DSGVO – häufig gestellte Fragen

Um Sie und Ihr Unternehmen bei der Vorbereitung auf die DSGVO zu unterstützen, haben wir eine Liste mit häufig gestellten Fragen und – noch wichtiger – Antworten zusammengestellt.


|

Ja. Die DSGVO sieht vor, dass Verantwortliche (z. B. Unternehmen, die Microsoft Enterprise Online Services nutzen) nur mit Auftragsverarbeitern (z. B. Microsoft) zusammenarbeiten, die ausreichende Sicherheiten für die Einhaltung der zentralen DSGVO-Anforderungen bieten. Microsoft setzt sich proaktiv dafür ein, diesen Verpflichtung gegenüber allen Volumenlizenzkunden im Rahmen ihrer Verträge nachzukommen.

 

Die vertraglichen Verpflichtungen von Microsoft in Verbindung mit der DSGVO finden Sie auf der Übersichtsseite zur DSGVO unter "Kundenvereinbarungen".

 

Microsoft bietet Tools und Dokumente, die Sie bei der DSGVO-Compliance unterstützen, beispielsweise bei Auskunftsrechten betroffener Personen, Datenschutz-Folgenabschätzungen und der gemeinsamen Behebung von Datenschutzverletzungen. Besuchen Sie die Übersichtsseite zur DSGVO.

 

Die DSGVO-Bedingungen von Microsoft spiegeln die Anforderungen an Auftragsverarbeiter gemäß Artikel 28 wider. Artikel 28 verpflichtet Auftragsverarbeiter zu Folgendem:

  • Weitere Auftragsverarbeiter nur mit Zustimmung des Verantwortlichen zu beauftragen und für diese weiteren Auftragsverarbeiter zu haften
  • Personenbezogene Daten nur auf Anweisung des Verantwortlichen zu verarbeiten, auch im Hinblick auf deren Übermittlung
  • Sicherzustellen, dass sich Personen, die personenbezogene Daten verarbeiten, der Geheimhaltung verpflichtet haben
  • Geeignete technische und organisatorische Maßnahmen zu implementieren, um einen angemessenen Schutz personenbezogener Daten zu gewährleisten
  • Verantwortliche bei ihrer Verpflichtung zu unterstützen, dem Auskunftsrecht betroffener Personen gemäß DSGVO nachzukommen
  • Anforderungen zur Meldung von Datenschutzverletzungen und deren Klärung zu erfüllen
  • Verantwortliche bei Datenschutz-Folgenabschätzungen und der Konsultation der Aufsichtsbehörden zu unterstützen
  • Personenbezogene Daten nach der Erbringung der Dienstleistungen zu löschen oder zurückzugeben
  • Verantwortliche durch Nachweise zur Einhaltung der DSGVO zu unterstützen

 

 

Microsoft verwendet seit Langem die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Datenübertragung für seine Enterprise Online Services. Die Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums genutzt werden können. Microsoft hat die Standardvertragsklauseln über die Online Services-Nutzungsbedingungen in alle Volumenlizenzverträge übernommen. Die Artikel-29-Arbeitsgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist.

 

Bei Verabschiedung des EU-US Privacy Shields gehörte Microsoft zu den ersten Unternehmen, die eine Zertifizierung erlangten. Sehen Sie sich die Zertifizierung für das Privacy Shield von Microsoft an, und lesen Sie die Online Services-Nutzungsbedingungen. Das EU-US Privacy Shield unterstützt Kunden bei der Datenübermittlung in die USA gemäß ihren Verpflichtungen zum Datenschutz.

 

Als globales Unternehmen mit Kunden rund um die Welt verfügt Microsoft über ein breites Complianceportfolio zur Unterstützung unserer Kunden. In unserer Liste mit Complianceangeboten finden Sie eine vollständige Auswahl, einschließlich FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud und vielen anderen.

|

 

Auf www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation erfahren Sie, mit welchen integrierten Funktionen Microsoft-Dienste helfen, die Anforderungen der DSGVO zu erfüllen.

 

Die DSGVO stellt an Unternehmen, die personenbezogene Daten erfassen oder verarbeiten, zahlreiche Anforderungen, darunter auch die Einhaltung sechs zentraler Grundsätze:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz bei der Verarbeitung und Nutzung personenbezogener Daten. Sie müssen betroffenen Personen in nachvollziehbarer Weise verdeutlichen, wie ihre Daten genutzt werden, und benötigen eine rechtmäßige Grundlage für die Verarbeitung dieser Daten.
  • Die Verarbeitung personenbezogener Daten ist auf festgelegte, eindeutige und legitime Zwecke beschränkt. Sie dürfen personenbezogene Daten nicht in einer Weise weiterverarbeiten oder offenlegen, die mit den Zwecken, für die die Daten ursprünglich erfasst wurden, nicht vereinbar ist.
  • Die Erfassung und Speicherung personenbezogener Daten wird auf das Maß beschränkt, das dem Zweck angemessen und dafür notwendig ist (Datenminimierung).
  • Die Richtigkeit personenbezogener Daten ist sicherzustellen, und es muss möglich sein, diese zu löschen oder zu berichtigen. Sie müssen durch angemessene Maßnahmen sicherstellen, dass vorgehaltene personenbezogene Daten korrekt sind und im Falle von Fehlern berichtigt werden können.
  • Speicherbegrenzung für personenbezogene Daten. Sie müssen dafür Sorge tragen, dass personenbezogene Daten so lange vorgehalten werden, wie es für die Zwecke, für die sie erfasst wurden, erforderlich ist.
  • Die Sicherheit, Integrität und Vertraulichkeit personenbezogener Daten ist zu gewährleisten. Ihr Unternehmen muss die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten zu schützen.

Sie müssen die spezifischen Verpflichtungen Ihres Unternehmens gemäß DSGVO kennen und wissen, wie Sie diese einhalten. Microsoft unterstützt Sie auf Ihrem Weg zur DSGVO-Compliance.

Weitere Informationen zur Datenschutz-Grundverordnung (DSGVO) finden Sie auf der www.microsoft.com/gdpr. Wenn Sie mehr darüber erfahren möchten, wie sich die Umsetzung der DSGVO durch spezifische Microsoft-Produkte vorbereiten lässt, lesen Sie die Abschnitte zu Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 und Windows 10.

Die DSGVO sichert EU-Bürgern über eine Reihe von "Betroffenenrechten" die Kontrolle über ihre personenbezogenen Daten zu. Dies beinhaltet folgende Rechte:

  • Zugang zu Informationen über die Verwendung personenbezogener Daten
  • Zugriff auf die von einem Unternehmen gespeicherten personenbezogenen Daten
  • Löschung oder Berichtigung fehlerhafter personenbezogener Daten
  • Berichtigung und Löschung personenbezogener Daten unter bestimmten Umständen (auch als das "Recht auf Vergessenwerden" bezeichnet)
  • Einschränken oder Verweigern der automatischen Verarbeitung personenbezogener Daten
  • Anfordern einer Kopie der gespeicherten personenbezogenen Daten

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ja, die DSGVO gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter. Verantwortliche dürfen nur Auftragsverarbeiter beauftragen, die Maßnahmen zur Einhaltung der DSGVO ergriffen haben.

 

Unter der DSGVO haben Auftragsverarbeiter im Vergleich zur Datenschutzrichtlinie zusätzliche Pflichten und sind haftbar, wenn sie diese nicht einhalten oder wenn sie nicht gemäß den Anweisungen des Verantwortlichen handeln. Die Pflichten von Auftragsverarbeitern umfassen u. a.:

  • Verarbeitung von Daten ausschließlich gemäß den Anweisungen des Verantwortlichen
  • Verwendung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten
  • Unterstützung des Verantwortlichen bei Auskunftsersuchen betroffener Personen
  • Sicherstellen, dass beauftragte Verarbeiter diese Anforderungen erfüllen

Bei Nichteinhaltung bestimmter DSGVO-Anforderungen können gegen Unternehmen Geldbußen von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Zudem können bei Nichteinhaltung der DSGVO zusätzliche rechtliche Konsequenzen drohen.

