Microsoft-Support und Professional Services für Anträge betroffener Personen für die DSGVO und den CCPA

Einführung in Microsoft Professional Services

Microsoft Professional Services umfasst eine heterogene Gruppe aus technischen Architekten, Technikern, Beratern und Supportmitarbeitern, welche die Mission von Microsoft unterstützen, es Kunden zu ermöglichen, mehr zu tun und mehr zu erreichen. Unser Professional Services-Team umfasst insgesamt mehr als 21 000 Berater, Berater für digitale Angelegenheiten, Premier-Support, Techniker und Vertriebsmitarbeiter in 191 Ländern, die 46 unterschiedliche Sprachen sprechen, mehrere Millionen Engagements pro Monat absolvieren und vor Ort oder über Telefon, Internet, Community und automatisierte Tools mit Kunden und Partnern interagieren. Die Organisation liefert umfangreiche Kenntnisse über das gesamte Spektrum des Microsoft-Portfolios hinweg, wofür ein weites Partnernetzwerk, technische Communitys, Tools, Diagnosen und Kanäle verwendet werden, die uns mit unseren Unternehmenskunden verbinden.

Weitere Informationen zu Microsoft Professional Services finden Sie auf der Webseite Microsoft Professional Services-Sicherheitsdokumentation. Microsoft Professional Services nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst. Die Informationen in diesem Dokument dienen dazu, Kundenfragen zu beantworten, wie z.B. die Support- und Beratungsangebote von Microsoft auf Kunden im Rahmen der DSGVO reagieren und sie bei der Beantwortung von DSR-Verpflichtungen (Data Subject Request) unterstützen.

Einführung in Anträge betroffener Personen

Die Datenschutz-Grundverordnung (DSGVO) gewährt Personen (die in den Bestimmungen als betroffene Personen bezeichnet werden) das Recht zum Verwalten ihrer personenbezogenen Daten, die von einem Arbeitgeber oder von einer anderen Art von Behörde oder Organisation (als Datenverantwortlicher oder nur Verantwortlicher bezeichnet) erfasst werden. Personenbezogene Daten sind im Rahmen der DSGVO weitgefasst als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO erteilt betroffenen Personen bestimmte Rechte für ihre personenbezogenen Daten; dazu gehören das Kopieren der personenbezogenen Daten, das Anfordern von Korrekturen, das Einschränken der Verarbeitung oder das Löschen. Eine formale Anfrage einer betroffenen Person an einen Datenverantwortlichen im Hinblick auf eine bestimmte Aktion bezüglich ihrer personenbezogenen Daten wird als Antrag einer betroffenen Person bezeichnet. Zudem sind Unternehmen, die für einen Verantwortlichen arbeiten (als Datenauftragsverarbeiter oder nur Auftragsverarbeiter bezeichnet), verpflichtet, den Verantwortlichen im Rahmen ihrer Möglichkeiten dabei zu unterstützen, den Anträgen betroffener Personen Folge zu leisten.

In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden. Die Definition von "Verkäufe" umfasst die Freigabe von Daten für eine angemessene Gegenleistung. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

In diesem Leitfaden wird erläutert, wie Sie personenbezogene Daten, die sich in IT-Systemen von Microsoft befinden und möglicherweise erfasst wurden, um Support und andere Professional Services-Angebote bereitzustellen, finden, aufrufen und verarbeiten können.

Bei der Entwicklung und Implementierung einer festen Vorgehensweise für die Reaktion auf Anträge betroffener Personen müssen Kunden von Microsoft wissen, dass Support- und Beratungsdaten getrennt von Kundendaten in den Onlinediensten oder anderen Daten, die sie oder ihre betroffenen Personen an Microsoft übermittelt haben, gespeichert werden. Tools und Prozesse, die für Onlinedienste, das Microsoft-Datenschutz-Dashboard oder andere Microsoft-Systeme für die Reaktion auf Anträge betroffener Personen bereitgestellt wurden, können nicht verwendet werden, um auf Anträge betroffener Personen bezüglich personenbezogener Daten zu reagieren, die im Besitz von Microsoft-Support oder Professional Services sind.

Sämtliche Anträge müssen wie später in diesem Artikel beschrieben über einen Supportmitarbeiter erfolgen. Es gibt derzeit kein Selbstbedienungstool, mit dem Kunden Zugriff auf personenbezogene Daten in den Professional Services-Organisationen erhalten könnten.

