Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Leitfaden enthält Ressourcen zur Verwendung von Microsoft-Produkten, -Diensten und -Verwaltungstools, um unseren Verantwortlichen zu helfen, personenbezogene Daten zu finden und zu reagieren, um auf Anträge betroffener Personen (Data Subject Rights, DSR) für Microsoft Dynamics 365 Project Operations zu reagieren. Insbesondere umfassen die Informationen, wie Sie auf personenbezogene Daten zugreifen, diese suchen und Maßnahmen ergreifen können, die sich in der Microsoft-Cloud befinden. Dieser Leitfaden hilft Ihnen bei folgendem Prozess:
- Entdecken: Verwenden Sie Such- und Ermittlungstools, um Kundendaten, die möglicherweise von einem Antrag einer betroffener Person bezüglich ihrer Rechte betroffen sind, einfacher zu finden. Nachdem Sie potenziell zutreffende Dokumente gesammelt haben, können Sie eine oder mehrere der in den folgenden Schritten beschriebenen DSR-Aktionen ausführen, um die Anfrage zu bearbeiten. Alternativ können Sie feststellen, dass die Anforderung nicht den Richtlinien Ihrer Organisation für die Bearbeitung von DSR-Anfragen entspricht.
- Access: Rufen Sie personenbezogene Daten ab, die sich in der Microsoft-Cloud befinden, und stellen Sie bei Bedarf eine Kopie davon bereit, die der betroffenen Person zur Verfügung steht.
- Korrigieren: Nehmen Sie Änderungen der personenbezogenen Daten vor, oder implementieren Sie ggf. andere angeforderte Aktionen in den personenbezogenen Daten.
- Restrict: Einschränken der Verarbeitung personenbezogener Daten, entweder durch Entfernen von Lizenzen für verschiedene Onlinedienste oder durch Deaktivieren der gewünschten Dienste, sofern möglich.
- Löschen: Entfernen Sie personenbezogene Daten, die sich in der Microsoft Cloud befinden.
- Exportieren/Empfangen (Übertragbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) der personenbezogenen Daten oder Informationen bereit.
Diese Anleitung beschreibt die technischen Abläufe, die Ihre Organisation als Verantwortlicher ergreifen kann, um auf einen Antrag einer betroffener Person bezüglich personenbezogener Daten in Microsoft Cloud zu reagieren.
Weitere Informationen zu rechten betroffenen Personen wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und dem California Consumer Privacy Act (CCPA) finden Sie unter California Consumer Privacy Act.
So kann Sie dieser Leitfaden bei der Einhaltung Ihrer Verantwortlichkeiten als Datenverantwortlicher unterstützen
Das in zwei Teile gegliederte Handbuch beschreibt die Verwendung von Microsoft-Produkten, -Diensten und -Administrationstools, mit denen Sie Daten in der Microsoft Cloud als Antwort auf Anfragen von betroffenen Personen, die ihre Rechte gemäß der DSGVO ausüben, finden und bearbeiten können. Der erste Teil behandelt personenbezogene Daten, die in Kundendaten enthalten sind. Darauf folgt ein Teil, der sich mit anderen pseudonymisierten personenbezogenen Daten befasst, die in vom System generierten Protokollen erfasst werden.
- Teil 1: Reaktion auf DSR-Anfragen, die in Kundendaten enthalten sind: Teil 1 dieses Leitfadens beschreibt, wie Sie auf personenbezogene Daten zugreifen, diese korrigieren, einschränken, löschen und aus Dynamics 365 Project Operations (Software as a Service) exportieren können, die im Rahmen der Kundendaten verarbeitet werden, die Sie dem Onlinedienst bereitstellen.
- Teil 2: Antworten auf DSR-Anfragen für pseudonymisierte Daten: Wenn Sie Dynamics 365 Project Operations verwenden, generiert Microsoft einige Informationen (die in diesem Dokument als systemgenerierte Logs bezeichnet werden), um den Dienst bereitzustellen. Diese Informationen sind auf die Nutzungsspuren beschränkt, die von Endnutzern hinterlassen werden, um ihre Aktionen im System nachzuvollziehen. Obwohl diese Daten ohne die Verwendung zusätzlicher Informationen nicht einer bestimmten betroffenen Person zugeordnet werden können, können einige davon nach der DSGVO als personenbezogen eingestuft sein. In Teil 2 dieses Leitfadens wird erläutert, wie Sie auf die vom System generierten Protokolle, die von Dynamics 365 Project Operations erstellt wurden, zugreifen, sie löschen und exportieren können.
