Datenschutz-Folgenabschätzungen im Rahmen der DSGVOData Protection Impact Assessment for the GDPR

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO.Additional details can be found in the GDPR Summary topic. Dieses Dokument bietet Ihnen Informationen bezüglich Datenschutz-Folgenabschätzungen unter der DSGVO, während Sie Microsoft-Produkte und -Dienste verwenden.This document guides you to information regarding Data Protection Impact Assessments (DPIAs) under the GDPR when using Microsoft products and services.

BegrifflichkeitenTerminology

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:Helpful definitions for GDPR terms used in this document:

  • Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Kundendaten: Daten, die bei Ihrer tagtäglichen Geschäftsausführung erstellt und gespeichert werden.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Was ist Datenschutz-Folgenabschätzung?What is a DPIA?

Unter der DSGVO sind Datenverantwortliche dazu aufgerufen, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Vorgänge vorzubereiten, die „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen“.The GDPR requires controllers to prepare a Data Protection Impact Assessment (DPIA) for operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Microsoft-Produkte und -Dienste an sich machen keine Datenschutzfolgenabschätzung erforderlich.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Da Microsoft-Produkte und-Dienste jedoch hochgradig anpassbar sind, kann je nach den Details Ihrer Microsoft-Konfiguration eine DPIA erforderlich sein.However, because Microsoft products and services are highly customizable, a DPIA may be needed depending on the details of your Microsoft configuration. Microsoft hat keine Kontrolle über und wenig oder gar keine Einsichten in solche Informationen.Microsoft has no control over, and little or no insight into such information. Sie als Datenverantwortlicher müssen die geeignete Verwendung der Daten ermitteln.You, as a data controller must determine appropriate uses of their data.

Angewendete DPIADPIA in Action

Der DPIA-Leitfaden gilt für Office 365, Azure, Dynamics 365 und Microsoft-Support sowie Professional Services.The DPIA guidance applies to Office 365, Azure, Dynamics 365, and Microsoft Support and Professional Services. Der Leitfaden umfasst Folgendes:That guidance includes consideration of:

Wann ist eine DPIA erforderlich?When is a DPIA needed?

Die nachstehend aufgeführten Risikofaktoren sollten bei den Überlegungen zur Durchführung einer DPIA berücksichtigt werden.The risk factors listed below should be addressed when considering whether to complete a DPIA. Weitere potenzielle Faktoren und weitere Details finden Sie in Teil 1 der einzelnen Richtlinien.Other potential factors and further details are found in Part 1 of each of the guidelines.

  • Eine systematische und umfassende Auswertung von Daten auf der Grundlage einer automatisierten Verarbeitung.A systematic and extensive evaluation of data based on automated processing.
  • Verarbeitung spezieller Kategorien von Daten (Daten, aus denen Informationen hervorgehen, anhand derer eine natürliche Person eindeutig identifiziert werden kann) bzw. personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.Processing on a large scale of special categories of data (data revealing information uniquely identifying a natural person), or of personal data relating to criminal convictions and offenses.
  • Systematische Überwachung eines öffentlich zugänglichen Bereichs.Systematic monitoring of a publicly accessible area on a large scale.

Die DSGVO stellt Folgendes klar: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.The GDPR clarifies 'The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional, or lawyer. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“In such cases, a data protection impact assessment should not be mandatory.'

Was ist für die Durchführung einer Datenschutzfolgenabschätzung erforderlich?What is required to complete a DPIA?

Eine DPIA sollte spezifische Informationen zur beabsichtigten Verarbeitung bereitstellen. Darauf wird in Teil 2 des Leitfadens genauer eingegangen.A DPIA should provide specific information about the intended processing, which is detailed in Part 2 of the guidance. Dazu gehören:That information includes:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck der DPIA.Assessment of the necessity, and proportionality of data processing in relation to the purpose of the DPIA.
  • Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen.Assessment of the risks to the rights and freedoms of natural persons.
  • Vorgesehene Maßnahmen zum Umgang mit den Risiken, Sicherheitsvorkehrungen, Sicherheitsmaßnahmen und Mechanismen zur Sicherstellung des Schutzes personenbezogener Daten und zur Veranschaulichung der Einhaltung des DSGVO.Intended measures to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.
  • Zwecke der VerarbeitungPurposes of processing
  • Kategorien verarbeiteter personenbezogener DatenCategories of personal data processed
  • DatenaufbewahrungData retention
  • Speicherort und Übermittlung personenbezogener DatenLocation and transfers of personal data
  • Teilen von Daten mit DrittenData sharing with third-party subprocessors
  • Teilen von Daten mit unabhängigen DrittenData sharing with independent third-parties
  • Rechte betroffener PersonenData subject rights

Weitere ÜberlegungenAdditional Considerations

Nachstehend finden Sie spezifische Details, die für Ihre Microsoft-Implementierung relevant sein können.Specific details that may be relevant to your Microsoft implementation are below.

  • Office 365: Dieses Dokument gilt für Office 365-Anwendungen und -Dienste, einschließlich, aber nicht beschränkt auf Exchange Online, SharePoint Online, Yammer, Skype for Business und Power BI.Office 365: This document applies to Office 365 applications and services, including but not limited to Exchange Online, SharePoint Online, Yammer, Skype for Business, and Power BI. Weitere Details finden Sie in den Tabellen 1 und 2.Refer to Tables 1 and 2 for more details.
  • Azure: Kunden sind dazu angehalten, mit Ihren Datenschutzbeauftragten und Rechtsberatern zu arbeiten, um die Notwendigkeit und Inhalte aller DPIAs zu ermitteln, die mit der Verwendung von Microsoft Azure verbunden sind.Azure: Customers are encouraged to work with their privacy officers and legal counsel to determine the necessity and content of any DPIAs related to their use of Microsoft Azure.
  • Dynamics 365: Der Inhalt einer DPIA kann variieren, je nachdem, welche Dynamics 365-Tools Sie verwenden.Dynamics 365: The contents of a DPIA may vary according to which Dynamics 365 tools you are employing. Spezifische Details finden Sie in Teil 2 – Inhalte einer DPIA.For specific details refer to Part 2 Contents of a DPIA.
  • Microsoft-Support und Professional Services: Professional Services führt keine bestimmte routinemäßige oder automatisierte Datenverarbeitung aus und ist nicht für die Verarbeitung spezieller Kategorien bzw. die Ausführung bestimmter Aufgaben vorgesehen, die das Überwachen von öffentlich zugänglichen Daten erleichtern oder erfordern.Microsoft Support and Professional Services: Professional Services does not conduct certain routine or automated data processing, nor is it intended to process special categories or perform tasks that facilitate or require monitoring of publicly accessible data. Details hierzu finden Sie in Teil 1 – Bestimmen, ob eine DPIA erforderlich ist.For details see Part 1 — Determining Whether a DPIA is needed. Die Verantwortlichen müssen die oben genannten DPIA-Elemente sowie alle anderen relevanten Faktoren im Kontext der spezifischen Implementierungen und Verwendungen von Professional Services durch den Verantwortlichen berücksichtigen.Controllers must consider the DPIA elements outlined above, along with any other relevant factors, in the context of the controller's specific implementations and uses of Professional Services. Informationen zu Professional Services finden Sie in Teil 2 – Inhalte einer DPIA.For Professional Services information, see Part 2 — Contents of a DPIA.

Weitere InformationenLearn more