Dies hängt von mehreren in der Grundverordnung genannten Faktoren ab. Gemäß Artikel 37 der DSGVO müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn: (a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, (b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder (c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Die Einhaltung der DSGVO kostet die meisten Unternehmen Zeit und Geld. Für Unternehmen mit einem gut strukturierten Cloud Services-Modell und einem wirksamen Data Governance-Programm dürfte die Umstellung jedoch reibungsloser verlaufen.

|

Die DSGVO regelt die Erfassung, Speicherung, Nutzung und Weitergabe "personenbezogener Daten". Personenbezogene Daten sind in der DSGVO sehr breit als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

 

Personenbezogene Daten umfassen u. a. Online-Kennungen (z. B. IP-Adressen), Mitarbeiterdaten, Vertriebsdatenbanken, Kundenservicedaten, Kundenfeedbackformulare, Standortdaten, biometrische Daten, Überwachungsvideos, Kundentreuedaten oder Gesundheits- und Finanzinformationen usw. Sie können auch Informationen umfassen, die nicht personenbezogen erscheinen – wie etwa ein Landschaftsfoto, auf dem keine Personen abgebildet sind – wenn diese Informationen über eine Kundennummer oder einen eindeutigen Code mit einer identifizierbaren Person verknüpft sind. Selbst personenbezogene Daten, die pseudonymisiert wurden, können personenbezogene Daten darstellen, wenn das Pseudonym mit einer bestimmten Person in Verbindung gebracht werden kann.

 

Beachten Sie, dass für die Verarbeitung einiger "besonderer" Kategorien personenbezogener Daten – etwa personenbezogener Daten, aus denen die ethnische Herkunft einer Person hervorgeht oder die sich auf deren Gesundheitszustand oder sexuelle Orientierung beziehen – strengere Regeln gelten als für die Verarbeitung "gewöhnlicher" personenbezogener Daten.

 

Diese Interpretation personenbezogener Daten ist sehr faktenspezifisch, weshalb es sich empfiehlt, zur Beurteilung Ihrer spezifischen Umstände einen Experten zu Rate zu ziehen.

Ja. Die DSGVO gilt sowohl für Unternehmen, die Daten für eigene Zwecke erfassen und verarbeiten ("Verantwortliche"), als auch für Unternehmen, die Daten im Auftrag anderer verarbeiten ("Auftragsverarbeiter"), obwohl die Regeln leicht abgewandelt sind. Darin unterscheidet sie sich von der bisherigen Datenschutzrichtlinie, die nur Verantwortliche betrifft.

Personenbezogene Daten sind alle Informationen, die eine identifizierte oder identifizierbare Person betreffen. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden. Personenbezogene Daten können Folgendes umfassen.

 

Beispiele für personenbezogene Daten:

 

Personendaten

  • Name
  • Private Adresse
  • Geschäftliche Adresse
  • Telefonnummer
  • Mobiltelefonnummer
  • E-Mail-Adresse
  • Reisepassnummer
  • Personalausweisnummer
  • Sozialversicherungsnummer (oder ähnlich)
  • Führerschein
  • Physische, physiologische oder genetische Informationen
  • Medizinische Informationen
  • Kulturelle Identität

Finanzdaten

  • Bankverbindung/Kontonummern
  • Steuernummer
  • Geschäftliche Adresse
  • Kreditkartennummer/EC-Kartennummer
  • Beiträge in sozialen Netzwerken

Onlineartefakte

  • Beiträge in sozialen Netzwerken
  • IP-Adresse (EU-Raum)
  • Standort/GPS-Daten
  • Cookies

Ja, die DSGVO sieht jedoch strenge Regelungen für die Übermittlung personenbezogener Daten von EU-Bürgern in Länder außerhalb des Europäischen Wirtschaftsraums vor. Sie müssen unter Umständen bestimmte rechtliche Mittel wie etwa Verträge einführen oder ein Zertifizierungsverfahren umsetzen, um solche Übermittlungen zu ermöglichen. Die von Microsoft eingesetzten Verfahren sind in den Online Services-Nutzungsbedingungen beschrieben.