Vorbereitung auf Untersuchungen zu den Rechten der betroffenen Personen
Wenn betroffene Personen Gebrauch von Ihren Rechten machen und Anforderungen stellen, müssen die folgenden Punkte berücksichtigt werden:
- Identifizieren Sie die Person und Rolle, z. B. Mitarbeiter, Kunde oder Anbieter, ordnungsgemäß anhand von Informationen, die die betroffene Person als Teil ihrer Anfrage bereitstellt. Bei diesen Informationen kann es sich um einen Namen, eine Mitarbeiter-ID, eine Kundennummer oder einen anderen Bezeichner handeln.
- Notieren Sie das Datum und die Uhrzeit der Anforderung. (Sie haben 30 Tage Zeit, um die Anfrage abzuschließen.)
- Bestätigen Sie, dass der Antrag den Anforderungen Ihrer Organisation entspricht, um den Antrag einer betroffenen Person zu erfüllen oder abzulehnen. Stellen Sie beispielsweise sicher, dass die Ausführung der Anforderung nicht mit anderen rechtlichen, finanziellen oder regulatorischen Verpflichtungen, die Sie haben, in Konflikt steht oder die Rechte und Freiheiten anderer verletzt.
- Vergewissern Sie sich, dass Sie über die Informationen zu dem Antrag verfügen.
Teil 1: Anleitung bei Anträgen betroffener Personen wegen Kundendaten
Ausführen von DSRs zu Kundendaten
Microsoft bietet die Möglichkeit, über das Azure-Portal auf bestimmte Kundendaten zuzugreifen, zu löschen und zu exportieren und auch direkt über bereits vorhandene Anwendungsprogrammierschnittstellen (APIs) oder Benutzeroberflächen (UIs) für bestimmte Dienste (auch als produktinterne Erfahrungen bezeichnet) zu verwenden. In diesem Leitfaden werden Details zu solchen Produkterfahrungen für Dynamics 365 Project Operations beschrieben.
Notiz
Dynamics 365 Project Operations verfügt über mehrere Deployment-Typen die die Verwendung von Dataverse, die Finanz- und Betriebsarchitektur oder beides umfassen können. Je nach Bereitstellungstyp kann der Prozess für Anträge betroffener Personen variieren.
Entdecken
Der erste Schritt als Reaktion auf eine DSR-Anforderung ist es, persönliche Daten zu finden, die die Anforderung betreffen. Dieser erste Schritt – das Finden und Überprüfen der betreffenden personenbezogenen Daten – hilft Ihnen dabei, zu bestimmen, ob ein DSR-Antrag die Anforderungen Ihrer Organisation zur Erfüllung oder Ablehnung von DSR-Anträgen von betroffenen Personen erfüllt. Nach dem Suchen und Überprüfen der betroffenen personenbezogenen Daten stellen Sie vielleicht fest, dass der Antrag die Anforderungen Ihrer Organisation nicht erfüllt, da es sich nachteilig auf die Rechte und die Freiheiten anderer auswirken würde, wenn der Antrag erfüllt werden würde.
Nachdem Sie die Daten gefunden haben, können Sie die spezifische Aktion ausführen, um die Anforderung der betroffenen Person zu erfüllen.
Dataverse bietet Ihnen mehrere Methoden zum Suchen nach personenbezogenen Daten in Datensätzen, z. B. die erweiterte Suche und die Suche nach Datensätzen. Diese Funktionen ermöglichen es Ihnen, personenbezogene Daten zu identifizieren (zu finden).
Die Architektur von Finanzen und Betrieb bietet Ihnen mehrere Möglichkeiten, nach Kundendaten zu suchen. Als Mandantenadministrator können Sie die folgenden Aktionen durchführen, um nach Kundendaten zu suchen:
- Organisieren Sie Ihre Kundendaten auf eine Weise, die dem Zweck dient, personenbezogene Daten schnell zu ermitteln. Erfahren Sie , wie Sie die Dateninventur zu diesem Zweck klassifizieren .
- Verwenden des Personensuchberichts, um personenbezogene Daten zu suchen und zu erfassen.
- Erweitern des Personensuchberichts durch Erstellen einer neuen Entität oder Erweitern einer vorhandenen Entität.
- Verwenden Sie Such- und Filterfeatures, um bestimmte personenbezogene Daten zu finden und diese Daten mithilfe der Microsoft Office Exportfunktion zu exportieren, oder drucken Sie diese Informationen mithilfe von Browsererweiterungen in eine PDF-Datei.
- Erstellen Sie ein benutzerdefiniertes Formular, das personenbezogene Daten sucht und exportiert.
- Erstellen Sie ein externes Portal oder eine externe Website, die es einem authentifizierten Kunden ermöglicht, seine personenbezogenen Daten einsehen zu können.
