Antworten auf Datenabhängige Rechteanforderungen (DSR) für Power Apps-Kundendaten

Einführung in DSR-Anforderungen

Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union (EU), durch das Daten für alle Einzelpersonen in der EU geschützt werden (in der Verordnung als Datensubjekte bekannt), um die personenbezogenen Daten zu verwalten, die von einem Mitarbeiter oder einer anderen Art von Vertretung oder einer Organisation (bekannt als Datencontroller oder nur Controller) erfasst wurden. Personenbezogene Daten werden in der DSGVO sehr weit als alle Daten gefasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO gibt den Datensubjekten das Recht, in Bezug auf ihre personenbezogenen Daten Folgendes zu tun:

  • Erhalt von Kopien
  • Anfordern von Korrekturen
  • Einschränken der Verarbeitung
  • Löschen
  • Die Daten in einem elektronischen Format erhalten, damit sie zu einem anderen Controller verschoben werden können

Eine formelle Anforderung von einem Datensubjekt an einen Controller, bestimmte Aktionen an den personenbezogenen Daten vorzunehmen, bezeichnet man eine Datensubjektanforderung (DSR).

Dieser Artikel beschreibt, wie Microsoft die DSGVO vorbereitet, und enthält Beispiele für Schritte, die Sie zur Unterstützung der DSGVO-Konformität bei der Verwendung von Power Apps, Power Automate und Microsoft Dataverse ausführen können. Sie erfahren, wie Sie mit Microsoft-Produkten, -Diensten und -Verwaltungstools Controller-Kunden dabei unterstützen, personenbezogene Daten in der Microsoft-Cloud als Antwort auf DSR-Anforderungen zu finden, darauf zuzugreifen und darauf zu reagieren.

Die folgenden Aktionen werden in diesem Artikel behandelt:

  • Entdecken – Verwenden Sie Such- und Ermittlungstools, um Kundendaten, die möglicherweise Gegenstand einer DSR-Anfrage sind, einfacher zu finden. Sobald potenziell reaktionsfähige Dokumente erfasst wurden, können Sie eine oder mehrere der folgenden DSR-Aktionen ausführen, um auf die Anforderung zu antworten. Alternativ können Sie feststellen, dass die Anfrage nicht den Richtlinien Ihrer Organisation für die Beantwortung von DSR-Anfragen entspricht.

  • Zugriff – Rufen Sie personenbezogene Daten aus der Microsoft-Cloud ab und stellen Sie eine Kopie dieser Daten ggf. für die betroffene Person bereit.

  • Korrigieren – Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere angeforderte Maßnahmen durch.

  • Einschränken – Beschränken Sie die Verarbeitung personenbezogener Daten, indem Sie entweder Lizenzen für verschiedene Onlinedienste entfernen oder die gewünschten Dienste nach Möglichkeit deaktivieren. Sie können Daten auch aus der Microsoft Cloud entfernen und lokal oder an einem anderen Ort aufbewahren.

  • Löschen – Entfernen Sie personenbezogene Daten, die sich in der Microsoft-Cloud befinden.

  • Exportieren – Stellen Sie eine elektronische Kopie (in einem maschinenlesbaren Format) der personenbezogenen Daten für die betroffene Person bereit.

Entdecken

Der erste Schritt als Reaktion auf eine DSR-Anforderung ist es, persönliche Daten zu finden, die die Anforderung betreffen. Der erste Schritt, d. h. das Suchen und Überprüfen der betreffenden persönlichen Daten, hilft Ihnen bei der Ermittlung, ob eine DSR-Anforderung die Anforderungen der Organisation für das Berücksichtigen oder Ablehnen einer DSR-Anforderung erfüllt. Nach dem Suchen und Überprüfen der betreffenden persönlichen Daten könnten Sie z. B. feststellen, dass die Anforderung nicht die Anforderungen Ihrer Organisation erfüllt, da sie sich nachteilig auf die Rechte und die Freiheiten anderer auswirkt.

Schritt 1: Suchen von persönlichen Daten für den Benutzer in Power Apps

Im Anschluss finden Sie eine Zusammenfassung der Typen der Power Apps-Ressourcen, die persönliche Daten für einen bestimmten Benutzer enthalten.