Übersicht über die in diesem Leitfaden beschriebenen Prozesse

  • Ermittlung: Verwenden Sie Such- und Ermittlungstools, um Kundendaten leichter zu finden, die möglicherweise Gegenstand eines Antrags einer betroffenen Person sind. Sobald potenziell geeignete Dokumente gefunden wurden, können Sie eine oder mehrere der Aktionen für Anträge betroffener Personen durchführen, die in den folgenden Schritten beschrieben sind, um auf den Antrag der betroffenen Person zu reagieren. Andernfalls können Sie bestimmen, dass der Antrag nicht den Unternehmensrichtlinien für die Reaktion auf Anträge betroffener Personen entspricht.
  • Zugriff: Rufen Sie personenbezogene Daten ab, die sich in der Microsoft Cloud befinden, und erstellen Sie eine Kopie, die der betroffenen Person zur Verfügung gestellt werden kann, sofern dies beantragt wurde.
  • Berichtigung: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere Aktionen aus, die für die Daten angefordert werden.
  • Einschränkung: Schränken Sie die Verarbeitung personenbezogener Daten entweder durch Zurückziehen von Lizenzen für verschiedenen Azure-Dienste oder durch Deaktivieren der gewünschten Dienste wo möglich ein. Des Weiteren können Sie Daten aus der Microsoft-Cloud entfernen und diese lokal oder an einem anderen Ort aufbewahren.
  • Löschung: Entfernen Sie personenbezogene Daten, die sich in der Microsoft-Cloud befinden, dauerhaft.
  • Exportieren/Empfangen (Portierbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) von personenbezogenen Daten oder persönlichen Informationen zur Verfügung. Personenbezogene Informationen gemäß CCPA sind alle Informationen, die eine identifizierte oder identifizierbare Person betreffen. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden. Der definierte Begriff "persönliche Informationen" entspricht in etwa dem Begriff "persönliche Daten" unter der DSGVO. Allerdings umfasst das CCPA auch Familien- und Haushaltsdaten. Weitere Informationen zum CCPA finden Sie im "California Consumer Privacy Act und in den häufig gestellten Fragen zum California Consumer Privacy Act.

Begrifflichkeiten

Nachstehend sind die für diesen Leitfaden relevanten Definitionen von Ausdrücken aus der DSGVO aufgeführt:

  • Datenverantwortlicher: Eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Sofern die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt werden, können der Datenverantwortliche bzw. die spezifischen Kriterien für dessen Benennung durch das Recht der Union oder des Mitgliedstaats angegeben werden.
  • Personenbezogene Daten und betroffene Person: Alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("betroffene Person"). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Zusätzliche Begriffe und Definitionen, die möglicherweise hilfreich für das Verständnis dieses Leitfadens sind

  • Support- und Beratungsdaten: Alle Daten, einschließlich Text, Ton, Video, Bilddateien und Software, die Microsoft durch den Kunden oder in dessen Namen durch ein Engagement mit Microsoft übermittelt werden (oder deren Abruf durch Microsoft über einen Onlinedienst vom Kunden genehmigt wird), um Support oder Professional Services zu erhalten. Dies beinhaltet keine erfassten Daten, für die Microsoft der Daten-Controller ist, einschließlich Kontaktdaten des Kunden.
  • Kundenkontakt: Personenbezogene Daten, die möglicherweise Teil Ihrer Geschäftsbeziehungen mit Microsoft sind, z. B. personenbezogene Daten, die in Ihren Kundenkontaktinformationen enthalten sind. Dies kann Ihr Name, E-Mail-Adresse oder Telefonnummer des Premier-Contract-Service-Managers (CSM), des globalen Administrators oder IT-Administrators für einen Online-Dienst oder eine ähnliche Rolle sein.
  • Pseudonymisierte Daten: Wenn Sie den Microsoft-Support für Enterprise-Produkte und -Dienste von Microsoft verwenden, generiert Microsoft Informationen, die mit einem numerischen Bezeichner von Microsoft verknüpft sind, um den Support bereitzustellen. Diese Informationen werden oft als „Pseudonymisierte Daten“ bezeichnet. Zwar können diese Daten ohne zusätzliche Informationen keiner spezifischen Person zugeordnet werden, jedoch fallen einige unter die weite Definition personenbezogener Daten gemäß der DSGVO. Innerhalb von Professional Services umfassen Anträge zur Erfüllung oder Unterstützung bei der Erfüllung von Anträgen betroffener Personen immer automatisch auch die Behandlung pseudonymisierter Daten.

Verwenden dieses Leitfadens

Dieser Leitfaden behandelt vier Szenarien, die für einen Kunden relevant sein könnten, wenn er Microsoft Professional Services genutzt hat.