Zugriff
Nachdem Sie Kundendaten gefunden haben, die personenbezogene Daten enthalten, die im Zusammenhang mit einer DSR-Anfrage relevant sein könnten, entscheiden Sie gemeinsam mit Ihrer Organisation, welche Daten der betroffenen Person zur Verfügung gestellt werden sollen. Sie können ihnen eine Kopie des Originaldokuments, eine geeignet redigierte Version oder einen Screenshot der Teile zur Verfügung stellen, die Sie für geeignet halten zu teilen. Für jede dieser Antworten auf eine Zugriffsanforderung müssen Sie eine Kopie des Dokuments oder eines anderen Bestandteils abrufen, der die antwortenden Daten enthält. Wenn Sie der betroffenen Person eine Kopie zur Verfügung stellen, müssen Sie möglicherweise persönliche Informationen zu anderen betroffenen Personen und vertrauliche Informationen entfernen oder bearbeiten.
Sie können Kundendaten in Dataverse exportieren, indem Sie die umfassenden Exportfunktionen für Entitäten verwenden. Sie können Kundendaten in eine statische Excel-Datei exportieren, um eine Datenübertragbarkeitsanforderung zu erleichtern. Mithilfe von Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Übertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format wie .csv oder .xml speichern. Sie können Datensätze auch über die Microsoft Dataverse-Web-API exportieren.
Sie können Kundendaten in der Finanz- und Betriebsarchitektur exportieren, indem Sie die umfassenden Entitätsexport-Funktionen verwenden. Data-Management- und Integrationsentitäten bieten dem Mandantenadministrator die Möglichkeit, bereitgestellte Entitäten zu verwenden, neue Entitäten zu erstellen oder vorhandene zu erweitern, um personenbezogene Daten wiederholt nach Excel oder in eine Reihe anderer gängiger Formate zu exportieren, durch Datenimport- und Exportaufträge. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Wenn Sie Kundendaten nach Excel exportieren, können Sie dann die personenbezogenen Daten bearbeiten, die in die Portabilitätsanforderung aufgenommen werden sollen, und die Datei in einem häufig verwendeten, maschinenlesbaren Format wie .csv oder .xmlspeichern. Sie können auch in Erwägung ziehen , den Bericht zur Personensuche zu verwenden, um der betroffenen Person Daten bereitzustellen, die Sie als personenbezogene Daten klassifiziert haben.
Berichtigen
Wenn ein Datensubjekt Sie bittet, Änderungen an ihren personenbezogenen Daten, die in Ihrer Organisation aufbewahrt werden, vorzunehmen oder diese zu ändern, müssen Sie und Ihre Organisation festlegen, ob es korrekt ist, dieser Anforderung zu folgen. Die Korrektur der Daten kann das Ausführen von Aktionen wie das Bearbeiten, Redigieren oder Entfernen personenbezogener Daten aus einem Dokument oder einem anderen Element oder Typ umfassen.
Dataverse stellt die folgenden Methoden zum Korrigieren ungenauer oder unvollständiger Kundendaten oder zum Löschen von Kundendaten bereit:
- Suchen Sie nach Kundendaten, indem Sie die im Abschnitt „Entdecken“ genannten Funktionen verwenden, und bearbeiten Sie Daten unmittelbar in Dataverse. Sie können Bearbeitungen auf einer einzelnen Zeilenebene vornehmen oder mehrere Zeilen direkt ändern.
- Durch massenbearbeitung mehrerer Datensätze können Sie das Microsoft Office-Add-In verwenden, um Daten nach Excel zu exportieren, Ihre Änderungen vorzunehmen und dann diese geänderten Daten aus Excel in Dataverse zu importieren.
Innerhalb der Architektur der Finanzen und der Betriebsabläufe können Sie auch Anpassungstools verwenden, aber die Entscheidung und Implementierung liegen in Ihrer Verantwortung.
Kurzer Hinweis zum Ändern von Einträgen in geschäftlichen Transaktionen
Transaktionsdatensätze, z. B. allgemeine, Kunden- und Steuereinträge, sind für die Integrität eines Systems zur Unternehmensressourcenplanung (ERP) unerlässlich. Personenbezogene Daten, die Teil einer Finanz- oder anderen Transaktion sind, werden aus Gründen der Einhaltung von Finanzgesetzen (z. B. Steuergesetze), der Verhinderung von Betrug (z. B. Sicherheitsüberwachungspfade) oder der Einhaltung von Industriezertifizierungen wie vorliegend aufbewahrt. Daher schränkt Dynamics 365 Project Operations das Ändern von Daten in solchen Datensätzen ein.
Einschränken
Betroffene Personen können verlangen, dass Sie die Verarbeitung ihrer personenbezogenen Daten einschränken.
Wenn Sie eine Anfrage einer betroffenen Person zur Einschränkung der Verarbeitung von Kundendaten erhalten, können Sie die betroffenen Kundendaten ganz einfach aus dem Onlinedienst extrahieren und in einem separaten Container (lokal storage oder einem separaten Webdienst mit Datenisolationsfunktionen) speichern, der von den verarbeitungsfunktionen isoliert ist, die von jeder Cloudanwendung angeboten werden.
