Benachrichtigung über DSGVO-VerstößeGDPR Breach Notification

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Unternehmen, Regierungsbehörden, gemeinnützige Organisationen sowie andere Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren. Die DSGVO gilt unabhängig von Ihrem Wohnsitz und dem Sitz Ihres Unternehmens.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO.Additional details can be found in the GDPR Summary topic. Dieses Dokument führt Sie zu Informationen zur Bearbeitung von Benachrichtigungen über Verstöße gegen die DSGVO unter Verwendung von Microsoft-Produkten und -Diensten.This document leads you to information on the completion of Breach Notifications under the GDPR using Microsoft products and services.

Was stellt eine Verletzung personenbezogener Daten im Rahmen der DSGVO dar?What constitute a breach of personal data under the GDPR?

Personenbezogene Daten beziehen sich auf alle Informationen im Zusammenhang mit einer Person, die verwendet werden können, um diese Person direkt oder indirekt zu identifizieren.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Eine Verletzung personenbezogener Daten stellt „einen Sicherheitsverstoß dar, der zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt“.A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed'.

BegrifflichkeitenTerminology

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:Helpful definitions for GDPR terms used in this document:

  • Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Kundendaten: Daten, die während des regulären Geschäftsbetriebs erstellt und gespeichert werden.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Microsoft und Benachrichtigungen bei DatenschutzverletzungenMicrosoft and Breach Notification

Microsoft nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst.Microsoft takes its obligations under the General Data Protection Regulation (GDPR) seriously. Ein Sicherheitsvorfall/eine Datenverletzung bezieht sich auf Ereignisse wie rechtswidrige Zugriffe auf Kundendaten, die auf einem Microsoft-Gerät oder in Microsoft-Einrichtungen gespeichert sind, oder auf unbefugte Zugriffe, die zum Verlust, zur Offenlegung oder zur Änderung von Kundendaten führen können.A security incident/data breach refers to events such as unlawful access to customer's data stored on Microsoft equipment or in Microsoft facilities, or unauthorized access to such that has the potential to result in the loss, disclosure, or alteration of customer data.

Als Datenverarbeiter stellt Microsoft sicher, dass die Kunden unserer Dienste die Anforderungen der DSGVO an Benachrichtigungen bei Datenschutzverletzungen als Datenverantwortliche erfüllen können.As a data processor, Microsoft ensures that service customers are able to meet the GDPR's breach notification requirements as data controllers. Unsere Benachrichtigung enthält die Informationen, die erforderlich sind, um diese Einschätzung durchführen zu können.Our notification provides the information needed to make that assessment. Microsoft benachrichtigt Kunden über jegliche Verletzung personenbezogener Daten, mit Ausnahme von Fällen, in denen personenbezogene Daten nicht lesbar sind (z. B. verschlüsselte Daten, bei denen die Integrität der Schlüssel bestätigt ist).Microsoft notifies customers of any personal data breach, except for those cases where personal data is confirmed to be unintelligible (for example, encrypted data where integrity of the keys is confirmed).

Die Datenverantwortlichen sind dafür verantwortlich, die Datenschutzrisiken zu bewerten und zu beurteilen, ob ein Kunde über eine Datenschutzverletzung benachrichtigt werden muss.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. Microsoft stellt die erforderlichen Informationen zusammen mit der DSGVO-Compliancerichtlinie bereit, damit diese Einschätzung durchgeführt werden kann.Microsoft provides the information needed, along with your GDPR compliance policy, to make that assessment.