  • Antrag einer betroffenen Person für einen Kundenkontakt gegenüber Microsoft: Erklärung dazu, wie Microsoft auf Anträge eines Kundenkontakts oder IT-Administrators zur Ausübung ihrer Rechte als betroffene Personen reagiert.
  • Antrag einer betroffenen Person für einen Endbenutzer gegenüber Microsoft: Erklärung dazu, wie Microsoft auf Anträge von Mitarbeitern oder anderen betroffenen Personen eines Kunden zur Ausübung ihrer Rechte reagiert.
  • Antrag einer betroffenen Person für vom Kunden zur Verfügung gestellte Daten: gewerblicher Support: Erklärung dazu, wie Sie Unterstützung von Microsoft erhalten, wenn ein Kunde einen Antrag von einem Mitarbeiter oder einer anderen betroffenen Person zur Ausübung ihrer Rechte erhalten hat, wobei die personenbezogenen Daten dieser betroffenen Person während eines Support-Engagements vom Microsoft-Support erfasst wurden.
  • Antrag einer betroffenen Person für vom Kunden zur Verfügung gestellte Daten: Beratungsdienste einschließlich FastTrack-Migrationsdienste: Erklärung dazu, wie Sie Unterstützung von Microsoft erhalten, wenn ein Kunde einen Antrag von einem Mitarbeiter oder einer anderen betroffenen Person zur Ausübung ihrer Rechte erhalten hat, wobei die personenbezogenen Daten dieser betroffenen Person während eines Beratungsengagements von Microsoft erfasst wurden.

Antrag einer betroffenen Person für einen Kundenkontakt gegenüber Microsoft

Wie Microsoft auf Anträge eines Kundenkontakts oder IT-Administrators zur Ausübung ihrer Rechte als betroffene Personen reagiert.

Wenn ein Kunde Support- oder Beratungsdienste von Microsoft anfordert, erfasst der Microsoft-Support automatisch die personenbezogenen Daten des Kundenkontakts (z. B. Premier-CSM, globaler Administrator, IT-Administrator) oder ruft diese aus Firmendatensätzen ab. Dies umfasst wahrscheinlich den Namen, die E-Mail-Adresse, die Telefonnummer und andere personenbezogene Daten der Person, die die Support- oder Beratungsdienste anfordert.

Die personenbezogenen Daten des Kundenkontakts sind Teil der Geschäftsbeziehung von Microsoft mit dem Kunden, und Microsoft ist der Data Controller, außer wenn die Daten bei der Bereitstellung von technischem Support erhoben werden. Microsoft reagiert auf Anträge betroffener Personen seitens des Kundenkontakts im Hinblick auf personenbezogene Daten, unabhängig davon, ob sie sich immer noch im Besitz der Organisation befinden.

Wenn die personenbezogenen Daten des Kundenkontakts im Rahmen der Bereitstellung von technischem Support gesammelt werden, ist Microsoft der Datenauftragsverarbeiter.

Kunden müssen wissen, dass sich Anträge betroffener Personen nur auf die personenbezogenen Daten des Kundenkontakts beziehen und keine Änderungen oder Löschungen an Daten des Kunden vorgenommen werden, die im Rahmen des Engagements übermittelt wurden (z. B. Transkripte, Fallbeschreibungen, Dateien, Arbeitsergebnisse), da Microsoft der Datenverarbeiter ist. Zudem werden zur Beibehaltung historischer Datensätze des Engagements keinerlei Änderungen an geschlossenen Engagements vorgenommen, einschließlich des Datensatzes desjenigen, der das Engagement eröffnet hat.

Bei Eingang einer Anfrage eines Kundenkontakts zu einem Antrag einer betroffenen Person, bei dem Microsoft der Datenverantwortliche ist, leiten Microsoft-Mitarbeiter den Kundenkontakt zum Datenschutz-Support-Center von Microsoft weiter. Dies ist der primäre Eingabemechanismus von Microsoft für Anfragen und Beschwerden im Bereich des Datenschutzes. Bei Eingang einer Anfrage identifiziert das Datenschutz-Support-Center, dass diese Teil eines kommerziellen oder Organisationskontos ist und reagiert entsprechend.

Wann Microsoft der Auftragsverarbeiter ist, finden Sie unter Antrag einer betroffenen Person für vom Kunden bereitgestellte Daten: Kommerzieller Support weiter unten.

Damit auf Seiten des Kunden keine Betriebsunterbrechung entsteht, bearbeitet Microsoft Anträge betroffener Personen in Verbindung mit einem Engagement erst dann, wenn ein Ersatzkontakt bestätigt wurde. Nach Bestätigung eines neuen Kontakts ersetzt Microsoft den alten Kontakt in offenen Engagements durch den neuen Kontakt.

Kunden können wählen, Änderungen an ihren während Professional Service-Engagements erfassten Daten über normale Support- oder Beratungskanäle separat von diesem Antrag einer betroffenen Person vorzunehmen. Microsoft kann z. B. auf Anfrage beim Löschen von Support-Engagements helfen (siehe Abschnitt Leitfaden zu Anträgen betroffener Personen für von Kunden bereitgestellte Daten).