Löschen
Das „Recht auf Vergessenwerden“ durch Entfernen personenbezogener Daten aus den Kundendaten einer Organisation ist in der DSGVO eine wesentliche Schutzmaßnahme. Das Entfernen personenbezogener Daten umfasst vom System generierte Protokolle, jedoch keine Überwachungsprotokollinformationen.
Wenn sie von einer betroffenen Person aufgefordert werden, ihre Kundendaten zu löschen, sollten Sie die folgenden Optionen in Betracht ziehen:
- Zum Massenbearbeitung mehrerer Datensätze in Dataverse verwenden Sie das Microsoft Office-Add-In, um Daten nach Excel zu exportieren, Ihre Änderungen vorzunehmen und dann diese geänderten Daten aus Excel wieder in den Onlinedienst zu importieren.
- Wenn Sie Kundendaten löschen möchten, die in einem beliebigen Feld gespeichert sind, suchen Sie die Daten, die Sie löschen möchten, und löschen Sie dann das Datenelement manuell, das die Zielkundendaten enthält. Beispielsweise können Sie einen endgültigen Löschvorgang für den Kontaktdatensatz verwenden, der die betroffene Person darstellt, und andere Datensätze, die personenbezogene Daten enthalten.
Alternativ können Sie in der Finanz- und Betriebsarchitektur Anpassungstools verwenden, um Kundendaten zu löschen oder zu ändern.
Sie müssen eine Fachkraft für die Mandantenadministration sein, um Benutzende aus dem Mandanten löschen zu können.
Exportieren
Das „Recht auf Datenübertragbarkeit“ gestattet einer betroffenen Person, eine Kopie ihrer personenbezogenen Daten in einem elektronischen Format (d. h. „einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format“) anzufordern, das an einen anderen Verantwortlichen übertragen werden kann.
Um auf eine Datenübertragbarkeitsanforderung zu reagieren, können Sie Kundendaten in Dataverse exportieren, indem Sie die umfassenden Exportfunktionen für Entitäten verwenden. Sie können Kundendaten in eine statische Excel-Datei exportieren, um eine Datenübertragbarkeitsanforderung zu erleichtern. Mithilfe von Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Übertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format wie .csv oder .xml speichern.
Die Finanz- und Betriebsarchitektur bietet Datenverwaltungs- und Integrationsentitäten, die vorgegebene Entitäten, neu erstellte Entitäten oder erweiterte Entitäten für einen wiederholbaren Export personenbezogener Daten nach Excel oder eine Reihe anderer gängiger Formate über Datenimport- und Exportaufträge ermöglichen. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, um einen Antrag auf Datenübertragbarkeit einfacher erfüllen zu können. Wenn Sie Kundendaten auf diese Weise nach Excel exportieren, können Sie dann die personenbezogenen Daten bearbeiten, die in die Portabilitätsanforderung aufgenommen und die Datei als häufig verwendete, maschinenlesbares Format wie .csv oder .xmlgespeichert werden.
Sie können den Personensuchbericht verwenden, um die betroffene Person mit Daten bereitzustellen, die Sie als personenbezogene Daten klassifiziert haben.
Sie müssen ein Mandantenadministrator sein, um Benutzerdaten aus dem Mandanten exportieren zu können.
Teil 2: Vom System generierte Protokolle
Microsoft bietet Ihnen außerdem die Möglichkeit, auf vom System generierte Protokolle zuzugreifen, sie zu exportieren und zu löschen, die möglicherweise unter der allgemeinen Definition der DSGVO "personenbezogene Daten" persönlich sind. Beispiele für vom System generierte Protokolle, die unter der DSGVO persönlich sein können, sind:
- Produkt- und Service-Nutzungsdaten, wie Benutzeraktivitätsprotokolle
- Suchanfragen und Abfragedaten von Benutzern
- Daten, die von Produkten und Services als Produkt der Systemfunktionen und -interaktion von Benutzenden oder anderen Systemen generiert wurden
Von Bedeutung
Das System unterstützt nicht die Möglichkeit, Daten in vom System generierten Protokollen einzuschränken oder zu korrigieren. Daten in vom System generierten Protokollen umfassen sachliche Aktionen, die innerhalb der Microsoft Cloud durchgeführt werden, sowie Diagnosedaten. Eine Änderung dieser Daten würde die historische Aufzeichnung von Aktionen gefährden und Betrugs- und Sicherheitsrisiken erhöhen.
Anträge betroffener Personen für vom System generierte Protokolle ausführen
- System-Generated protokolliert Prozesse von Anträgen betroffener Personen für Dynamics 365 Project Operations