Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Informationen finden Sie im Artikel DSGVO-Zusammenfassung.
Auf ähnliche Weise bietet der California Consumer Privacy Act (CCPA) Datenschutzrechte und -pflichten für kalifornische Verbraucher. Diese Rechte umfassen Rechte, die den Rechten betroffener Personen der DSGVO ähneln, z. B. das Recht auf Löschung, Zugriff und Erhalt (Portabilität) ihrer personenbezogenen Daten. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden. Dieses Dokument führt Sie zu Informationen zur Bearbeitung von Anfragen von betroffenen Personen (Datensubjekten) im Rahmen der DSGVO unter Verwendung von Microsoft-Produkten und -Diensten.
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Microsoft-Support und Professional Services
- Office 365
- Visual Studio-Produktfamilie
- Windows 365
- Windows
Definitionen der DSGVO-Terminologie finden Sie unter Datenschutz-Grundverordnung. Informationen zur Rolle von Microsoft als Datenverarbeiter finden Sie unter Microsoft als Datenverarbeiter.
Was sind Anfragen von betroffenen Personen?
Die Datenschutz-Grundverordnung (DSGVO) gewährt Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht, die personenbezogenen Daten zu verwalten, die ein Arbeitgeber oder eine andere Art von Agentur oder organization (als Datenverantwortlicher oder nur Verantwortlicher bezeichnet) über sie erhebt. Die DSGVO gewährt betroffenen Personen spezifische Rechte an ihren personenbezogenen Daten. Zu diesen Rechten gehören das Abrufen von Kopien ihrer personenbezogenen Daten, das Anfordern von Änderungen, die Einschränkung der Verarbeitung, die Löschung oder der Empfang in einem elektronischen Format, damit sie sie an einen anderen Verantwortlichen übertragen können.
Als Verantwortlicher sind Sie verpflichtet, die einzelnen Anträge betroffener Personen unverzüglich zu prüfen und eine inhaltliche Antwort zu geben, indem Sie entweder die angeforderte Aktion ergreifen oder eine Erklärung dafür bereitstellen, warum der DsR vom Verantwortlichen nicht berücksichtigt werden kann. Wenden Sie sich an Ihre eigenen Rechts- oder Complianceberater hinsichtlich der ordnungsgemäßen Anordnung einer betroffenen Person.
Bei der Erledigung einer betroffenen Person können mehrere Prozesse involviert sein, die den DSGVO-Complianceregeln Ihrer organization unterliegen.
- Entdecken: Verwenden Sie Such- und Ermittlungstools, um Kundendaten leichter zu finden, die Gegenstand einer betroffenen Person sein könnten. Nachdem Sie potenziell reaktionsfähige Dokumente gesammelt haben, können Sie eine oder mehrere der in den folgenden Schritten beschriebenen Aktionen für Anträge betroffener Personen ausführen, um auf die Anforderung zu reagieren. Alternativ können Sie feststellen, dass die Anforderung nicht den Richtlinien Ihrer organization für die Reaktion auf Anträge betroffener Personen entspricht.
- Zugriff: Rufen Sie personenbezogene Daten ab, die sich in der Microsoft-Cloud befinden, und erstellen Sie bei Bedarf eine Kopie davon, auf die die betroffene Person zugreifen kann.
- Berichtigung: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere Aktionen aus, die für die Daten angefordert werden.
- Einschränkung: Schränken Sie die Verarbeitung von personenbezogenen Daten ein, indem Sie entweder die Lizenzen für verschiedene Onlinedienste entfernen oder die gewünschten Dienste, wenn möglich, deaktivieren. Sie können auch Daten aus der Microsoft Cloud entfernen und lokal oder an einem anderen Speicherort speichern.
- Löschung: Entfernen Sie personenbezogene Daten, die sich in der Microsoft-Cloud befinden, dauerhaft.
- Exportieren/Empfangen (Portierbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) von personenbezogenen Daten oder persönlichen Informationen zur Verfügung.
In jedem Abschnitt der produktspezifischen Leitfäden werden die technischen Verfahren beschrieben, die ein Datenverantwortlicher organization ergreifen kann, um auf einen Antrag einer betroffenen Person für personenbezogene Daten in der Microsoft-Cloud zu reagieren.
Verwenden der produktspezifischen Leitfäden
Jeder produktspezifische Leitfaden besteht aus zwei Teilen:
- Teil 1: Reaktion auf Anfragen betroffener Personen nach Kundendaten: In Teil 1 wird erläutert, wie Sie auf Daten von Anwendungen zugreifen, diese korrigieren, einschränken, löschen und exportieren können, in denen Sie Daten erstellt haben. In diesem Abschnitt wird beschrieben, wie Anträge betroffener Personen sowohl für Kundeninhalte als auch für identifizierbare Informationen von Benutzern ausgeführt werden.
- Teil 2: Reaktion auf Anträge betroffener Personen bezüglich vom System generierten Protokollen: Wenn Sie die Microsoft Enterprise-Dienste verwenden, generiert Microsoft einige Informationen, die als vom System generierte Protokolle bekannt sind, um den Dienst bereitzustellen. In Teil 2 wird erläutert, wie Sie auf solche Informationen zugreifen, sie löschen und exportieren.
Grundlegendes zu anträgen betroffenen Personen für Microsoft Entra ID- und Microsoft-Dienstkonten
Mithilfe des erweiterten direkten Verzeichnistokens (Extended Directory Direct Token, EDDT) können Gastbenutzer innerhalb eines Mandanten Anträge betroffener Personen über mehrere Mandanten hinweg initiieren. Alle vom Benutzer initiierten DSRs werden für alle Mandanten ausgeführt, bei denen der Benutzer vom entsprechenden Mandantenadministrator autorisiert ist.