Beispiel zur Veranschaulichung

John ist Projektmanager für einen Office 365-Enterprise-Kunden mit einem offenen Beratungsengagement und zwei geschlossenen Engagements. Jetzt verlässt John das Unternehmen und möchte, dass seine Daten gelöscht werden. John wendet sich an das Privacy Response Center (PRC), das ihn als Projektmanager identifiziert. John wird informiert, dass sein Name nicht aus den früheren (geschlossenen) Engagements oder aus Daten in den offenen Engagements gelöscht werden kann. Das PRC kann John jedoch als Kontakt für das aktuell offene Engagement ersetzen, sofern er einen Ersatzkontakt benennt. John teilt Microsoft mit, dass Jane sein Ersatzkontakt ist, woraufhin Microsoft die Änderung in allen Support-Systemen vornimmt.

Antrag einer betroffenen Person für einen Endbenutzer gegenüber Microsoft

Wie Microsoft auf Anträge von Mitarbeitern oder anderen betroffenen Personen eines Kunden zur Ausübung ihrer Rechte reagiert.

Wenn sich ein Mitarbeiter oder eine andere betroffene Person eines Kunden an Microsoft wendet, um seine bzw. ihre Rechte bezüglich Daten geltend zu machen, die Microsoft als Datenauftragsverarbeiter erfasst hat, wird die betroffene Person informiert, dass sie den Kunden von Microsoft in seiner Rolle als Datenverantwortlicher kontaktieren muss, um diese Rechte auszuüben. Microsoft wird keine weiteren Maßnahmen ergreifen.

Wenn die betroffene Person Microsoft auch bezüglich der Ausübung ihrer Rechte für Daten kontaktiert hat, die Microsoft in Situationen erfasst hat, in denen Microsoft als Datenverantwortlicher fungiert (z. B. Verbrauchersupport, kommerzieller Kundenkontakt), reagiert Microsoft separat auf den Antrag der betroffenen Person für diese personenbezogenen Daten.

Beispiel zur Veranschaulichung

Jane ist Mitarbeiterin des Enterprise-Kunden Contoso, die ihr ein Dynamics 365-Konto zugewiesen haben. Sie kontaktiert Microsoft, damit all ihre Daten gelöscht werden, und wird an das Privacy Response Center (PRC) verwiesen. Jane füllt das Antragsformular aus. Das Privacy Response Center identifiziert sie als Enterprise-Endbenutzerin und teilt ihr mit, dass ihre Enterprise-Daten nur über Contoso gelöscht werden können. Sie wird auch als Microsoft X-Box-Benutzerin identifiziert und ihre Daten werden aus ihrem Microsoft-Verbraucherkonto gelöscht.

Antrag einer betroffenen Person für vom Kunden bereitgestellte Daten: Kommerzieller Support

Wie ein Kunde, der einen Antrag von einem Mitarbeiter oder einer anderen betroffenen Person zur Ausübung ihrer Rechte erhalten hat, wobei die personenbezogenen Daten dieser betroffenen Person während eines Support-Engagements vom Microsoft-Support erfasst wurden, Unterstützung von Microsoft erhält.

Wenn ein Kunde mit dem Microsoft-Support interagiert, erfasst Microsoft Supportdaten des Kunden, um alle Probleme zu beheben, die ein Support-Engagement erforderlich gemacht haben. Diese Supportdaten umfassen die Interaktion von Microsoft mit dem Kunden (z. B. Chat, Telefon, E-Mail, Web-Übermittlung) plus sämtliche Inhaltsdateien, die der Kunde an Microsoft sendet oder die Microsoft mit Erlaubnis des Kunden aus der IT-Umgebung oder dem Onlinedienste-Mandanten des Kunden extrahiert hat, um das Support-Problem zu beheben. Im Falle des Premier-Support umfasst dies auch sämtliche Daten, die wir erfassen, um zukünftige Probleme proaktiv zu verhindern. Davon ausgenommen sind jedoch andere Informationen aus der Geschäftsbeziehung zwischen Microsoft und dem Kunden (z. B. Abrechnungsdatensätze).

Für alle Support- und Kontaktdaten, die im Rahmen des Supports gesammelt werden, ist Microsoft der Datenverarbeitungsdienst. Daher reagiert Microsoft nicht auf direkte Anfragen von betroffenen Personen in Bezug auf Supportdaten, die bereitgestellt wurden, als sie einem kommerziellen Microsoft-Kunden zugeordnet waren. Microsoft unterstützt den Kunden über die normalen Support-Kanäle bei der Reaktion auf Anträge betroffener Personen.

Schritt 1: Ermittlung

Der erste Schritt beim Anfordern von Unterstützung von Microsoft für die Reaktion auf Anträge betroffener Personen ist das Auffinden der personenbezogenen Daten, auf die sich der Antrag bezieht. Dieser erste Schritt – "Finden und Prüfen der betreffenden personenbezogenen Daten" – hilft einem Kunden dabei, zu bestimmen, ob ein Antrag einer betroffenen Person die Organisationsrichtlinien für Anträge betroffener Personen erfüllt.

Nachdem der Kunde die Daten gefunden hat, kann er die entsprechende Aktion ausführen, um auf den Antrag der betroffenen Person zu reagieren. Die gewünschte Aktion bestimmt den Umfang der Ermittlung, die der Kunde durchführen muss.

Wenn Microsoft einen Kunden bei der Reaktion auf einen Antrag einer betroffenen Person unterstützt, handelt es sich um eine Geschäftsfunktion, und der Antrag wird über Ihren regulären Support-Kanal gestellt und nicht über eine Anfrage beim Datenschutz-Support-Center.

Während er relevante Daten ausfindig macht und sich die Unterstützung von Microsoft sichert, hat ein Kunde mehrere Optionen, den Antrag einer betroffenen Person zu bearbeiten:

Option A: Microsoft-Support-übergreifender Antrag einer betroffenen Person durch den Kunden. Anwenden des Antrags einer betroffenen Person auf alle Supportdaten des Kunden in der Support-Umgebung von Microsoft. Der Kunde muss Microsoft lediglich bitten, genau dies zu tun.

Option B: Spezifische Kunden-Engagements. Nutzen Sie Online-Systeme, um Tickets zu überprüfen, und identifizieren Sie dann spezifische Engagements, die die relevanten personenbezogenen Daten enthalten, und melden Sie sie an Microsoft. Microsoft wird versuchen, bei der Ausführung einer Suche Unterstützung anzubieten, falls der Kunde nicht die Möglichkeit hat, Engagements (Tickets) zu durchsuchen.

Nachdem Engagements identifiziert wurden, fordern Sie an, dass der Antrag der betroffenen Person auf einen spezifischen Teil des Datensatzes oder Microsoft-weit auf alles in Verbindung mit diesem Engagement angewendet wird.

Um bestimmte Engagements zu identifizieren, müssen Kunden Engagement-übergreifend suchen. Bei Premier-Kunden hat der Contract Service Manager ("CSM") für einen Kunden Einblick in alle Supportanfragen, die unter diesem Vertragsplan erstellt werden. Bei Nicht-Premier-Kunden sind entsprechende Portale für den Support im Rahmen von Engagements verfügbar, z. B. über Supportbereiche von Onlinediensten.

Der CSM kann das Portal unter Services Hub aufrufen und die Verwaltung aller Supportanfragen auswählen.

Wichtig

Zusätzlich zum Fallverlauf im Servicehub verfügen Kunden möglicherweise auch über personenbezogene Daten eines Endbenutzers in Dateien, die von Microsoft während eines Support-Engagements gesammelt (oder mit Zustimmung des Kunden aus dem Onlinedienst entfernt) wurden. Beispiele hierfür sind Kopien von Exchange-Postfächern, Azure-VMs oder Datenbanken des Kunden. Diese personenbezogenen Daten können, oder können nicht, im Fallverlauf (d. h. Ticket) für einen bestimmten Einsatz erwähnt werden. Um diese Daten zu überprüfen, muss der Kundenkontakt ein bestimmter authentifizierter Supportanfragekontakt (über AAD oder MSA) sein, der eine URL für einen Arbeitsbereich in Microsoft-Support Data Transfer and Management Tool (DTM) erhalten hat. Ein Kundenkontakt hat Zugriff auf die Dateien, aber es ist keine globale Ansicht verfügbar, und der Servicehub gibt nicht an, ob Dateien vorhanden sind.

Nachdem Kunden alle relevanten Daten in den ausgewählten Supporttickets identifiziert haben, können sie entscheiden, ob sie die Löschung von allen Elementen im Zusammenhang mit einem Ticket anfordern oder den Antrag der betroffenen Person selektiv auf einzelne Instanzen personenbezogener Daten anwenden.

Schritt 2: Zugriff

Nachdem ein Kunde Supportdaten mit personenbezogenen Daten ermittelt hat, die möglicherweise zu einem Antrag einer betroffenen Person passen, muss der Kunde entscheiden, welche personenbezogenen Daten in die Reaktion einbezogen werden. Beispielsweise kann der Kunde entscheiden, personenbezogene Daten zu anderen betroffenen Personen sowie vertrauliche Informationen zu entfernen.

Die Reaktion auf den Antrag der betroffenen Person kann eine Kopie des ursprünglichen Dokuments, eine angemessen bearbeitete Version oder einen Screenshot der Teile enthalten, die der Kunde weitergeben möchte. Bei jeder dieser Reaktionen auf eine Zugriffsanforderung müssen Sie eine Kopie des Dokuments oder eines anderen Elements, das die entsprechenden Daten enthält, abrufen.

