Unterstützung des DSGVO-Programms mit Prüflisten zu den VerantwortlichkeitenSupport your GDPR program with Accountability Readiness Checklists

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO.Additional details are in the GDPR Summary topic.

Prüflisten zu den VerantwortlichkeitenAccountability Readiness Checklists

Prüflisten zu den Verantwortlichkeiten werden als komfortable Möglichkeit für den Zugriff auf Informationen bereitgestellt, die Sie bei Verwendung von Microsoft-Produkten und -Diensten zur Unterstützung der DSGVO unter Umständen benötigen.Accountability readiness checklists are provided to conveniently access information you may need to support the GDPR when using Microsoft products and services. Die Prüfliste enthält potenzielle Verpflichtungen, die Sie im Rahmen der DSGVO möglicherweise erfüllen müssen, und verweist auf Informationen, die Sie zur Unterstützung der Compliance Ihrer Organisation verwenden können.The checklist lists potential obligations you may have under the GDPR, and points you to information that you can use to support your organizations' compliance.

Es gibt einen spezifischen Leitfaden für vier Microsoft-Produkt- und Dienstfamilien:There is a specific guide for four Microsoft product and services families:

Sie können die Elemente in dieser Checkliste mit dem Compliance-Managerverwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.You can manage the items in this checklist with Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Die Prüflisten umfassen die vier grundlegenden Kategorien von Überlegungen für ein Datenschutzprogramm zur Unterstützung der DSGVO. Diese sind nachstehend aufgeführt, zusammen mit Beispielanforderungen.The checklists include the four basic categories of considerations for a privacy program supporting GDPR listed below, along with example requirements.

  1. Bedingungen für Datensammlung und -verarbeitung:Conditions for Data Collection and Processing:

    • Wann wird Zustimmung eingeholt?When is consent obtained?
    • Identifizieren und Dokumentieren des ZwecksIdentify and document purpose
    • Datenschutz-FolgenabschätzungPrivacy impact assessment
  2. Rechte betroffener PersonenData Subject Rights

    • Ermitteln von Informationen für PII-Prinzipale (Betroffene)Determining information for PII principals (data subjects)
    • Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der ZustimmungProviding mechanism to modify or withdraw consent
  3. Datenschutz als Konzept und StandardPrivacy by Design and Default

    • Beschränken der DatensammlungLimit Collection
    • Einhalten von IdentifizierungsebenenComply with identification levels
    • Temporäre DateienTemporary files
  4. Datenschutz und SicherheitData Protection and Security

    • Grundlegendes zur Organisation und zum KontextUnderstanding the organization and its context
    • PlanungPlanning
    • Richtlinien zur InformationssicherheitInformation Security Policies

KundenvereinbarungenCustomer agreements

  • Onlinedienstbedingungen: Die vertraglichen Verpflichtungen von Microsoft in Bezug auf die DSGVO finden Sie in den Onlinedienstbedingungen.Online service terms: You can find Microsoft contractual commitments with regard to the GDPR in the Online Services Terms.
  • Microsoft-Produktbestimmungen: Microsoft weitet die aus den DSGVO-Vertragsbedingungen folgenden Verpflichtungen auf alle Volumenlizenzierungskunden aus.Microsoft product terms: Microsoft extends the GDPR Terms commitments to all Volume Licensing customers.
  • Nachtrag zum Datenschutz: Die Microsoft-Dienste erweitern die Verpflichtungen für Consulting Service-Kunden und andere.Data protection addendum: Microsoft services extends the commitments to Microsoft Consulting Services customers and others.

DSGVO-Compliance-SteuerelementeGDPR compliance controls

  • Verwenden des Compliance-Managers: Überprüfen und verwenden Sie Steuerelemente, mit deren Hilfe Microsoft DSGVO-Verpflichtungen mit dem Compliance-Manager unterstützt.Use Compliance Manager: Review and incorporate controls Microsoft uses to support obligations in the GDPR with Compliance Manager.
  • DSGVO-Steuerelementzuordnung: Greifen Sie auf eine umfassende Zuordnung von Microsoft-Steuerelementen zu DSGVO-Verpflichtungen zu.GDPR control mapping: Access a comprehensive mapping of Microsoft controls to GDPR obligations.