Wenn berechtigte Gründe für eine weitere Verarbeitung und Aufbewahrung der Daten vorliegen, etwa "zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert" (Artikel 17 Absatz 3(b)), räumt die DSGVO ein, dass die Aufbewahrung von Daten erforderlich sein kann. Sie sollten jedoch mithilfe Ihres Rechtsberaters sicherstellen, dass die Gründe für die Aufbewahrung gegen die Rechte und Freiheiten der betroffenen Personen und deren Erwartungen zum Zeitpunkt der Datenerfassung abgewogen wurden.

In der DSGVO wird Verschlüsselung als Schutzmaßnahme beschrieben, die personenbezogene Daten im Falle einer Datenschutzverletzung unverständlich macht. Die Meldung von Verstößen gegen persönliche Datenrechte kann also davon beeinflusst werden, ob eine Verschlüsselung angewendet wurde oder nicht. Zudem verweist die Datenschutz-Grundverordnung in einigen Fällen je nach Risikolage auf die Verschlüsselung als geeignete technische oder organisatorische Maßnahme. Die Verschlüsselung gehört ebenfalls zu den Anforderungen des Payment Card Industry Data Security Standard und ist Teil der strikten Compliance-Richtlinien, die für die Finanzdienstleistungsbranche gelten. Microsoft-Produkte und -Dienste wie Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL-Datenbank und Windows 10 bieten zuverlässige Verschlüsselungsmechanismen für Daten während der Übertragung sowie für gespeicherte Daten.

 

Weitere Informationen dazu, wie Produkte und Dienste von Microsoft die Einhaltung der DSGVO erleichtern können, finden Sie unter So unterstützen unsere Produkte bei der DSGVO-Compliance.

Die DSGVO ändert die Anforderungen an den Datenschutz und legt strengere Pflichten für Verantwortliche und Auftragsverarbeiter bei der Meldung von Verstößen gegen den Schutz personenbezogener Daten zugrunde. Unter der neuen Verordnung muss der Auftragsverarbeiter den Verantwortlichen unverzüglich über eine derartige Datenschutzverletzung in Kenntnis setzen, sobald er davon erfährt. Wenn ein Verantwortlicher einen Verstoß zur Kenntnis nimmt, muss er die zuständige Datenschutzbehörde innerhalb von 72 Stunden benachrichtigen. Falls der Verstoß ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt, müssen die Verantwortlichen zudem unverzüglich die betroffenen Personen verständigen. Weitere Informationen zu diesem Thema werden von der Artikel-29-Arbeitsgruppe der EU erarbeitet.

 

Microsoft-Produkte und -Dienste wie Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 und Windows 10 bieten aktuelle Lösungen, die Sie bei der Erkennung und Beurteilung von Sicherheitsbedrohungen und -verstößen sowie bei der Erfüllung der in der DSGVO dargelegten Verpflichtungen zur Meldung von Datenschutzverletzungen unterstützen.

|

Microsoft FastTrack bietet einen Servicevorteil* und hilft Unternehmenskunden, mit der Microsoft Cloud schneller einen Mehrwert zu erzielen. Mit FastTrack können Sie:

  • E-Mails und Inhalte migrieren und Microsoft 365-Dienste optimieren
  • Geräte bereitstellen und sicher verwalten
  • Ihr Unternehmen stärken und die Nutzerakzeptanz verbessern

Microsoft FastTrack bietet Kunden einen kontinuierlichen Servicevorteil und fördert den sicheren Umstieg und die Nutzung der Cloud. Unsere Microsoft-Entwickler und -Experten unterstützen Kunden oder Partner bei der Planung, Einarbeitung und Einführung in ihrem eigenen Tempo.