Zugriff auf die personenbezogenen Daten eines Endnutzers kann aus einer Erwähnung oder Notation in den verschiedenen Typen von Inhaltsdokumentation erfolgen. Da Kunden auf das Ticket des Engagements und die Inhalte zugreifen können, können sie selbst und ohne weitere Unterstützung durch Microsoft eine Zusammenfassung der personenbezogenen Daten bereitstellen.

In seltenen Fällen kann es notwendig sein, dass Kunden Kopien der supportbezogenen Interaktionsdaten (z. B. E-Mails, transkribierte Kopien von Anrufmitschnitten, Chatprotokolle) benötigen, die zwischen einem Microsoft-Mitarbeiter und dem Vertreter des Kunden ausgetauscht wurden. Soweit erforderlich kann Microsoft bearbeitete Kopien dieser Aufzeichnungen basierend auf Notwendigkeit, Vertraulichkeit und Schwierigkeit bereitstellen.

Schritt 3: Berichtigung

Wenn eine betroffene Person den Kunden dazu aufgefordert hat, die personenbezogenen Daten zu berichtigen, die sich in den Supportdaten der Organisation befinden, muss der Kunde bestimmen, ob diesem Antrag nachzukommen ist. Wenn der Kunde entscheidet, dem Antrag nachzukommen, kann er Microsoft auffordern, die Änderung vorzunehmen. Microsoft kann die Daten berichtigen oder die Daten des Kunden aus den Supportsystemen löschen und den Kunden auffordern, sie im korrigierten Format erneut an Microsoft zu senden.

Schritt 4: Einschränkung

Der Kunde kann jederzeit ein Engagement schließen oder Microsoft kontaktieren und das Schließen des Engagements beantragen. Ein geschlossenes Engagement verhindert, dass Arbeiten ausgeführt werden.

Um ganz sicherzugehen, kann der Kunde Microsoft kontaktieren und fordern, dass ein Hinweis im Ticketsystem des Engagements vermerkt wird, dass der Fall ohne die Erlaubnis des Kunden nicht erneut geöffnet werden darf.

Hinweis: Engagements (Tickets) werden gemäß eines Zeitplans für die Aufbewahrung und Löschung gelöscht, basierend auf der Vertraulichkeit von Daten, dem Service und dem System. Wenn der Kunde eine Kopie der Daten anfordert, muss sichergestellt werden, dass die Daten vor der Löschung extrahiert wurden.

Schritt 5: Löschung

Das "Recht auf Löschung" durch das Entfernen personenbezogener Daten aus den Supportdaten einer Organisation ist ein wichtiger Schutz in der DSGVO. Das Entfernen personenbezogener Daten umfasst die Löschung ganzer Engagements, Dokumente oder Dateien oder das Löschen von bestimmten Daten innerhalb eines Engagements, eines Dokuments oder einer Datei.

Nachfolgend finden Sie einige wichtige Hinweise, wie das Löschen für den Microsoft-Support funktioniert. Diese sollte ein Kunde beachten, wenn er als Reaktion auf einen Antrag einer betroffenen Personen Daten untersucht oder plant, personenbezogene Daten zu löschen.

Auf alle Daten bei Microsoft wird eine Richtlinie zur Aufbewahrung und Löschung angewendet, die je nach Risiko und anderen Faktoren variiert.

Kunden können die Löschung der personenbezogenen Daten einer betroffenen Person universell für alle Supportsysteme über Ihren TAM oder durch Übermittlung einer Supportanforderung im Servicehub oder einem gleichwertigen System beantragen. Sie müssen darauf hinweisen, dass dies eine Anforderung zur Unterstützung bei einem Antrag einer betroffenen Person gemäß der DSGVO ist.

Option A: Microsoft-Support-übergreifende Kundenanträge betroffener Personen. Bei einem systemübergreifenden Antrag einer betroffenen Person muss der Kunde die personenbezogenen Daten bereitstellen, die Microsoft zur Identifizierung der erforderlichen Daten benötigt (z. B. E-Mail-Adresse, Telefonnummer). Microsoft wird keine Datensätze korrelieren oder untersuchen, sondern nur direkt nach Bezeichnern suchen, die vom Kunden bereitgestellt wurden. Wenn Daten gefunden werden, löscht Microsoft alle Engagements und alle zugehörigen Daten.

Wichtiger Hinweis: Dies kann dazu führen, dass historische Datensätze, die für die Organisation des Kunden wichtig sind, verloren gehen.

Option B: Spezifische Kunden-Engagements. Löschen Sie für bestimmte Engagements, die der Kunde identifiziert hat und löschen möchte, keine Tickets aus dem Servicehub. Dies führt dazu, dass personenbezogene Daten in Protokollen und nachgeschalteten Systemen verbleiben, die nicht innerhalb des erforderlichen Zeitrahmens gelöscht werden können. Identifizieren Sie stattdessen das Ticket oder die personenbezogenen Daten innerhalb des Tickets, das gelöscht werden muss, und wenden Sie sich an den Microsoft-Support, damit er sie bei der Löschung dieser Daten unterstützt.

