Anträge betroffener Personen im Rahmen der DSGVO und des CCPAData Subject Requests and the GDPR and CCPA

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO.Additional details can be found in the GDPR Summary topic.

In ähnlicher Weise bietet der California Consumer Privacy Act (CCPA) den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGV entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen.Similarly, the California Consumer Privacy Act (CCPA), provides privacy rights and obligations to California consumers, including rights similar to GDPR's Data Subject Rights, such as the right to delete, access, and receive (portability) their personal information. Das CCPA ermöglicht außerdem bestimmte Offenlegungen, Schutz vor Diskriminierung bei der Wahl von Ausübungsrechten und Deaktivierungs-/Aktivierungsanforderungen für bestimmte Datentransfers, die als "Verkäufe" eingestuft werden.The CCPA also provides for certain disclosures, protections against discrimination when electing exercise rights, and "opt-out/ opt-in" requirements for certain data transfers classified as "sales". Dieses Dokument führt Sie zu Informationen zur Bearbeitung von Anfragen von betroffenen Personen (Datensubjekten) im Rahmen der DSGVO unter Verwendung von Microsoft-Produkten und -Diensten.This document guides you to information on the completion of Data Subject Requests (DSRs) under the GDPR and CCPA using Microsoft products and services.

BegrifflichkeitenTerminology

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:Helpful definitions for GDPR terms used in this document:

  • Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Kundendaten: Daten, die bei den tagtäglichen Geschäftsausführung erstellt und gespeichert werden.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Was sind Anfragen von betroffenen Personen?What is a DSR?

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) räumt natürlichen Personen (in der Verordnung als betroffene Personen bezeichnet) das Recht ein, vom Arbeitgeber oder einer anderen Einrichtung oder Organisation ( Datenverantwortlicher oder Verantwortlicher) erhobene personenbezogene Daten zu verwalten.The General Data Protection Regulation (GDPR) gives rights to people (known in the regulation as data subjects) to manage the personal data that has been collected by an employer or other type of agency or organization (known as the data controller or just controller). Die DSGVO gewährt betroffenen Personen bestimmte Rechte an ihren personenbezogenen Daten. Es sind dies das Recht auf Erhalt einer Kopie dieser Daten, das Recht auf Korrektur der Daten, das Recht auf Beschränkung der Bearbeitung dieser Daten und das Recht auf Empfang dieser Daten in einem elektronischen Format, sodass sie an einen anderen Verantwortlichen übermittelt werden können.The GDPR gives data subjects specific rights to their personal data; these rights include obtaining copies of it, requesting changes to it, restricting the processing of it, deleting it, or receiving it in an electronic format so it can be moved to another controller.

Der California Consumer Privacy Act (CCPA) bietet den kalifornischen Verbrauchern Datenschutzrechte und -pflichten, einschließlich von Rechten, die den Rechten von betroffenen Personen der DSGVO entsprechen, wie z. B. das Recht auf Löschung, Zugriff und Empfang (Portabilität) der persönlichen Informationen.California Consumer Privacy Act (CCPA) provides privacy rights and obligations to California consumers, including rights similar to GDPR's Data Subject Rights, such as the right to delete, access, and receive (portability) their personal information.

Als Verantwortlicher sind Sie verpflichtet, jede Datensubjektanfrage sofort zu überprüfen und darauf zu reagieren, und zwar entweder, indem Sie die angeforderte Maßnahme ergreifen oder indem Sie erläutern, warum der Anfrage der betroffenen Person seitens des Verantwortlichen nicht nachgekommen werden kann.As a controller, you are obligated to promptly consider each DSR and provide a substantive response either by taking the requested action or by providing an explanation for why the DSR cannot be accommodated by the controller. Ein Verantwortlicher sollte sich mit seinen eigenen Rechts- oder Complianceberatern hinsichtlich der geeigneten Disposition bezüglich einer bestimmten Datensubjektanfrage beraten.A controller should consult with its own legal or compliance advisers regarding the proper disposition of any given DSR.

