nutzen, bis alle Kundendaten gemäß den Anweisungen des Kunden oder den Bedingungen der Produktbedingungen und der Produkt- und Dienstleistungsdaten-Nachtrag (DPA) gelöscht oder zurückgegeben werden. Während der Laufzeit des Kundenabonnements hat der Kunde die Möglichkeit, auf in jedem Onlinedienst gespeicherte Kundendaten zuzugreifen und diese zu extrahieren. Microsoft speichert kundendaten, die im Onlinedienst in einem eingeschränkten Funktionskonto gespeichert sind, in der Regel 90 Tage nach Ablauf oder Kündigung des Kundenabonnements, damit der Kunde die Daten extrahieren kann. Nach Ablauf des Aufbewahrungszeitraums von 90 Tagen deaktiviert Microsoft das Kundenkonto und löscht die Kundendaten. Der Kunde kann Kundendaten und pseudonyme Daten jederzeit löschen, indem er die im Leitfaden zu Dynamics 365 und Power Platform-Datensubjekten beschriebenen Funktionen verwendet. |
Speicherort und Übermittlung personenbezogener Daten | Kunden haben die Möglichkeit, ruhende Kundendaten innerhalb bestimmter geografischer Regionen bereitzustellen, vorbehaltlich bestimmter Ausnahmen, die im Nachtrag zum Datenschutz für Produkte und Dienste (DPA) aufgeführt sind. Weitere Informationen zu Dienstbereitstellungen und Datenresidenz finden Sie im Microsoft Trust Center und im Artikel Dynamics 365 und Power Platform zum Datenspeicherort und -verfügbarkeit an Dynamics 365 Verfügbarkeits- und Datenspeicherorten sowie zur internationalen Verfügbarkeit von Microsoft Power Platform. Für personenbezogene Daten, die aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich übermittelt werden, stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale organization den in Artikel 46 der DSGVO beschriebenen angemessenen Garantien unterliegt. Zusätzlich zu den Verpflichtungen von Microsoft im Rahmen der Standardvertragsklauseln für Auftragsverarbeiter und anderer Modellverträge hält sich Microsoft weiterhin an die Bestimmungen des Datenschutzframeworks. |
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck | Eine solche Bewertung hängt vom Bedarf und dem Zweck der Verarbeitung des Datenverantwortlichen ab. Microsoft ergreift Maßnahmen wie die Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung von Geschäftsvorgängen verwendet werden, um die Bereitstellung der Dienste zu unterstützen, wodurch das Risiko einer solchen Verarbeitung für betroffene Personen, die den Dienst nutzen, minimiert wird. Die seitens Microsoft ausgeführte Datenverarbeitung dient dem Zweck, unsere Dienste dem Datenverantwortlichen des Kunden bereitzustellen. In diesem Zusammenhang ist sie notwendig und verhältnismäßig. |
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen | Die wichtigsten Risiken für die Rechte und Freiheiten betroffener Personen durch die Verwendung von Dynamics 365 oder Power Platform hängen davon ab, wie und in welchem Kontext der Datenverantwortliche diese implementiert, konfiguriert und verwendet. Microsoft ergreift Maßnahmen wie die Aggregation personenbezogener Daten, wenn sie zur Unterstützung von Geschäftsvorgängen verwendet werden, und verringert das Risiko einer solchen Verarbeitung für Datensubjekte, die den Dienst nutzen. Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft zum Umgang mit solchen Risiken ergreift, werden unten erläutert. |
Teilen von Daten mit Dritten | Microsoft gibt Daten an Dritte weiter, die als Unterauftragsverarbeiter fungieren (wie in der DSGVO definiert), um Funktionen wie Kunden- und technischen Support, Servicewartung und andere Vorgänge zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Kundendaten, Supportdaten oder personenbezogene Daten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die nicht weniger schützend sind als die Bedingungen im Nachtrag zum Datenschutz von Produktbedingungen und Produkten und Diensten (DPA). Alle Drittanbieter-Subunternehmer, mit denen Kundendaten aus den Kern-Online Services von Microsoft geteilt werden, sind in der Liste der Online Services-Subunternehmer enthalten. |
Rechte betroffener Personen | Wenn Microsoft als Datenverarbeiter tätig ist, stellt das Unternehmen seinen Kunden (den Datenverantwortlichen) die personenbezogenen Daten der betroffenen Person sowie die Möglichkeit bereit, Anfragen von betroffenen Person zu erfüllen, wenn diese ihre Rechte unter der DSGVO ausüben. Microsoft tut dies in einer Weise, die mit der Funktionalität des Produkts und unserer Rolle als Auftragsverarbeiter übereinstimmt. Wenn Microsoft eine Anfrage von den betroffenen Personen des Kunden erhält, eines oder mehrere seiner Rechte gemäß der DSGVO auszuüben, leiten wir die betroffene Person um, die Anfrage direkt an den Datenverantwortlichen zu stellen. Im Leitfaden zu Dynamics 365- und Power Platform-Datensubjektanforderungen finden Sie Informationen für Datenverantwortliche zur Unterstützung der Rechte betroffener Personen mithilfe der Funktionen in Dynamics 365 und Power Platform. Microsoft aggregiert personenbezogene Daten im Allgemeinen, bevor sie für unsere Geschäftsvorgänge verwendet werden, und ist nicht in der Lage, personenbezogene Daten für eine bestimmte Person insgesamt zu identifizieren. Dadurch wird das Datenschutzrisiko für den Einzelnen reduziert. Wenn Microsoft nicht in der Lage ist, die Person zu identifizieren, kann es die Rechte der betroffenen Person auf Zugriff, Löschung, Übertragbarkeit oder die Einschränkung oder Ablehnung der Verarbeitung nicht unterstützen. |
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden | Microsoft ist bestrebt, die Sicherheit von Kundendaten zu schützen. Die Sicherheitsmaßnahmen, die Microsoft ergreift, werden in den Produktbedingungen ausführlich beschrieben. Microsoft beachtet strenge Sicherheitsstandards und die branchenweit führende Methode zum Datenschutz. Microsoft verbessert seine Systeme kontinuierlich, um sich neuen Bedrohungen zu stellen. Weitere Informationen zu Cloudgovernance und Datenschutzpraktiken finden Sie auf der Seite Verwalten von Compliance in der Cloud im Trust Center . Microsoft trifft angemessene und geeignete technische und organisatorische Maßnahmen, um die von Microsoft verarbeiteten personenbezogenen Daten zu schützen. Zu diesen Maßnahmen gehören unter anderem interne Datenschutzrichtlinien und -praktiken, vertragliche Verpflichtungen sowie internationale und regionale Standardzertifizierungen. Weitere Informationen finden Sie auf der Seite Datenschutz im Trust Center. Eine detaillierte Liste der von Microsoft verwalteten Kontrollen (technische Und Geschäftsprozesskontrollen) für die von Dynamics 365 und Power Platform implementierte Sicherheit finden Sie im Service Trust Portal. Wenn Microsoft als Datenverarbeiter fungiert, erfüllt es außerdem alle anderen DSGVO-Verpflichtungen, die für Datenverarbeiter gelten. Wenn Microsoft personenbezogene Daten für seine Geschäftsvorgänge verarbeitet, erfüllt es die DSGVO-Verpflichtungen, die für Datenverantwortliche gelten. |