 

Wir begleiten Kunden bei individuellen Bereitstellungen und der Migration zu unseren Online Services und haben uns verpflichtet, dass Microsoft FastTrack ab dem Inkrafttreten der DSGVO am 25. Mai 2018 die Anforderungen der DSGVO erfüllt. Im Rahmen des professionellen FastTrack-Servicevorteils kooperieren wir auch mit bestehenden Partnern auf Kundenseite oder empfehlen Partner, die Hilfestellung bei der Bereitstellung und Einführung leisten.

 

Weitere Informationen finden Sie unter https://FastTrack.Microsoft.com.

 

* Der "Servicevorteil" ist als "professioneller Dienst" zu verstehen, wie in den Online Services-Nutzungsbedingungen und im MBSA definiert.

Unsere FastTrack-Entwickler und -Experten bauen auf ihre professionellen Erfahrungen, wenn es um die Umsetzung der von Kunden oder Partnern angestrebten Geschäftsszenarien und den geschäftlichen Nutzen geht. Dabei konzentrieren sie sich auf die Planung, Bereitstellung und reibungslose Einführung von Produkten und Diensten, um diese Ziele zu erreichen. Informieren Sie sich auf der Trust Center-Website, auf welche Weise Produkte und Dienste von Microsoft die Einhaltung der DSGVO-Anforderungen unterstützen können. Wir empfehlen Kunden und Partnern, die spezifischen Auswirkungen der DSGVO auf ihr Unternehmen und die besten Möglichkeiten zu deren Einhaltung mit einem Rechtsexperten zu erörtern.

Wir empfehlen unseren Kunden, mit eigenen Rechts- und Complianceteams die Anforderungen der DSGVO an die Verschlüsselung und allgemeine Voraussetzungen zur Einhaltung der DSGVO zu bestimmen. Die DSGVO-Compliance richtet sich nach den erhobenen Daten, den Nutzungsszenarien und der jeweiligen Branche, in der der Kunde tätig ist.

Microsoft FastTrack ist auf den Erfolg unserer Kunden ausgerichtet und soll schnellere Bereitstellungen, einen höheren ROI und eine stärkere Akzeptanz von Microsoft-Produkten und -Diensten bei Mitarbeitern und Anwendern erreichen. Wenn Kunden oder Partner über Microsoft FastTrack Unterstützung anfordern, sorgen wir zunächst dafür, dass Microsoft-Produkte und -Dienste bei Kunden und Partnern optimal implementiert werden.

 

Im Rahmen unseres professionellen FastTrack-Servicevorteils kooperieren wir auch mit bestehenden Partnern auf Kundenseite oder empfehlen Partner, die Hilfestellung bei der Bereitstellung und Einführung leisten. Weitere Informationen zu DSGVO-Experten, die Microsoft-Partner auf dem Weg zur Compliance unterstützen (siehe DSGVO-Seite im Trust Center), finden Sie hier. Informieren Sie sich auf unserer Webseite zur Trusted Cloud/DSGVO, ob Sie für die DSGVO gewappnet sind und wie Sie die DSGVO-Compliance mit der Microsoft Cloud beschleunigen können. Nutzen Sie außerdem Microsoft FastTrack, um Unterstützung bei der Bereitstellung zu erhalten.


Weitere Ressourcen

Graphic icon of two people with a plus sign representing partnerships

Einen Partner finden

Nutzen Sie unser weltweites Netz von DSGVO-Partnern, die Microsoft-basierte Lösungen für Ihre Compliance bieten.

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

Datenschutzpraktiken bei Microsoft

Erfahren Sie, wie Microsoft Ihre Daten verwaltet, wo sie gespeichert werden, wer darauf zugreifen darf, wie wir sie schützen und mehr.

Graphic icon of a shield with an exclamation point in the middle

EU-US Privacy Shield

Erfahren Sie, wie Microsoft die Grundsätze des EU-US Privacy Shield-Frameworks einhält.

Graphic icon representing an unlocked padlock with a white circle in the middle

Meldung von Datenschutzverletzungen

Wie Microsoft Verstöße gegen den Schutz personenbezogener Daten erkennt, Maßnahmen einleitet und betroffene Personen – wie von der DSGVO vorgesehen – benachrichtigt

Bewerten Sie noch heute Ihre DSGVO-Bereitschaft