Individueller Datenschutz mit der Microsoft Cloud

Sehen Sie sich den Webcast „Individueller Datenschutz mit der Microsoft Cloud“ an, und erfahren Sie mehr über wesentliche Themen zur Datenschutz-Grundverordnung (DSGVO) – sowie dazu, wie Microsoft 365 und die Microsoft Cloud Sie bei der Compliance Ihres Unternehmens unterstützen.

Registrieren Sie sich für den Webcast

DSGVO – häufig gestellte Fragen

Um Sie und Ihr Unternehmen bei der Vorbereitung auf die DSGVO zu unterstützen, haben wir eine Liste mit häufig gestellten Fragen zusammengestellt.

Allgemein

Alle erweitern

Ja. Die DSGVO sieht vor, dass Verantwortliche (wie z. B. Unternehmen, die die Onlinedienste für Unternehmen von Microsoft nutzen) nur mit Auftragsverarbeitern (wie z. B. Microsoft) zusammenarbeiten, die hinreichend Garantien dafür bieten, die Anforderungen der DSGVO zu erfüllen. Microsoft sichert dies allen Volumenlizenzkunden als Teil ihrer Verträge proaktiv zu.

Die vertraglichen Verpflichtungen von Microsoft in Bezug auf die DSGVO finden Sie in den Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge von Microsoft umfassen die Online Services-Nutzungsbedingungen, die die zentralen Zusicherungen von Microsoft in Bezug auf Datenschutz und Sicherheit enthalten, die Bedingungen zur Datenverarbeitung, die EU-Standardvertragsklauseln sowie unsere Bedingungen zur DSGVO. In den Bedingungen zur DSGVO verpflichtet sich Microsoft, die Anforderungen an Auftragsverarbeiter gemäß Artikel 28 sowie anderen Artikeln der DSGVO zu erfüllen. Die Bedingungen der DSGVO finden Sie in Anhang 4 der Online Services-Nutzungsbedingungen am Ende des Dokuments. Microsoft weitet die Zusicherungen der Bedingungen zur DSGVO auf alle Volumenlizenzkunden aus, unabhängig von der jeweiligen Version der Online Services-Nutzungsbedingungen der einzelnen Kunden.

Microsoft-Tools und Dokumente unterstützen Sie bei der DSGVO-Compliance – z. B. bei Rechteanfragen von betroffenen Personen, bei Datenschutz-Folgenabschätzungen und bei der gemeinsamen Behebung von Datenschutzverletzungen. Besuchen Sie die Seite zur DSGVO-Compliance im Service Trust Portal.

Die Bedingungen zur DSGVO von Microsoft spiegeln die Anforderungen an Auftragsverarbeiter gemäß Artikel 28 wieder. Artikel 28 verpflichtet Auftragsverarbeiter zu Folgendem:

  • Weitere Auftragsverarbeiter nur mit Zustimmung des Verantwortlichen zu beauftragen und für diese weiteren Auftragsverarbeiter zu haften.
  • Personenbezogene Daten nur auf Anweisung des Verantwortlichen zu verarbeiten, u. a. in Bezug auf deren Übermittlung.
  • Sicherzustellen, dass sich Personen, die personenbezogene Daten verarbeiten, der Vertraulichkeit verpflichtet haben.
  • Geeignete technische und organisatorische Maßnahmen zu implementieren, um einen entsprechenden Schutz personenbezogener Daten sicherzustellen.
  • Verantwortliche zu unterstützen, ihrer Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachzukommen.
  • Den Anforderungen zur Meldung von Datenschutzverletzungen und zur Unterstützung in diesen Fällen nachzukommen.
  • Die Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen und die Aufsichtsbehörden zu konsultieren.
  • Personenbezogene Daten nach Abschluss der Erbringung der Dienstleistungen zu löschen oder zurückzugeben.
  • Die Verantwortlichen mit Nachweisen in Bezug auf die Einhaltung der DSGVO zu unterstützen.

Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe der Online Services-Nutzungsbedingungen in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist.

Als der EU-US Privacy Shield vereinbart wurde, war Microsoft das erste Unternehmen, das das Übereinkommen unterzeichnete. Sehen Sie sich die Zertifizierung zum Privacy Shield von Microsoft an, und lesen Sie die Online Services-Nutzungsbedingungen. Das EU-US Privacy Shield unterstützt Kunden beim Übertragen ihrer Daten in die USA in Übereinstimmung mit ihren Verpflichtungen zum Datenschutz.

