Melden von Datenschutzverletzungen gemäß DSGVO

Erfahren Sie, wie Microsoft Verletzungen des Schutzes personenbezogener Daten erkennt und abwehrt und Kunden gemäß DSGVO darüber informiert.

Bei einem Verstoß gegen den Schutz personenbezogener Daten sieht die DSGVO eine Meldepflicht für Datenverantwortliche und Datenverarbeiter vor. Die geltenden Vorschriften sind im Folgenden beschrieben. Außerdem wird erläutert, wie Microsoft vorgeht, um Datenschutzverletzungen im Vorfeld zu verhindern, zu erkennen und Sie als Datenverantwortlichen zu informieren.


Wissenswertes über Datenschutzverletzungen und Onlinedienste

Microsoft Professional Services

Administratortools

Benennen Sie einen Datenschutzbeauftragten in Ihrem Unternehmen. Mandantenadministratoren können im Azure Active Directory-Verwaltungsportal festlegen, wer in Datenschutzfragen von Microsoft kontaktiert wird.

Häufig gestellte Fragen zur Meldepflicht von Datenschutzverletzungen

Im Folgenden finden Sie wichtige Fragen und Antworten zur Meldepflicht von Datenschutzverletzungen:
|

Personenbezogene Daten sind alle Informationen über eine Person, die dazu verwendet werden können, die Person direkt oder indirekt zu identifizieren. Eine Verletzung des Schutzes personenbezogener Daten stellt "einen Sicherheitsverstoß dar, der zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt".

Im Fall einer Verletzung personenbezogener Daten, die voraussichtlich die Rechte und Freiheiten von Personen gefährdet (z. B. Diskriminierung, Identitätsdiebstahl, Betrug, finanzielle Schäden oder Rufschädigung) sind Sie gemäß DSGVO zu Folgendem verpflichtet:
  • Benachrichtigen Sie die zuständige Datenschutzbehörde binnen 72 Stunden nach Bekanntwerden des Vorfalls – beispielsweise, nachdem Sie von Microsoft benachrichtigt wurden. Wenn Sie die Datenschutzbehörde innerhalb dieses Zeitraums nicht benachrichtigen, müssen Sie hierzu eine Erklärung gegenüber der Behörde abgeben. Dies ist auch dann erforderlich, wenn das Risiko für Personen nicht hoch ist.
  • Benachrichtigen Sie die betroffenen Personen unverzüglich über die Datenschutzverletzung.
  • Dokumentieren Sie den Verstoß, einschließlich einer Beschreibung der Art der Verletzung – z. B. wie viele Personen betroffen waren, die Anzahl betroffener Datensätze, die Auswirkungen der Verletzung sowie alle Abhilfemaßnahmen, die Ihr Unternehmen vorschlägt oder ergriffen hat.

Nachdem wir von einer Verletzung personenbezogener Daten erfahren haben, sind wir gemäß DSGVO verpflichtet, Sie unverzüglich zu informieren. Wenn Microsoft Datenverarbeiter ist, spiegeln unsere Verpflichtungen sowohl die DSGVO-Anforderungen als auch unsere standardmäßigen, weltweiten Vertragsbestimmungen wider. Nach unserer Auffassung gilt dies für alle bestätigten Verletzungen personenbezogener Daten und unabhängig vom potenziellen Schadensrisiko. Wir informieren unsere Kunden darüber, ob die Verletzung personenbezogener Daten bei Microsoft selbst oder bei einem unserer Unterauftragsverarbeiter aufgetreten ist. Wir haben Prozesse implementiert, durch die wir die Sicherheitsbeauftragten in Ihrem Unternehmen schnell identifizieren und kontaktieren können. Darüber hinaus sind alle Unterauftragsverarbeiter vertraglich verpflichtet, Verletzungen personenbezogener Daten in ihren eigenen Systemen an Microsoft zu melden und dahingehende Garantien zu geben.

Alle unsere Dienste und Mitarbeiter befolgen interne Incident Management-Verfahren, um Datenschutzverletzungen mithilfe geeigneter Sicherheitsmaßnahmen bereits im Vorfeld zu vermeiden. Darüber hinaus haben wir für Onlinedienste plattformübergreifende Sicherheitskontrollen implementiert, um Datenschutzverletzungen (falls dieser seltene Fall eintreten sollte) zu erkennen.

Falls ein Verstoß gegen den Schutz personenbezogener Daten erkannt wird, bietet Microsoft folgende Unterstützung:
  • Sicherheitspersonal, das in den notwendigen Verfahren geschult ist
  • Richtlinien, Verfahren und Kontrollen, um sicherzustellen, dass Microsoft über detaillierte Aufzeichnungen verfügt. Dazu gehören die Dokumentation des Vorfalls, seiner Auswirkungen und der Abhilfemaßnahmen sowie das Nachverfolgen und Speichern der Informationen in unseren Incident Management-Systemen.

Microsoft verfügt über Richtlinien und Verfahren, um Sie umgehend zu informieren. Damit Sie Ihrer behördlichen Meldepflicht nachkommen können, dokumentieren wir den Prozess, durch den wir feststellen, ob ein Verstoß gegen den Schutz personenbezogener Daten vorliegt, die Art der Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen.