Beantwortung von DSGVO-Datensubjektexportanforderungen für Power Automate

Dieser Artikel bereitet Sie und Ihr Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union vor. Dieser Artikel beschreibt nicht nur, was Microsoft zur Vorbereitung auf die DSGVO tun, sondern Sie finden auch Beispiele für Schritte, die Sie heute mit Microsoft durchführen können, um die DSGVO-Kompatibilität bei der Verwendung von Power Apps, Power Automate und Common Data Service zu unterstützen.

Voraussetzungen

Benutzer und Administratoren können die in diesem Artikel aufgeführten Aktionen ausführen.

Benutzer

Ein Benutzer muss ein aktives Azure Active Directory Konto mit einer Power Automate Lizenz haben. Benutzer, die diese Anforderung nicht erfüllen, müssen einen Administratoren um Ausführung dieser Aktionen bitten.

Administratoren

Sie können die in diesem Artikel beschriebenen Vorgänge, die Administratorberechtigungen erfordern, ausführen, wenn Sie sich beim Power Platform Admin Center oder Power Apps Admin PowerShell mit einem Konto anmelden, das beide der folgenden Berechtigungen erfüllt:

Nicht verwaltete Mandanten

Wenn Sie Mitglied eines nicht verwalteten Mandanten sind, also Ihr Azure AD Mandant nicht über globale Administratorberechtigungen verfügt, können Sie die in diesem Artikel aufgeführten Schritte ausführen, um Ihre eigenen personenbezogenen Daten zu exportieren und zu löschen.

Antworten auf DSRs für Power Automate Kundendaten

Die DSGVO ermöglicht Personen (in der DSGVO als betroffene Personen bezeichnet), die personenbezogenen Daten zu verwalten, die von einem Arbeitgeber oder einer anderen Agentur oder Organisation (als Verantwortlicher bezeichnet) gesammelt wurden. Personenbezogene Daten werden in der DSGVO sehr weit als alle Daten gefasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO gewährt betroffenen Personen bestimmte Rechte an ihren personenbezogenen Daten. Diese Rechte umfassen das Abrufen von Kopien der personenbezogenen Daten, Anfordern von deren Korrektur, Einschränken von deren Verarbeitung, deren Löschung oder deren Empfang in einem elektronischen Format, sodass sie an einen anderen Verantwortlichen verschoben werden können. Eine formale Anforderung einer betroffenen Person an einen Verantwortlichen zur Durchführung einer Aktion an dessen personenbezogenen Daten wird als Antrag einer betroffenen Person bezeichnet.

In diesem Artikel wird erläutert, wie Produkte, Dienste und Verwaltungstools von Microsoft Verantwortlichen helfen können, bei der Reaktion auf Anträge betroffener Personen personenbezogene Daten zu suchen und damit umzugehen. Dieser Artikel behandelt insbesondere das Suchen von personenbezogenen Daten, die sich in der Microsoft Cloud befinden, sowie den Zugriff darauf und den Umgang mit ihnen. Im Folgenden finden Sie eine kurze Übersicht über die Prozesse, die in diesem Leitfaden beschrieben werden:

  1. Ermitteln: Verwenden Sie Such- und Ermittlungstools, um Kundendaten, die möglicherweise Gegenstand eines Antrags sind, leichter zu finden. Sobald potenziell für die Reaktion geeignete Dokumente erfasst sind, können Sie eine oder mehrere der in den folgenden Schritten beschriebenen DSR-Aktionen ausführen, um auf die Anforderung zu reagieren. Alternativ können Sie bestimmen, ob der Antrag nicht den Richtlinien Ihrer Organisation für die Beantwortung von Anträgen betroffener Personen entspricht. Power Automate DSR Discovery-Dokumentation

  2. Zugreifen: Rufen Sie personenbezogene Daten aus der Microsoft Cloud ab, und fertigen Sie gegebenenfalls eine Kopie an, die Sie der betroffenen Person zur Verfügung stellen können.

  3. Korrigieren: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor, oder führen Sie andere angeforderte Maßnahmen durch.

    Wenn ein Datensubjekt Sie zur Korrektur seiner persönlichen Daten auffordert, die sich in Ihrer Organisation befinden, müssen Sie und Ihre Organisation bestimmen, ob die Anerkennung der Anforderung angemessen ist. Die Korrektur der Daten kann Aktionen wie das Bearbeiten, Redigieren oder Entfernen personenbezogener Daten umfassen.

    Sie können Azure Active Directory verwenden, um Power Automate und Benutzer zu verwalten. Unternehmenskunden können DSR-Korrekturanforderungen, einschließlich begrenzter Bearbeitungsfeatures, nach Art eines bestimmten Microsoft-Diensts verwalten. Als Datenverarbeiter bietet Microsoft keine Möglichkeit an, vom System generiert Protokolle zu korrigieren, da diese Protokolle auf tatsächlichen Aktivitäten beruhen und einen Verlaufsdatensatz der Ereignisse im Microsoft Dienst erzeugen. Weitere Informationen zu DSR.

  4. Einschränken: Beschränken Sie die Verarbeitung personenbezogener Daten, indem Sie entweder Lizenzen für verschiedene Onlinedienste entfernen oder die gewünschten Dienste nach Möglichkeit deaktivieren. Sie können Daten auch aus der Microsoft Cloud entfernen und lokal oder an einem anderen Ort aufbewahren.

    Betroffene Personen können anfordern, das Verarbeiten ihrer persönlichen Daten zu beschränken. Microsoft bietet für diesen Zweck Anwendungsprogrammierschnittstellen (APIs) und Benutzeroberflächen (UIs). Mittels dieser Schnittstellen kann der Mandantenadministrator des Unternehmenskunden solche Anträge betroffener Personen durch eine Kombination aus Datenexport und Datenlöschung verwalten. Ein Kunde könnte (1) eine elektronische Kopie der personenbezogenen Daten des Benutzers exportieren, einschließlich Konten, vom System generierter Protokolle und zugeordneter Protokolle, gefolgt von (2) Löschen des Kontos und zugehöriger Daten, die sich innerhalb der Systeme von Microsoft befinden.

  5. Löschen: Unwiderrufliches Entfernen von personenbezogenen Daten, die sich in der Microsoft Cloud befinden. Weitere Informationen zum Löschen personenbezogener Daten.

  6. Exportieren: Stellen Sie eine elektronische Kopie (in einem maschinenlesbaren Format) der personenbezogenen Daten für die betroffene Person bereit. Jeder Abschnitt in diesem Artikel erläutert die technischen Maßnahmen, die eine verantwortliche Organisation ergreifen kann, um auf einen Antrag einer betroffenen Person in Bezug auf personenbezogene Daten in der Microsoft Cloud zu reagieren. Weitere Informationen zum Exportieren personenbezogener Daten.

Vom System generierte Protokolle

In diesem Handbuch finden Sie weitere Informationen zu vom System generierten Protokollen für Power Automate.

Siehe auch

Weitere Informationen zum Einsatz von Microsoft für Vertrauen, Sicherheit und Compliance finden Sie unter Service Trust Portal.