Als globales Unternehmen mit Kunden in fast allen Ländern der Welt verfügt Microsoft über ein breites Compliance-Portfolio, das der Unterstützung unserer Kunden dient. In der Liste mit unseren Compliance-Angeboten finden Sie alle unsere diesbezüglichen Angebote, einschließlich FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud usw.

Alle erweitern

Die DSGVO erlegt Unternehmen, die personenbezogene Daten erfassen oder verarbeiten, verschiedene Anforderungen auf. Sie müssen u. a. sechs zentrale Grundsätze einhalten:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz bei der Verarbeitung und Verwendung personenbezogener Daten. Sie müssen den betroffenen Personen klar mitteilen, wie sie ihre personenbezogenen Daten nutzen, und benötigen eine rechtmäßige Basis, um diese Daten zu verarbeiten.
  • Die Verarbeitung personenbezogener Daten ist auf festgelegte, eindeutige und legitime Zwecke beschränkt. Sie dürfen personenbezogene Daten nicht in einer Weise weiterverarbeiten oder offenlegen, die mit den Zwecken, zu denen die Daten ursprünglich erfasst wurden, nicht vereinbart werden kann.
  • Die Erfassung und Speicherung personenbezogener Daten wird auf das Maß beschränkt, das dem Zweck angemessen und dafür notwendig ist (Datenminimierung).
  • Die Richtigkeit personenbezogener Daten ist sicherzustellen, und es muss möglich sein, diese zu löschen oder zu berichtigen. Sie müssen die erforderlichen Maßnahmen ergreifen, damit die gespeicherten personenbezogenen Daten korrekt sind und im Falle von Fehlern berichtigt werden können.
  • Speicherbegrenzung in Bezug auf personenbezogene Daten. Unternehmen müssen sicherstellen, dass sie personenbezogene Daten so lange aufbewahren, wie es für die Zwecke, für die sie erfasst wurden, erforderlich ist.
  • Sicherstellen der Sicherheit, Integrität und Vertraulichkeit personenbezogener Daten. Unternehmen müssen die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, damit personenbezogene Daten geschützt sind.

Sie müssen die spezifischen Verpflichtungen Ihres Unternehmens in Bezug auf die DSGVO kennen und wissen, wie Sie diese einhalten. Microsoft unterstützt Sie auf Ihrem Weg zur DSGVO-Compliance.

Weitere Informationen über die EU-Datenschutz-Grundverordnung (DSGVO) finden Sie unter www.microsoft.com/gdpr. Wenn Sie erfahren möchten, wie bestimmte Microsoft-Produkte Sie auf Ihrem Weg zur DSGVO-Compliance unterstützen, lesen Sie die Abschnitte zu Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 und Windows 10.

Die DSGVO sichert EU-Bürgern über eine Reihe von „Betroffenenrechten“ die Kontrolle über ihre personenbezogenen Daten zu. Dies beinhaltet folgende Rechte:

  • Zugriff auf Informationen über die Verwendung personenbezogener Daten
  • Zugriff auf die von einem Unternehmen aufbewahrten personenbezogenen Daten
  • Löschung oder Berichtigung fehlerhafter personenbezogener Daten
  • Berichtigung und Löschung personenbezogener Daten unter bestimmten Umständen (auch bezeichnet als „das Recht auf Vergessenwerden“)
  • Einschränken oder Verweigern der automatischen Verarbeitung personenbezogener Daten
  • Erhalten einer Kopie der gespeicherten personenbezogenen Daten

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ja, die DSGVO gilt sowohl für Auftragsverarbeiter als auch für Verantwortliche. Verantwortliche dürfen nur Auftragsverarbeiter einsetzen, die entsprechende Maßnahmen ergreifen, um die Anforderungen der DSGVO zu erfüllen.

Unter der DSGVO haben Auftragsverarbeiter im Vergleich zur Datenschutzrichtlinie zusätzliche Pflichten und sind haftbar, wenn sie diese nicht einhalten oder wenn sie nicht gemäß den Anweisungen des Verantwortlichen handeln. Die Pflichten von Auftragsverarbeitern umfassen u. a.:

  • Verarbeitung von Daten ausschließlich gemäß den Anweisungen des Verantwortlichen
  • Verwenden geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten
  • Unterstützung des Verantwortlichen bei Anfragen betroffener Personen
  • Sicherstellen, dass beauftragte Verarbeiter diese Anforderungen erfüllen

Unternehmen können Strafen von bis zu 20 Millionen Euro oder 4 % des jährlichen weltweiten Umsatzes erhalten, je nachdem, was höher ist, wenn sie bestimmte Anforderungen der DSGVO nicht einhalten. Zusätzliche individuelle Maßnahmen können Ihr Risiko erhöhen, wenn Sie Anforderungen der DSGVO nicht einhalten.

Dies hängt von mehreren in der DSGVO genannten Faktoren ab. Gemäß Artikel 37 der DSGVO müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn: (a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, (b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder (c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Die Einhaltung der DSGVO kostet die meisten Unternehmen Zeit und Geld. Die Umstellung dürfte jedoch reibungsloser für Unternehmen ablaufen, die ein gut strukturiertes Clouddienstmodell verwenden und ein wirksames Data-Governance-Programm haben.

Alle erweitern

Die DSGVO regelt das Erfassen, Speichern, Verwenden und Weitergeben „personenbezogener Daten“. Personenbezogene Daten sind im Rahmen der DSGVO als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Personenbezogene Daten umfassen u. a. Online-Kennungen (z. B. IP-Adressen), Mitarbeiterdaten, Vertriebsdatenbanken, Kundenservicedaten, Kundenfeedbackformulare, Standortdaten, biometrische Daten, Überwachungsvideos, Kundentreuedaten oder Gesundheits- und Finanzinformationen usw. Sie können auch Informationen umfassen, die nicht personenbezogen scheinen (wie etwa ein Foto einer Landschaft, auf dem keine Personen abgebildet sind), wenn diese Informationen mithilfe einer Kundennummer oder einem eindeutigen Code mit einer identifizierbaren Person verknüpft sind.

Beachten Sie, dass für die Verarbeitung einiger „besonderer“ Kategorien personenbezogener Daten (wie etwa personenbezogener Daten, aus denen die ethnische Herkunft einer Person hervorgeht oder die sich auf deren Gesundheitszustand oder sexuelle Orientierung beziehen) strengere Regeln gelten als für die Verarbeitung „gewöhnlicher“ personenbezogener Daten.

Diese Auswertung personenbezogener Daten ist sehr faktenspezifisch, weshalb wir Ihnen empfehlen, zur Evaluierung Ihrer spezifischen Umstände einen Experten zu Rate zu ziehen.

Ja. Die DSGVO gilt sowohl für Unternehmen, die Daten für eigene Zwecke erfassen und verarbeiten („Verantwortliche“), als auch für Unternehmen, die Daten im Auftrag anderer verarbeiten („Auftragsverarbeiter“), auch wenn jeweils etwas andere Regeln gelten. Darin unterscheidet sie sich von der bisherigen Datenschutzrichtlinie, die nur für Verantwortliche gilt.

Personenbezogene Daten sind alle Informationen in Bezug auf eine identifizierte oder identifizierbare Person. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden. Personenbezogene Daten umfassen:

Beispiele personenbezogener Daten sind u. a.:

    Identität
  • Name
  • Private Adresse
  • Geschäftsadresse
  • Telefonnummer
  • Mobiltelefonnummer
  • E-Mail-Adresse
  • Nummer des Reisepasses
  • Personalausweisnummer
  • Sozialversicherungsnummer (oder Ähnliches)
  • Führerschein
  • Physische, physiologische oder genetische Informationen
  • Medizinische Informationen
  • Kulturelle Identität
Finanzdaten
  • Bankverbindung/Kontonummern
  • Steuernummer
  • Geschäftsadresse
  • Kreditkartennummer/EC-Kartennummer
  • Beiträge in sozialen Netzwerken
Onlineartefakte
  • Beiträge in sozialen Netzwerken
  • IP-Adresse (EU-Raum)
  • Standort/GPS-Daten
  • Cookies

Ja, mit der DSGVO gelten jedoch strenge Regelungen in Bezug auf die Übertragung personenbezogener Daten von EU-Bürgern in Länder außerhalb des Europäischen Wirtschaftsraums. Sie müssen unter Umständen bestimmte rechtliche Mittel wie etwa Verträge einführen oder ein Zertifizierungsverfahren umsetzen, damit solche Übertragungen möglich sind. Die von Microsoft verwendeten Verfahren werden in den Online Services-Nutzungsbedingungen beschrieben.