Anweisungen zum Data Transfer and Management Tool (DTM) des Microsoft-Supports

Bei all diesen Suchen sucht Microsoft aufgrund der potenziellen Vertraulichkeit der Dateiinhalte nicht im gesamten DTM. Wenn der Kunde dies wünscht, löscht Microsoft jedoch alle Dateien im DTM, die dem Konto des Kunden zugeordnet sind. Aufgrund der möglichen schwerwiegenden Auswirkungen für den Kunden benötigt Microsoft eine separate Anforderung vom Kunden für die Löschung von DTM-Dateien.

  • Bei offenen Fällen kann der Kundenkontakt in DTM gehen und Dateien löschen.
  • Bei Fällen, die weniger als 90 Tage lang geschlossen sind, muss ein Antrag an einen TAM oder in einer Supportanforderung gestellt werden, damit die Dateien entfernt werden.
  • Bei Fällen, die mehr als 90 Tage lang geschlossen sind, wurden die Dateien bereits automatisch gelöscht.
  • Auch wenn die personenbezogene Daten nur in einer Datei gespeichert waren, die gelöscht wurde, müssen Kunden trotzdem eine Prüfung durch Microsoft nach den personenbezogenen Daten über alle Systeme vornehmen lassen, da einige Daten im Laufe der Supportleistung möglicherweise aus dem DTM entfernt wurden.

Schritt 6: Export

Das "Recht auf Datenübertragbarkeit" ermöglicht es einer betroffenen Person, eine Kopie ihrer personenbezogenen Daten in elektronischem Format anzufordern und zu verlangen, dass Ihre Organisation sie an einen anderen Verantwortlichen übermittelt. Im Falle von Supportdaten liegen nutzbare Informationen bei Microsoft in Form von Engagement-Informationen oder Dateien vor, die zwecks erneuter Kommunikation oder Hochladen an einen anderen Verantwortlichen an Sie zurückgegeben werden können.

Hinweis: Exportierte Daten dürfen kein geistiges Eigentum von Microsoft oder andere Daten enthalten, welche die Sicherheit oder Stabilität des Dienstes kompromittieren könnten.

Beispiel zur Veranschaulichung

John ist ein Premier-CSM für den Enterprise-Kunden Contoso, der Office 365 für den E-Mail-Verkehr seiner Mitarbeiter nutzt und Azure zum Hosten einer Contoso SQL-Datenbank. Contoso verfügt über mehrere offene und geschlossene Tickets. Vor kurzem hat der Microsoft-Support mit Erlaubnis von Contoso eine Kopie der SQL-Datenbank zwecks Support und Problembehandlung in DTM verschoben.

John erhält einen Antrag einer betroffenen Person von Jane, in dem sie die Löschung all ihrer Daten anfordert. John durchsucht im Servicehub Engagements und stellt fest, dass Jane Probleme mit dem E-Mail-Konto hatte und daher in zwei Tickets mit Name und E-Mail-Adresse erwähnt wurde. Er kontaktiert seinen TAM, teilt ihm den Namen und die E-Mail-Adresse von Jane als Kennzeichner mit und beantragt, dass diese beiden Tickets zusammen mit allen Downstream-Daten, die möglicherweise außerhalb dieser Tickets generiert wurden, gelöscht werden.

Außerdem vermutet er, dass es ein Chatgespräch mit Supportmitarbeitern gab, in dem er Jane erwähnt hat, weshalb er die Löschung dieses Chatprotokolls fordert.

Er weiß auch, dass sich Janes personenbezogene Daten in der SQL-Datenbank befinden. Da die SQL-VM vor weniger als 90 Tagen in DTM verschoben wurde, bittet er seinen TAM separat um Unterstützung bei der umgehenden Löschung der Datenbank aus DTM.

Und da er letztlich weiß, dass Daten während der Supportleistung möglicherweise aus der DTM-Datei entfernt wurden, bittet er Microsoft, alle IT-Systeme auf die personenbezogenen Daten von Jane aus der SQL-Datenbank zu prüfen.

Der Microsoft-Support führt all diese Löschungen durch, und der TAM stellt ihm basierend auf dem Kundenantrag einen Nachweis über die Löschung der erforderlichen Daten bereit.

Leitfaden für Anträge betroffener Personen für von Kunden bereitgestellte Daten in Beratungsdiensten, einschließlich Migrationsdiensten

Wie ein Kunde, der einen Antrag von einem Mitarbeiter oder einer anderen betroffenen Person zur Ausübung ihrer Rechte erhalten hat, wobei die personenbezogenen Daten dieser betroffenen Person während eines Beratungsengagements von Microsoft erfasst wurden, Unterstützung von Microsoft erhält.