Es sind möglicherweise mehrere Prozesse involviert, um eine Datensubjektanfrage entsprechend der DSGVO-Complianceregeln Ihrer Organisation zu erfüllen.Several processes may be involved completing a DSR, subject to your organization's GDPR-compliance rules.

  • Ermittlung.Discovery. Der Vorgang, mit dem ermittelt wird, welche Daten zum Erfüllen einer Datensubjektanfrage erforderlich sind.The process of determining what data is needed to complete a DSR.
  • Zugriff.Access. Abrufen der ermittelten Daten und deren potenzielle Übermittlung an das Datensubjekt.Retrieval and potential transmission to the data subject of discovered information.
  • Berichtigung.Rectify. Implementieren von Änderungen oder andere angeforderte Änderungen der personenbezogenen Daten.Implement changes or other requested personal data changes.
  • Einschränkung.Restrict. Ändern des Zugriffs oder der Verarbeitung von personenbezogenen Daten durch Einschränken des Zugriffs oder Entfernen von Daten aus der Microsoft-Cloud.Changing the access or processing of persona data by restricting access, or removing data from the Microsoft cloud.
  • Export.Export. Bereitstellen personenbezogener Daten in einem „strukturierten, häufig verwendeten, maschinell lesbaren Format“ an die betroffene Person gemäß dem „Recht auf Datenübertragbarkeit“ gemäß DSGVO.Providing a "structured, commonly used, machine-readable format" of personal data to the data subject, as provided by the GDPR's "right of data portability."
  • DeleteDelete. Permanentes Entfernen personenbezogener Daten aus der Microsoft-Cloud.Permanent removal of personal data from the Microsoft cloud.

Spezifische Überlegungen zu DatensubjektanfragenSpecific DSR Considerations

Von Microsoft-Produkten oder -Diensten generierte ErkenntnisseInsights generated by Microsoft Products or Services

Einblicke können durch Dienste (MyAnalytics usw.) generiert werden. Office 365 umfasst Onlinedienste, die Benutzern und Organisationen, die diese Dienste nutzen, Einblicke gewähren.Insights may be generated by services (MyAnalytics, etc.) Office 365 includes online services that provide insights to users and organizations that use them. Die von diesen Diensten generierten Daten erzeugen möglicherweise personenbezogene Daten, die für eine Datensubjektanfrage relevant sind.Data generated by these services may produce personal data relevant to a DSR. Folgen Sie dem Link in der nachstehenden Liste, um Details zu dienstspezifischen Datensubjektanfrage-Prozessen anzuzeigen.Follow the link in the list below for details regarding service-specific DSR processes.

Datensubjektanfragen bezüglich vom System generierten ProtokollenDSRs for system-generated logs

Protokolle und verwandte Daten, die von Microsoft generiert werden, enthalten möglicherweise Daten, die gemäß der DSGVO-Definition "personenbezogene Daten" sind.Logs and related data generated by Microsoft may contain data deemed personal under GDPR's definition of "personal data." Daten in vom System generierten Protokollen einzuschränken oder zu korrigieren, wird nicht unterstützt.Restricting or rectifying data in system-generated logs is not supported. Daten in vom System generierten Protokollen geben auf Fakten basierende Aktionen innerhalb der Microsoft-Cloud sowie Diagnosedaten wieder. Änderungen würden die historische Erfassung von Aktionen kompromittieren und das Betrugs- und Sicherheitsrisiko erhöhen.Data in system-generated logs constitutes factual actions conducted within the Microsoft cloud and diagnostic data; modifications would compromise the historical record of actions and increase fraud and security risks. Microsoft bietet die Möglichkeit, auf vom System generierte Protokolle zuzugreifen, sie zu exportieren und zu löschen, wenn dies zur Erfüllung einer Datensubjektanfrage erforderlich ist.Microsoft provides the ability to access, export, and delete system-generated logs that may be necessary to complete a DSR. Beispiele für solche Daten sind unter anderem:Examples of such data may include:

  • Daten zu Produkt- und Dienstnutzung, z. B. AktivitätsprotokolleProduct and service usage data such as user activity logs
  • Suchanfragen und Abfragedaten von BenutzernUser search requests and query data
  • Daten, die durch Produkte und Dienste infolge der Systemfunktionalität und Interaktion von Benutzern oder anderen Systemen erzeugt werden.Data generated by product and services resulting from system functionality and interaction by users or other systems.

Yammer und KaizalaYammer and Kaizala

Durch das Löschen eines Benutzerkontos werden keine vom System generierten Protokolle für „Yammer“ und „Kaizala“ entfernt.Deleting a user's account will not remove system-generated logs for Yammer and Kaizala. Wenn Sie die Daten aus diesen Anwendungen entfernen möchten, lesen Sie eine der folgenden Ressourcen:To remove the data from these applications, see one of the following resources:

Nationale CloudsNational Clouds

In einigen nationalen Clouds muss ein globaler IT-Administrator vom System generierte Protokolle löschen.In some national clouds, a global IT Administrator needs to delete system-generated logs.

Microsoft ServicesMicrosoft Services

Wenn Ihre Organisation oder Ihre Benutzer sich mit Microsoft in Verbindung setzen, um Support für Microsoft-Produkte und -Dienste zu erhalten, können einige der übermittelten Daten personenbezogene Daten enthalten.If your organization or users engage with Microsoft to receive, support related to Microsoft products and services some of this data may contain personal data. Weitere Informationen finden Sie unter Microsoft-Support und Professional Services für Anfragen von betroffenen Personen im Rahmen der DSGVO.For more information, see Microsoft Support and Professional Services Data Subject Requests for the GDPR.

Produkte, deren Datenverantwortlicher Microsoft istMicrosoft Controller Products

Unter bestimmten Umständen greifen die Benutzer Ihrer Organisation auf Microsoft-Produkte oder -Dienste zu, für die Microsoft der Datenverantwortliche ist.In some circumstances, your organization's users may access Microsoft products or services for which Microsoft is the data controller. In diesen Fällen müssen Ihre Benutzer die eigenen Datensubjektanfragen direkt an Microsoft stellen, und Microsoft erfüllt die Anforderungen direkt an den Benutzer.In those cases, your users need to initiate their own DSRs directly to Microsoft, and Microsoft fulfills the requests directly to the user.

Produkte von DrittanbieternThird-party Products

Datensubjektanfragen für Produkte und Dienste von Drittanbietern, auf die über die Microsoft-Kontoauthentifizierung zugegriffen wird, sollten direkt an den entsprechenden Drittanbieter gerichtet werden.For third-party products and services accessed through Microsoft account authentication, any data subject requests should be directed to the applicable third party.

Werkzeuge zur Verwaltung von Anträgen betroffener PersonenData Subject Request admin tools

  • Security & Compliance Center: Vom Benutzer generierte Daten werden aus dem Security & Compliance Center oder durch anwendungsinterne Features exportiert.Security & Compliance Center: User-generated data is exported by the Security & Compliance Center or in-application features.
  • Azure AD Admin Center: Löschen Sie ein Datensubjekt aus Azure Active Directory und den zugehörigen Diensten mithilfe von Azure AD Admin Center.Azure AD Admin Center: Delete a data subject from Azure Active Directory and related services using Azure AD Admin Center.
  • Microsoft-Datenprotokollexport: Vom System generierte Protokolle können von Mandantenadministratoren mithilfe von Microsoft-Datenprotokollexport exportiert werden.Microsoft Data Log Export: System-generated logs can be exported by tenant administrators using the Microsoft Data Log Export.

Weitere InformationenLearn more