Verzeichnis von Verarbeitungstätigkeiten für DatenverarbeiterRecords of Processing for Processors

Aufgrund des Umfangs und der Vielfalt der Onlinedienste, die wir unseren datenverantwortlichen Kunden als Datenverarbeiter zur Verfügung stellen, gehen wir davon aus, dass die Kunden die Dienste ermitteln, für die sie ein Verzeichnis der Verarbeitungstätigkeiten benötigen, und die entsprechenden Protokolle über die von uns bereitgestellten Onlinetools abrufen.Due to the scale and breadth of the online services we provide as processors to our controller customers, we expect customers to identify the services they seek the records of processing for and retrieve the relevant logs in the online tools we provide. Ein Beispiel wäre ein Verzeichnis von Verarbeitungstätigkeiten für Azure, bei dem die Kunden selbständig ermitteln müssten, für welche Arten von Verarbeitungsaktivitäten sie die Aufzeichnungen benötigen.One example is for the records of processing for Azure in which customers would be requested to identify which types of processing activity they seek the records of.

Azure-ProtokolleAzure logs

Kunden dürften normalerweise an den Aktivitätsprotokollen und potenziell an den Diagnoseprotokollen interessiert sein:Typically, customers would be interested in the Activity logs and potentially the Diagnostic logs:

  • Aktivitätsprotokolle: Aktivitätsprotokolle bieten Einblicke in die Vorgänge, die in Ressourcen in einem Abonnement ausgeführt wurden.Activity logs: Activity logs provide insight into operations performed on resources in a subscription. Aktivitätsprotokolle helfen beim Ermitteln des Initiators, des Zeitpunkts und des Status eines Vorgangs.Activity logs can help determine an operation's initiator, time of occurrence, and status.
  • Diagnoseprotokolle: Diagnoseprotokolle sind von den einzelnen Ressourcen ausgegebene Protokolle.Diagnostic logs: Diagnostic logs are all logs emitted by every resource. Diese Protokolle umfassen Windows-Ereignissystemprotokolle, Azure-Speicherprotokolle, Key Vault-Überwachungsprotokolle sowie Anwendungsgateway- und Firewall-Protokolle.These logs include Windows event system logs, Azure storage logs, Key Vault audit logs, and Application Gateway access and firewall logs.
  • Protokollarchivierung: Alle Diagnoseprotokolle schreiben in ein zentrales und verschlüsseltes Azure-Speicherkonto für die Archivierung.Log archiving: All diagnostic logs write to a centralized and encrypted Azure storage account for archival. Die Aufbewahrung kann vom Benutzer auf bis zu 730 Tage festgelegt werden, um organisationsspezifische Aufbewahrungsanforderungen zu erfüllen.The retention is user-configurable, up to 730 days, to meet organization-specific retention requirements. Diese Protokolle stellen eine Verbindung mit Azure Monitor-Protokollen für die Verarbeitung, Speicherung und Dashboard-Berichterstellung her.These logs connect to Azure Monitor logs for processing, storing, and dashboard reporting.

Andere ProtokolleOther logs

Die nachfolgend aufgeführten Überwachungslösungen werden zusätzlich als Bestandteil dieser Architektur installiert.Additionally, the following monitoring solutions are installed as a part of this architecture. Es liegt in der Verantwortung des Kunden, diese Lösungen so zu konfigurieren, dass Sie den FedRAMP-Richtlinien für Sicherheitskontrollen entsprechen:It is the customer's responsibility to configure these solutions to align with FedRAMP security controls:

  • AD-Bewertung: Die Active Directory-Lösung für die Integritätsprüfung bewertet das Risiko und den Status von Serverumgebungen in regelmäßigen Abständen und stellt eine Liste von nach Priorität aufgeführten Empfehlungen bereit, die auf die bereitgestellte Serverinfrastruktur zugeschnitten sind.AD Assessment: The Active Directory Health Check solution assesses the risk and health of server environments on a regular interval and provides a prioritized list of recommendations specific to the deployed server infrastructure.
  • Antischadsoftware-Bewertung: Die Antischadsoftware-Lösung erstellt Berichte über Malware, Bedrohungen und den Sicherheitsstatus.Anti-malware Assessment: The Anti-malware solution reports on malware, threats, and protection status.
  • Azure Automation: Die Azure Automation-Lösung speichert, führt und verwaltet Runbooks.Azure Automation: The Azure Automation solution stores, runs, and manages runbooks.
  • Sicherheit und Überwachung: Das Dashboard "Sicherheit und Überwachung" bietet eine allgemeine Übersicht über den Sicherheitsstatus von Ressourcen durch die Bereitstellung von Metriken zu Sicherheitsdomänen, wichtigen Problemen, Entdeckungen, Threat Intelligence und allgemeinen Sicherheitsaspekten.Security and Audit: The Security and Audit dashboard provides a high-level insight into the security state of resources by providing metrics on security domains, notable issues, detections, threat intelligence, and common security queries.
  • SQL-Bewertung: Die SQL-Lösung für die Integritätsprüfung bewertet das Risiko und den Status von Serverumgebungen in regelmäßigen Abständen und stellt Kunden eine Liste von nach Priorität aufgeführten Empfehlungen bereit, die auf die bereitgestellte Serverinfrastruktur zugeschnitten sind.SQL Assessment: The SQL Health Check solution assesses the risk and health of server environments on a regular interval and provides customers with a prioritized list of recommendations specific to the deployed server infrastructure.
  • Update-Verwaltung: Die Lösung zur Updateverwaltung ermöglicht Kunden die Verwaltung von Sicherheitsupdates für das Betriebssystem, einschließlich des Status verfügbarer Updates und des Prozesses zum Installieren erforderlicher Updates.Update Management: The Update Management solution allows customer management of operating system security updates, including a status of available updates and the process of installing required updates.
  • Agentenstatus: Die Lösung für den Agentenstatus gibt an, wie viele Agents bereitgestellt werden und deren geographische Verteilung sowie die Anzahl der Agents, die nicht reagieren, und jener, die Betriebsdaten senden.Agent Health: The Agent Health solution reports how many agents are deployed and their geographic distribution, as well as how many agents that are unresponsive and the number of agents that are submitting operational data.
  • Azure-Aktivitätsprotokolle: Die Lösung für die Analyse von Aktivitätsprotokollen hilft bei der Analyse der Azure-Aktivitätsprotokolle aller Azure-Abonnements eines Kunden.Azure Activity Logs: The Activity Log Analytics solution assists with analysis of the Azure activity logs across all Azure subscriptions for a customer.
  • Änderungsnachverfolgung: Mit der Lösung zur Änderungsnachverfolgung können Kunden Änderungen in der Umgebung auf einfache Weise ermitteln.Change Tracking: The Change Tracking solution allows customers to easily identify changes in the environment.

Informationen zu den technischen und sicherheitstechnischen Maßnahmen für Azure finden datenverantwortliche Kunden unter Dokumentation zur Azure-Sicherheit.For information on the technical and security measures for Azure, controller customers should visit the Azure Security Documentation. Da Microsoft nicht weiß, ob es sich bei Kundendaten um personenbezogene Daten handelt, verarbeitet Azure alle Kundendaten so, als ob es sich um personenbezogene Daten handeln würde, sodass ein Kunde wahrscheinlich alle Materialien als relevant betrachten würde.As Microsoft doesn't know if Customer Data is Personal Data or not, Azure processes all Customer Data as if it were Personal Data so a customer would likely consider all of the material relevant.

DatenverarbeiterinformationenProcessor information

Ein weiteres Produkt, zu dem ein Kunde u. U. ein Verzeichnis mit Informationen zu Verarbeitungstätigkeiten für Datenverarbeiter benötigt, ist Office 365.Another product our customer might need records of processing information for processors is Office 365. Informationen zum Anzeigen von Office 365-Informationen finden Sie im Artikel Durchsuchen des Überwachungsprotokolls im Security & Compliance Center.To view information related to Office 365, see the Search the audit log in the Security & Compliance Center article.

Die Informationen zu Dynamics 365 können ebenfalls über das Security & Compliance Center eingesehen werden.You can also view the information for Dynamics 365 using the Security & Compliance center. Vergewissern Sie sich, dass Sie über die richtige Lizenz verfügen, um die Security & Compliance Center-Seite anzeigen zu können.In order to view the Security & Compliance center page, ensure that you have the correct license. Weitere Informationen zur Lizenzierung finden Sie im Artikel Security & Compliance Center – Dienstbeschreibung.Learn more about licensing with the Security & Compliance Center service description article. Nach Dynamics 365-Ereignissen können Sie im einheitlichen Überwachungsprotokoll im Security & Compliance Center suchen.To search for Dynamics 365 events, visit the Unified Audit Log in the Security & Compliance center.

Informationen zu professionellen DienstleistungenProfessional services information

Was professionelle Dienstleistungen betrifft, werden die entsprechenden Support-Daten dem Supporttechniker vom Kunden durch die den Kunden vertretende Person bereitgestellt.As for Professional Services, the Professional Services Support Data is provided by the customer to the support engineer by the customer's representative. Dies kann geschehen, wenn ein Kunde eine Serviceanfrage entweder über das Online-Produktportal, den Dienst-Hub oder per Telefon einreicht.This may take place when a customer submits a Service Request either through the online product portal, Services Hub or via phone.

Die Informationen werden in unseren CRM-Systemen gespeichert und nur für die folgenden Zwecke verwendet:The information is stored in our CRM systems and only used for the following purposes:

  • Bereitstellung der professionellen Dienstleistungen, einschließlich technischer Unterstützung, professioneller Planung, Beratung, Anleitung, Datenmigration, Bereitstellung und Lösungs-/Softwareentwicklungsdienste.Delivering the Professional Services, including providing technical support, professional planning, advice, guidance, data migration, deployment, and solution/software development services.
  • Problembehandlung (Verhinderung, Erkennung, Untersuchung, Eindämmung und Behebung von Problemen, einschließlich Sicherheitsvorfälle)Troubleshooting (preventing, detecting, investigating, mitigating, and repairing problems, including Security Incidents); and
  • Fortlaufende Verbesserung (Verwalten der professionellen Dienstleistungen, einschließlich der Installation der neuesten Updates und der Verbesserung von Zuverlässigkeit, Effizienz, Qualität und Sicherheit).Ongoing improvement (maintaining the Professional Services, including installing the latest updates, and making improvements to the reliability, efficacy, quality, and security).

Aufgrund des Umfangs seiner Supportvorgänge betreibt Microsoft ein auf Produktgruppen basierendes CRM-System.Due to the scale of our support operations, Microsoft operates product group-based CRM system. Diese Systeme enthalten Verzeichnisse der Verarbeitungstätigkeiten.Records of processing will be contained within those systems. Der Verarbeitungsverlauf ist in den Verzeichnissen in unseren CRM-Systemen protokolliert.A history of processing is reflected in the records maintained within our CRM systems. In den meisten Fällen ist der Dienstanforderungsverlauf auf den Portalen oder im Dienst-Hub verfügbar.In most instances the Service Request History is available on the portals or Service Hub. Wenden Sie sich für spezifische Informationen, die nicht auf den Portalen verfügbar sind, oder für andere Fragen zur Verarbeitung Ihrer Daten an Ihren technischen Kundenberater, oder kontaktieren Sie den technischen Support von Microsoft.For any specific details that are not available on the portals or any other inquiries about processing of your data, contact your Technical Account Manager or contact Microsoft Technical Support.

Weitere InformationenLearn more