Microsoft Consulting Services

Für Microsoft Consulting Services-Engagements, für die der Nachtrag zum Datenschutz von Microsoft Professional Services (https://aka.ms/professionalservicesdpa) gilt.

Microsoft ist der Datenverantwortliche für Kundenkontakte, die mit dem Engagement-Team arbeiten. Diese Personen müssen sich an das Datenschutz-Support-Center wenden, um Rechte betroffener Personen zu erfüllen.

Microsoft ist der Datenauftragsverarbeiter für einen Antrag einer betroffenen Person, der sich auf Daten bezieht, die während eines Beratungsengagements übermittelt wurden. Der Kunde muss den Engagement-Manager kontaktieren, um einen Plan für die Unterstützung bei der Reaktion auf Anträge betroffener Personen basierend auf den erfassten Daten und dem spezifischen Typ der bereitgestellten Beratungsdienste zu erstellen. Soweit Ihr Antrag einen Aufwand darstellt, der innerhalb eines Microsoft Consulting Services-Engagements typisch ist, ist möglicherweise eine zusätzliche Bestellung erforderlich. Darüber hinaus werden personenbezogene Daten nach jedem Beratungsengagement innerhalb eines Zeitrahmens gelöscht, der von der Art des Beratungsengagements abhängt. Der Kunde kann beantragen, dass Daten eher gelöscht werden, und einen Nachweis über die Löschung anfordern.

Microsoft FastTrack Services

Microsoft FastTrack bietet IT-Beratungsdienstleistungen für Organisationen, um ihnen zu helfen, Microsoft Cloud Services wie Microsoft 365, Azure und Dynamics 365 aufzunehmen und zu verwenden.

Microsoft ist der Datenverantwortliche für Kundenkontakte, die mit dem FastTrack-Team arbeiten. Wenn Kundenkontakte Kontaktinformationen aus den Microsoft FastTrack-Datensätzen aufrufen, prüfen oder entfernen möchten, können Kunden die betroffene Person anweisen, den Antrag direkt an das Office 365 FastTrack-Postfach für Anträge gemäß der DSGVO zu senden<o365ftgdpr@microsoft.com>.

Für FastTrack-Migrationsdienste ist Microsoft der Datenauftragsverarbeiter. In Übereinstimmung mit unserer zusätzlichen Datenschutzerklärung für Fast Track gelten alle Daten, die migriert werden, als "Migrationsdaten". Wenn Sie Anträge betroffener Personen ausführen müssen, während Ihr Unternehmen ein FastTrack-Migrationsprojekt durchführt, ist besondere Vorsicht geboten.

Wenn Sie Anträge betroffener Personen verarbeiten, korrigieren oder exportieren müssen, während die Daten eines Benutzers über FastTrack-Migrationssysteme verarbeitet werden, liegt es in der Verantwortung des Kunden, solche Anträge betroffener Personen über Ihre vorhandenen Quellsysteme zu erfüllen, in denen die Benutzerdaten gespeichert sind. Sobald die Migration des Benutzers abgeschlossen ist und die Daten zum Microsoft Cloud-Zieldienst migriert wurden, gelten die von Microsoft bereitgestellten Anleitungen dazu, wie Kunden Microsoft-Produkte, -Dienste und -Verwaltungstools verwenden können, um personenbezogene Daten zu finden und darauf zu reagieren, um auf die Anfrage der betroffenen Person zu reagieren. Informationen zu diesem Leitfaden finden Sie unter Anforderungen betroffener Benutzer für die DSGVO.

Wenn Sie ein Benutzerkonto als Reaktion auf einen Antrag einer betroffenen Person auf Löschung löschen müssen, während Ihr Unternehmen in ein laufendes FastTrack-Migrationsprojekt involviert ist, müssen Sie sich bewusst sein, dass Migrationssysteme möglicherweise eine Kopie der Benutzermigrationsdaten für einen bestimmten Zeitraum nach Abschluss der Benutzermigration beibehalten. Durch die Löschung des Benutzerkontos werden solche in den FastTrack-Migrationssystemen gespeicherten Benutzermigrationsdaten nicht automatisch gelöscht. Wenn Sie möchten, dass das Microsoft FastTrack-Team Benutzermigrationsdaten löscht, können Sie eine Anfrage senden. Im normalen Geschäftsablauf löscht Microsoft FastTrack alle Kopien der Daten, sobald die Migration des Unternehmens abgeschlossen ist.

Sonstige Beratungsdienste

Kunden, die andere Professional Services von Microsoft nutzen, sollten mit dem Engagement-Team zusammenarbeiten, um alle DSGVO-Anforderungen zu erfüllen. Wenn das Engagement-Team keine klaren Anweisungen zur Erfüllung von Anträgen betroffener Personen gemäß der DSGVO geben kann, können Kunden das Datenschutz-Support-Center um Unterstützung bitten.