Die anfängliche Benachrichtigung umfasst eine Beschreibung der Art der Datenschutzverletzung, die ungefähren Auswirkungen auf die Benutzer und sinnvolle Maßnahmen (sofern zutreffend).Initial notification includes a description of the nature of the breach, approximate user impact, and mitigation steps (if applicable). Wenn unsere Untersuchung zum Zeitpunkt der ersten Benachrichtigung noch nicht abgeschlossen ist, geben wir an, was wir als nächstes tun werden und wann Sie wieder von uns hören.If our investigation is not complete at the time of initial notification, we will indicate next steps and timelines for subsequent communication. Weitere Informationen darüber, wie Microsoft eine Verletzung des Schutzes personenbezogener Daten erkennt und darauf reagiert, finden Sie im Service Trust Portal unter Benachrichtigung bei Datenschutzverletzungen im Rahmen der DSGVO.For more information about how Microsoft detects and responds to a breach of personal data, see Data Breach Notification Under the GDPR in the Service Trust Portal.

Details zur Benachrichtigung über Datenschutzverletzungen für bestimmte Microsoft-Produkte und -Dienste finden Sie nachstehend.Details regarding breach notification for specific Microsoft products and services is given below.

  1. Office 365Office 365
    Microsoft investiert umfassend in Systeme, Prozesse und Mitarbeiter, um die Wahrscheinlichkeit von Verletzungen des Schutzes personenbezogener Daten zu verringern, und Verletzungen, wenn sie auftreten, schnell zu erkennen und ihre Auswirkungen zu mindern.Microsoft invests extensively in systems, processes, and personnel to reduce the likelihood of personal data breach and to quickly detect and mitigate consequence of breach if it does occur. Weitere Details finden Sie unter Office 365-Investitionen in Datensicherheit.Additional details can be read at Office 365 Investments in Data Security.

    Möglicherweise stellt ein Kunde eine Datenschutzverletzung fest und möchte Microsoft informieren.A customer may become aware of a breach and wish to contact Microsoft. Benachrichtigen Sie in diesem Fall den Microsoft-Support, der dann Kontakt mit den Entwicklungsteams aufnimmt, um weitere Informationen zu erhalten.In this case, notify Microsoft Support, which will then interface with engineering teams for more information.

  2. Azure und Dynamics 365Azure & Dynamics 365
    Microsoft verfügt über einen rund um die Uhr verfügbaren weltweiten Notfalldienst, der dafür verantwortlich ist, die Auswirkungen von Angriffen auf Microsoft Azure und Dynamics 365 abzufangen.Microsoft has a global, 24x7 incident response service that works to mitigate the effects of attacks against Microsoft Azure and Dynamics 365.

    • Erkennung von Datenschutzverletzungen: Da sowohl Microsoft als auch der Kunde Sicherheitsverpflichtungen haben, basieren die Azure-Dienste auf einem Modell der gemeinsamen Verantwortung, um sicherheitstechnische und geschäftliche Verantwortlichkeiten zu definieren.Detection of Breaches: Since both Microsoft and the customer have security obligations, Azure services employ a shared responsibility model to define security and operational accountabilities. Microsoft überwacht und reagiert nicht auf Sicherheitsvorfälle im Zuständigkeitsbereich des Kunden.Microsoft does not monitor or respond to security incidents within the customer's realm of responsibility. Im Fall von Datenschutzverletzungen können Kunden mit dem Kundensupport von Azure zusammenarbeiten, sofern entsprechende Dienstverträge bestehen.Customer incident response may involve collaboration with Azure customer support, given appropriate service contracts. Microsoft Azure bietet außerdem verschiedene Dienste (z. B. Azure Security Center), die Kunden dabei unterstützen, Maßnahmen und Prozesse für die Reaktion auf Sicherheitsvorfälle zu entwickeln und zu verwalten.Microsoft Azure also offers various services (for example, Azure Security Center) that customers can utilize for developing and managing security incident response.

      Eine Liste der Ereignisse, die eine Untersuchung einer Datenschutzverletzung in Microsoft Azure auslösen, finden Sie unter Erkennung potenzieller Sicherheitsverletzungen.For a list of events that trigger a breach investigation in Microsoft Azure, see Detection of Potential Breaches. Die Seite Azure und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO enthält weitere Informationen dazu, wie Microsoft Sicherheitsvorfälle in Azure untersucht, verwaltet und darauf reagiert.Azure and Breach Notification under the GDPR further details how Microsoft investigates, manages, and responds to security incidents within Azure.