Ressourcen, die persönlichen Daten enthalten Zweck
Umgebung Bei einer Umgebung handelt es sich um Speicherplatz zum Verwalten und Freigeben der Geschäftsdaten, Apps und Flows Ihres Unternehmens. Weitere Informationen
Umgebungsberechtigungen Benutzern werden Umgebungsrollen zugewiesen, um Ersteller- und Administratorrechte innerhalb einer Umgebung zu erhalten. Weitere Informationen
Canvas-App Plattformübergreifende Geschäftsanwendungen, die mit Unterstützung einer leeren Canvas erstellt werden und mit über 200 Datenquellen verknüpft werden können. Weitere Informationen
Canvas-App-Berechtigungen Canvas-Apps können für Benutzer in der Organisation freigegeben werden. Weitere Informationen
Connection Wird von Connectors verwendet und ermöglicht die Verbindung zu APIs, Systemen, Datenbanken, usw. Weitere Informationen
Verbindungsberechtigungen Bestimmte Typen von Verbindungen können für Benutzer innerhalb einer Organisation freigegeben werden. Weitere Informationen
Benutzerdefinierter Connector Benutzerdefinierte Connectors, die ein Benutzer erstellt hat, um Zugriff auf eine Datenquelle zu bieten, die nicht über einen der Power Apps-Standardconnectors angeboten wird. Weitere Informationen
Berechtigungen für benutzerdefinierte Connectors Benutzerdefinierte Connectors können für Benutzer in der Organisation freigegeben werden. Weitere Informationen
Power Apps-Benutzer- und Benutzer-App-Einstellungen Power Apps speichert mehrere Benutzereinstellungen und Einstellungen, die verwendet werden, um die Power Apps-Laufzeit- und -Portalerfahrungen bereitzustellen.
Power Apps-Benachrichtigungen Power Apps sendet mehrere Typen von Benachrichtigungen an Benutzer, u. a. wenn eine App für sie freigegeben wurde und ein Dataverse-Exportvorgang abgeschlossen wurde.
Gateway Gateways sind lokale Datengateways, die von einem Benutzer installiert werden können, um Daten schnell und sicher zwischen Power Apps und einer Datenquelle, die nicht in der Cloud ist, zu übertragen. Weitere Informationen
Gateway-Berechtigungen Gateways können für Benutzer in der Organisation freigegeben werden. Weitere Informationen
Modellgesteuerte Apps und Berechtigungen für modellgesteuerte Apps Modell-angetriebener App-Entwurf ist eine Komponenten-fokussierte Methode zur App-Entwicklung. Modellgesteuerte Apps und ihre Berechtigungen für modellgesteuerte Apps werden als Daten in der Dataverse-Datenbank gespeichert. Weitere Informationen

Power Apps bietet Ihnen die folgenden Umgebungen an, um persönliche Daten für einen bestimmten Benutzer zu suchen:

Ausführliche Schritte dazu, wie Sie diese Erfahrungsberichten verwenden können, um persönliche Daten für einen bestimmten Benutzer für jeden dieser Typen von Ressourcen zu suchen, finden Sie unter Antworten auf Datenabhängige Rechteanforderungen (DSR) zum Exportieren von Power Apps-Kundendaten.

Nachdem Sie die Daten gefunden haben, können Sie die jeweilige Aktion ausführen, um die Anforderung nach Datenbetreff zu erfüllen.

Schritt 2: Suchen von persönlichen Daten für den Benutzer in Power Automate

Power Apps-Lizenzen enthalten sämtliche Power Automate-Funktionen. Neben der Verfügbarkeit in Power Apps-Lizenzen ist Power Automate auch als eigenständiger Dienst verfügbar.

Anweisungen zum Ermitteln von persönlichen Daten, die vom Power Automate-Dienst gespeichert werden, finden Sie unter Antworten auf Datenabhängige Rechteanforderungen unter DSGVO für Power Automate.

Wichtig

Es wird empfohlen, dass Administratoren diesen Schritt für Power Apps-Benutzer ausführen

Schritt 3: Suchen von persönlichen Daten für den Benutzer in Umgebungen von Dataverse

Bestimmte Power Apps-Lizenzen, einschließlich Power Apps Community-Plan, geben Benutzern in Ihrer Organisation die Möglichkeit, Umgebungen von Dataverse zu erstellen und Apps in Dataverse zu erstellen und zu entwickeln. Der Power Apps Community-Plan ist eine kostenlose Lizenz, mit der Benutzer Dataverse in einer einzelnen Umgebung testen können. Lesen Sie die Power Apps-Preise-Seite, um zu erfahren, welche Funktionen in den jeweiligen Power Apps-Lizenzen enthalten sind.