Das gleiche Verfahren gilt auch für Microsoft-Dienstkonten (Microsoft-Dienst Accounts, MSA) im Kontext von Diensten, die einem Unternehmenskunden bereitgestellt werden. Die Ausführung einer betroffenen Person für ein MSA-Konto, das einem Microsoft Entra Mandanten zugeordnet ist, bezieht sich nur auf Daten innerhalb des Mandanten. Darüber hinaus ist es wichtig, Folgendes zu verstehen, wenn MSA-Konten innerhalb eines Mandanten verarbeitet werden:
- Wenn ein MSA-Benutzer ein Azure-Abonnement erstellt, wird das Abonnement so behandelt, als wäre es ein Microsoft Entra Mandant. Folglich werden anträge betroffener Personen wie oben beschrieben innerhalb des Mandanten erfasst.
- Wenn ein über ein MSA-Konto erstelltes Azure Abonnement gelöscht wird, wirkt sich dies nicht auf das tatsächliche MSA-Konto aus. Wie oben erwähnt, sind dsRs, die innerhalb des Azure-Abonnements ausgeführt werden, auf den Bereich des Mandanten selbst beschränkt.
Benutzer führen Anträge betroffener Personen für ein MSA-Konto selbst außerhalb eines bestimmten Mandanten über das Datenschutz-Dashboard für Verbraucher aus.
Überlegungen zu bestimmten Anträgen betroffener Personen
Von Microsoft-Produkten oder -Diensten generierte Erkenntnisse
Erkenntnisse können von Diensten wie Viva Personal Insights generiert werden. Office 365 umfasst Onlinedienste, die Benutzern und Organisationen, die sie verwenden, Erkenntnisse liefern. Daten, die von diesen Diensten generiert werden, können personenbezogene Daten erzeugen, die für einen Antrag betroffener Personen relevant sind. Ausführliche Informationen zu dienstspezifischen DsR-Prozessen finden Sie im folgenden Abschnitt.
Datensubjektanfragen bezüglich vom System generierten Protokollen
Protokolle und zugehörige Daten, die Von Microsoft generiert werden, können Daten enthalten, die die DSGVO als persönlich betrachtet. Sie können Daten in vom System generierten Protokollen nicht einschränken oder korrigieren. Daten in vom System generierten Protokollen sind sachliche Aktionen, die in der Microsoft-Cloud und diagnosedaten durchgeführt werden. Änderungen würden die historischen Aufzeichnungen von Aktionen gefährden und Betrugs- und Sicherheitsrisiken erhöhen. Microsoft bietet die Möglichkeit, auf vom System generierte Protokolle zuzugreifen, sie zu exportieren und zu löschen, die Sie möglicherweise benötigen, um eine Anträge betroffener Personen abzuschließen. Beispiele für solche Daten sind:
- Daten zu Produkt- und Dienstnutzung, z. B. Aktivitätsprotokolle
- Suchanfragen und Abfragedaten von Benutzern
- Daten, die von Produkten und Diensten generiert werden, die sich aus Systemfunktionen und Interaktionen von Benutzern oder anderen Systemen ergeben.
Weitere Informationen zu vom System generierten Protokollen aus einem Export von Betroffenenrechten (DSR) finden Sie unter Übersicht über vom System generierte Protokolle aus einem Export einer betroffenen Person (DsR).
Viva Engage
Durch das Löschen eines Benutzerkontos werden vom System generierte Protokolle für Viva Engage nicht entfernt. Wenn Sie die Daten aus diesen Anwendungen entfernen möchten, lesen Sie eine der folgenden Ressourcen:
Nationale Clouds
In einigen nationalen Clouds muss ein globaler IT-Administrator vom System generierte Protokolle löschen.
Microsoft Services
Wenn Ihre organization oder Benutzer sich mit Microsoft in Verbindung setzen, um Support im Zusammenhang mit Microsoft-Produkten und -Diensten zu erhalten, enthalten einige dieser Daten möglicherweise personenbezogene Daten. Weitere Informationen finden Sie unter Microsoft-Support und Professional Services für Anfragen von betroffenen Personen im Rahmen der DSGVO.
Produkte, deren Datenverantwortlicher Microsoft ist
Unter bestimmten Umständen können die Benutzer Ihrer organization auf Microsoft-Produkte oder -Dienste zugreifen, für die Microsoft der Datenverantwortliche ist. In diesen Fällen müssen Ihre Benutzer die eigenen Datensubjektanfragen direkt an Microsoft stellen, und Microsoft erfüllt die Anforderungen direkt an den Benutzer.
Produkte von Drittanbietern
Für Produkte und Dienste von Drittanbietern, auf die über die Microsoft-Kontoauthentifizierung zugegriffen wird, richten Sie alle Anfragen betroffener Personen an den entsprechenden Drittanbieter.
Werkzeuge zur Verwaltung von Anträgen betroffener Personen
- Microsoft-Portale: Exportieren Sie vom Benutzer erstellte oder generierte Daten mithilfe des Microsoft Purview-Portals oder der Features in der Anwendung.
- Microsoft Entra Admin Center: Löschen Sie eine betroffene Person aus Microsoft Entra ID und verwandten Diensten mithilfe von Microsoft Entra Admin Center.
- Microsoft-Datenprotokollexport: Mandantenadministratoren können vom System generierte Protokolle mithilfe des Microsoft-Datenprotokollexports exportieren.