    • Reaktion auf Datenschutzverletzungen: Microsoft bestimmt geeignete Prioritäts- und Schweregrade einer Datenschutzverletzung durch eine Untersuchung der funktionellen Auswirkungen, der Wiederherstellbarkeit und der Beeinträchtigung von Daten durch den Vorfall.Data Breach Response: Microsoft determines appropriate priority and severity levels of a breach by investigating the functional impact, recoverability, and information impact of the incident. Die Prioritäten und Schweregrade können sich im Verlauf der Untersuchung aufgrund neuer Erkenntnisse und Schlussfolgerungen ändern.Priority and severity may change over the course of the investigation, based on new findings and conclusions. Das Microsoft-Team für die Reaktion auf Sicherheitsvorfälle arbeitet eng mit weltweit tätigen Rechtsberatern zusammen, um sicherzustellen, dass die Forensik unter Einhaltung der gesetzlichen Verpflichtungen und Zusagen gegenüber dem Kunden ausgeführt wird.Microsoft's security response team works closely with global legal advisors to help ensure that forensics are performed in accordance with legal obligations and commitments to customers. Diese Prozesse sind unter Reaktion auf Datenschutzverletzungen in Azuredetailliert beschrieben.These processes are detailed in Azure's Data Breach Response.

    • Kundenbenachrichtigung: Microsoft Azure benachrichtigt Kunden und Aufsichtsbehörden bei Bedarf über Datenschutzverstöße.Customer Notification: Microsoft Azure notifies customers and regulatory authorities of data breaches as required. Ab dem Zeitpunkt, an dem wir eine Datenschutzverletzung deklarieren, vergehen nicht mehr als 72 Stunden, bis wir unsere Kunden informieren, mit Ausnahme der folgenden Situationen:Customer notices are delivered in no more than 72 hours from the time we declared a breach except for the following circumstances:

      • Microsoft ist der Meinung, dass eine Benachrichtigung das Risiko für andere Kunden erhöht.Microsoft believes the act of performing a notification increases the risk to other customers.
      • Im Verlauf des 72-Stunden-Zeitlimits ergeben sich möglicherweise neue Erkenntnisse zum Vorfall.The 72-hour timeline may leave some incident details available. Diese Details werden Ihnen bei im Verlauf der Untersuchung bereitgestellt.These details will be provided to you as the investigation proceeds.

      Weitere Details finden Sie unter Kundenbenachrichtigung.Further details can be found in Customer Notification.

  3. Microsoft-Support und Professional ServicesMicrosoft Support and Professional Services
    Aufgrund der Arbeitsweise von Professional Services fallen einige Datenschutzvorfälle in den Zuständigkeitsbereich des Kunden.The nature of professional services means that some data protection incidents may fall within the customer's realm of responsibility. Wenn Microsoft Professional Services einen Datenschutzvorfall identifiziert, wird der dokumentierte, standardmäßige Reaktionsplan der Branche befolgt, der unter Umfang und Grenzen des Prozesses für die Reaktion auf Datenschutzverletzungen beschrieben ist.When Microsoft Professional Services identifies a data protection incident, it follows documented industry standard response plan as outlined in Scope & Limits of Data Protection Incident Response Process.

Administratortools zur Benachrichtigung bei SicherheitsverletzungenBreach notification admin tools

  • Legen Sie den Datenschutzkontakt Ihrer Organisation fest: Mandantenadministratoren können das Azure Active Directory-Verwaltungsportal verwenden, um den Datenschutzkontakt Ihrer Organisation für den Fall zu definieren, dass Microsoft mit diesen Personen kommunizieren muss.Set you organization's privacy contact: Tenant Administrators can use the Azure Active Directory Admin Portal to define your organization's privacy contact should Microsoft need to communicate with them.

Weitere InformationenLearn more