Wenn berechtigte Gründe für eine weitere Verarbeitung und Aufbewahrung der Daten bestehen, wie etwa „zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert“ (Artikel 17 Absatz 3(b)), räumt die DSGVO ein, dass die Aufbewahrung von Daten erforderlich ist. Konsultieren Sie jedoch einen Rechtsberater, um sicherzustellen, dass unter anderem die Gründe für die Aufbewahrung der Daten gegen die Rechte und Freiheiten der betroffenen Personen und deren Erwartungen zur Zeit der Datenerfassung abgewogen wurden.

In der DSGVO wird Verschlüsselung als Schutzmaßnahme beschrieben, die personenbezogene Daten im Falle einer Datenschutzverletzung unleserlich macht. Die Anforderungen für eine Benachrichtigung über einen Verstoß gegen persönliche Datenrechte werden also davon beeinflusst, ob eine Verschlüsselung angewendet wurde oder nicht. Die EU-Datenschutz-Grundverordnung verweist zudem in einigen Fällen je nach Risiko auf die Verschlüsselung als geeignete technische oder organisatorische Maßnahme. Verschlüsselung ist auch eine Anforderung des Payment Card Industry Data Security Standard und Teil der strikten Compliance-Richtlinien, die für die Finanzdienstleistungsbranche gelten. Microsoft-Produkte und ‑Dienste wie Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database und Windows 10 bieten leistungsstarke Verschlüsselungsmechanismen für Daten während der Übertragung sowie für ruhende Daten (Data-in-Transit und Data-at-Rest).

Erhalte ich von FastTrack im Rahmen eines FastTrack-Engagements Empfehlungen zur DSGVO-Compliance?

Die DSGVO ändert die Anforderungen an den Datenschutz und legt strengere Pflichten für Verantwortliche und Auftragsverarbeiter in Bezug auf das Melden von Datenschutzverletzungen fest. Unter dem neuen Gesetz muss der Auftragsverarbeiter den Verantwortlichen unverzüglich über eine derartige Datenschutzverletzung in Kenntnis setzen, sobald er davon erfährt. Wenn ein Verantwortlicher einen Verstoß zur Kenntnis nimmt, muss er die zuständige Schutzbehörde innerhalb von 72 Stunden benachrichtigen. Falls der Verstoß ein hohes Risiko für die Rechte und Freiheit von Einzelpersonen darstellt, müssen die Verantwortlichen zudem unverzüglich die betroffenen Einzelpersonen verständigen. Weitere Informationen zu diesem Thema werden von der Artikel-29-Datenschutzgruppe erarbeitet.

Microsoft-Produkte und -Dienste wie Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 und Windows 10 bieten Lösungen, die Ihnen beim Erkennen und Bewerten von Sicherheitsbedrohungen und -verstößen sowie beim Erfüllen der in der DSGVO festgelegten Verpflichtungen zur Meldung von Datenschutzverletzungen helfen.

Alle erweitern

Microsoft FastTrack ist ein Servicevorteil*, der unsere Kunden dabei unterstützen soll, mit der Microsoft Cloud schneller geschäftlichen Mehrwert zu erzielen. FastTrack unterstützt Sie bei Folgendem:

  • Migrieren von E-Mails und Inhalten und Optimieren von Microsoft 365-Diensten
  • Bereitstellen und sicheres Verwalten von Geräten
  • Stärken Ihres Unternehmens und der Einführung bei Anwendern

Microsoft FastTrack ist ein laufender und wiederholt abrufbarer Servicevorteil, der unseren Kunden zur Verfügung steht und von Entwicklern und Experten von Microsoft bereitgestellt wird, um unsere Kunden oder Partner bei der Planung, Einarbeitung und Förderung der Einführung/Verwendung sowie bei einem sicheren Wechsel in die Cloud in ihrem eigenen Tempo zu unterstützen.