Anweisungen zum Ermitteln von persönlichen Daten, die von Dataverse gespeichert werden, finden Sie unter Antworten auf Datenabhängige Rechteanforderungen (DSR) für Kundendaten in Dataverse.

Wichtig

Es wird empfohlen, dass Administratoren diesen Schritt für Power Apps-Benutzer ausführen.

Korrigieren

Wenn ein Datensubjekt Sie bittet, Änderungen an ihren personenbezogenen Daten, die in Ihrer Organisation aufbewahrt werden, vorzunehmen oder diese zu ändern, müssen Sie und Ihre Organisation festlegen, ob es korrekt ist, dieser Anforderung zu folgen. Das Korrigieren von Daten kann das Bearbeiten, Redigieren oder Entfernen personenbezogener Daten aus einem Dokument oder einem anderen Objekttyp umfassen.

Sie können Azure Active Directory verwenden, um die Identitäten (personenbezogene Daten) der Benutzer in Power Apps zu verwalten. Unternehmenskunden können DSR-Korrekturanforderungen mithilfe der eingeschränkten Bearbeitungsfunktionen eines bestimmten Microsoft-Dienstes verwalten. Als Datenverarbeiter bietet Microsoft keine Möglichkeit an, vom System generierte Protokolle zu korrigieren, da diese Protokolle auf tatsächlichen Aktivitäten beruhen und einen Verlaufsdatensatz der Ereignisse innerhalb von Microsoft-Diensten erzeugen. Weitere Informationen erhalten Sie in Datenabhängige Rechteanforderungen unter DSGVO.

Einschränken

Betroffene Personen können anfordern, das Verarbeiten ihrer persönlichen Daten zu beschränken. Wir stellen sowohl bereits vorhandene Anwendungsprogrammierschnittstellen (APIs) und Benutzeroberflächen (UIs) bereit. Mit diesen Erfahrungen kann der Power Platform-Administrator des Unternehmens solche DSR-Anforderungen mithilfe einer Kombination aus Datenexport und Datenlöschung verwalten. Ein Kunde fordert möglicherweise Folgendes an:

  • Export einer elektronische Kopie der persönlichen Daten des Benutzers, u. a.:

    • Konto/Konten
    • Vom System generierte Protokolle
    • Zugeordnete Protokolle
  • Löschung des Kontos und der zugeordneten Daten, die sich in den Microsoft-Systemen befinden.

Exportieren

Das „Recht auf Datenportabilität“ ermöglicht es einem Datensubjekt eine Kopie der persönlichen Daten in einem elektronischen Format anzufordern (d. h. ein „strukturiertes, häufig verwendetes, maschinenlesbares und vollständiges Format“), die an einen anderen Datencontroller gesendet werden kann.

Weitere Informationen finden Sie unter Antworten auf Datenabhängige Rechteanforderungen (DSR) für den Export von Power Apps-Kundendaten.

Löschen

Das „Recht auf Löschung“ durch Entfernen von persönlichen Daten aus den Kundendaten einer Organisation ist ein zentraler Schutz in der Datenschutz-Grundverordnung (DSGVO). Das Entfernen von persönlichen Daten umfasst vom System generierte Protokolle, jedoch keine Überwachungsprotokollinformationen.

Power Apps ermöglicht es Benutzern, Branchenanwendungen zu erstellen, die ein wichtiger Bestandteil der täglichen Abläufe Ihres Unternehmens sind. Wenn ein Benutzer die Organisation verlässt, müssen Sie manuell überprüfen und bestimmen, ob bestimmte Daten und Ressourcen, die sie erstellt haben, gelöscht werden müssen. Andere Kundendaten werden automatisch gelöscht, wenn das Benutzerkonto aus Azure Active Directory gelöscht wird.

Weitere Informationen finden Sie unter Antworten auf Datenabhängige Rechteanforderungen (DSR) zum Löschen von Power Apps-Kundendaten.