Wir unterstützen unsere Kunden bei spezifischen Bereitstellungen und der Migration zu unseren Onlinediensten. Dabei hat sich Microsoft für FastTrack verpflichtet, zum Zeitpunkt der Anwendbarkeit der DSGVO am 25. Mai 2018 DSGVO-konform zu sein. Als Teil des FastTrack-Servicevorteils arbeiten wir auch mit den bestehenden Partnern unserer Kunden zusammen oder kontaktieren die Partner für Unterstützung bei der Bereitstellung und Einführung.

Weitere Informationen finden Sie unter https://FastTrack.Microsoft.com.

* Der „Servicevorteil“ gilt als professioneller Dienst, wie in den Online Services-Nutzungsbedingungen und im MBSA definiert.

Die FastTrack-Entwickler und -Spezialisten sind Experten für die Planung der Szenarien und des Geschäftsnutzens, den unsere Kunden oder Partner erreichen möchten. Im Mittelpunkt stehen dabei die Planung, Bereitstellung und optimierte Einführung von Produkten und Diensten, damit unsere Kunden oder Partner ihre Ziele erreichen. Auf der Trust Center-Website erfahren Sie mehr darüber, wie die Produkte und Dienste von Microsoft Sie auf Ihrem Weg zur DSGVO-Compliance unterstützen. Wir empfehlen unseren Kunden und Partnern, mit einem Rechtsexperten zusammenzuarbeiten, um zu erörtern, wie die DSGVO speziell für ihr Unternehmen gilt und wie sie ihre Umsetzung und Einhaltung am besten gewährleisten.

Wir empfehlen unseren Kunden, mit eigenen Rechts- und Complianceteams die Anforderungen der DSGVO in Bezug auf Verschlüsselung sowie die allgemeinen Anforderungen zu bestimmen. Die DSGVO-Compliance ist je nach den erfassten Kundendaten, den Nutzungsszenarien und den Branchensektoren und -vektoren unterschiedlich.

Microsoft FastTrack ist ein Service, mit dem schnellere Bereitstellungen, ein höherer ROI und eine stärkere Akzeptanz von Microsoft-Produkten und -Diensten bei Mitarbeitern und Anwendern erreicht werden sollen. Wenn Kunden oder Partner über Microsoft FastTrack eine Anfrage in Bezug auf Unterstützung übermitteln, beginnen wir daher damit, die Microsoft-Produkte und -Dienste für unsere Kunden oder Partner entsprechend bereitzustellen.

Als Teil des FastTrack-Diensts arbeiten wir auch mit den bestehenden Partnern unserer Kunden zusammen oder kontaktieren die Partner für Unterstützung bei der Bereitstellung und Einführung. Weitere Informationen über auf die DSGVO spezialisierte Partner, die andere Microsoft-Partner auf dem Weg zur Compliance unterstützen (wie auf der Trust Center-Seite zur DSGVO beschrieben), finden Sie hier. Bewerten Sie anhand der Webseite zur Trusted Cloud/DSGVO, ob Sie auf die DSGVO vorbereitet sind und wie Sie die DSGVO-Compliance mit der Microsoft Cloud beschleunigen. Verwenden Sie Microsoft FastTrack, wenn Sie Unterstützung bei der Bereitstellung benötigen.

Ressourcen

Finden Sie einen Partner

Finden Sie einen Partner

Microsoft arbeitet mit Partnern auf der ganzen Welt zusammen, um Kunden bei der DSGVO zu unterstützen. Mehrere Partner bieten Microsoft-Lösungen an, die die DSGVO-Anforderungen erfüllen. In der folgenden Liste finden Sie Partner, die derzeit DSGVO-Unterstützung bieten.


Liste der globalen DSGVO-Partner anzeigen

Videos

Microsoft arbeitet mit Partnern auf der ganzen Welt zusammen, um Kunden bei der DSGVO zu unterstützen. Mehrere Partner bieten Microsoft-Lösungen an, die die DSGVO-Anforderungen erfüllen. In der folgenden Liste finden Sie Partner, die derzeit DSGVO-Unterstützung bieten.

Szenario für die Untersuchung einer Datenschutzverletzung

Video zur Untersuchung einer Datenschutzverletzung ansehen

Microsoft zu Vertrauen, Datenschutz und der DSGVO

Microsoft zu Vertrauen, Datenschutz und der DSGVO

Bewerten Sie noch heute Ihre DSGVO-Bereitschaft