Zusammenfassung Datenschutz-GrundverordnungGeneral Data Protection Regulation Summary

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. Dieses Dokument bietet Ihnen Informationen zu der Einhaltung von Rechten und dem Erfüllen von Verpflichtungen unter der DSGVO, während Sie Microsoft-Produkte und -Dienste verwenden. This document guides you to information to help you honor rights and fulfill obligations under the GDPR when using Microsoft products and services. Ein empfohlener DSGVO-Aktionsplan und Prüflisten zu Rechenschaftspflicht bieten zusätzliche Ressourcen zum Bewerten und Implementieren der DSGVO-Compliance.A Recommended action plan for GDPR and Accountability Readiness Checklists provide additional resources for assessing and implementing GDPR compliance.

BegrifflichkeitenTerminology

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:Helpful definitions for GDPR terms used in this document:

  • Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Kundendaten: Daten, die im Rahmen Ihrer regulären Geschäftstätigkeit erstellt und gespeichert werden.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Was ist die DSGVO?What is the GDPR?

Die DSGVO gibt Personen die Berechtigung, personenbezogene Daten zu verwalten, die von einer Organisation erfasst werden.The GDPR gives rights to people to manage personal data collected by an organization. Diese Rechte können über einen Antrag einer betroffenen Person ausgeübt werden.These rights can be exercised through a Data Subject Request (DSR). Die Organisation muss rechtzeitig Informationen zu Anträgen betroffener Personen und zu Datenschutzverletzungen bereitstellen und Datenschutzfolgenabschätzungen durchführen.The organization is required to provide timely information regarding DSRs and data breaches, and perform Data Protection Impact Assessments (DPIAs).

Beim Implementieren oder Bewerten von DSGVO-Anforderungen sollten mehrere Punkte berücksichtigt werden:Several points should be considered when implementing or assessing GDPR requirements:

  • Entwickeln oder Auswerten Ihrer DSGVO-Datenschutzrichtlinie für Compliance-Daten.Developing or evaluating your GDPR-compliance data privacy policy.
  • Bewerten der Datensicherheit in Ihrer Organisation.Assessing the data security of your organization.
  • Wer ist Ihr Datenverantwortlicher?Who is your data controller?
  • Welche Datensicherheitsabläufe müssen Sie möglicherweise ausführen?What data security processes may you have to perform?

Der empfohlene DSGVO-Aktionsplan und Prüflisten zu Rechenschaftspflicht können zusätzliche Punkte auf den Plan rufen, die es zu bedenken gilt.The Recommended action plan for GDPR and Accountability Readiness Checklists may prompt additional thinking points.

Die folgenden Aufgaben sind erforderlich, um die DSGVO-Standards zu erfüllen.The following tasks are involved to meet GDPR standards. Folgen Sie den Links in der Liste, um Details zu Ihrer Implementierung zu erhalten.Follow the links in the list for details regarding your implementation.

  • Anträge betroffener Personen.Data subject requests (DSR). Ein von einer betroffenen Person formal gestellter Antrag an einen Verantwortlichen, bestimmte Maßnahmen (Änderung, Einschränkung, Zugriff) im Zusammenhang mit den personenbezogenen Daten der betroffenen Person zu ergreifen.A formal request by a data subject to a controller to take an action (change, restrict, access) regarding their personal data.
  • Benachrichtigung bei Sicherheitsverletzungen.Breach notification. Unter der DSGVO besteht eine Verletzung personenbezogener Daten in „einem Sicherheitsverstoß, der zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe von oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt“.Under GDPR, a personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'
  • Datenschutzfolgenabschätzungen.Data protection impact assessment (DPIA). Datenverantwortliche sind unter der DSGVO dazu aufgerufen, eine Datenschutzfolgenabschätzung für Prozesse vorzubereiten, die „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen“.Data controllers are required under GDPR to prepare a DPIA for data operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.'

Wie weiter oben erwähnt, bieten der empfohlene DSGVO-Aktionsplan und die Prüflisten zu Rechenschaftspflicht einen Leitfaden zur Implementierung oder Bewertung der Konformität von DSGVO bei der Verwendung von Microsoft-Produkten und -Diensten.As mentioned above, the Recommended action plan for GDPR and Accountability Readiness Checklists provide a guide to implementing or assessing GDPR conformance using Microsoft products and services.

Verwenden Sie den Microsoft Compliance Manager, um Ihr Risiko einzuschätzenUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Der Compliance Manager verfügt über eine vorgefertigte Bewertung für diese Vorschrift für Enterprise E5-Kunden.Compliance Manager has a pre-built assessment for this regulation for Enterprise E5 customers. Die Vorlage für die Erstellung der Bewertung finden Sie auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template for building the assessment in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.

Antrag einer betroffenen PersonData Subject Request (DSR)

Die DSGVO gewährt Personen bestimmte Rechte in Verbindung mit der Verarbeitung ihrer personenbezogenen Daten, einschließlich des Rechts zur Korrektur falscher Daten, zum Löschen von Daten bzw. zur Einschränkung ihrer Verarbeitung, zum Empfangen von Daten und zum Erfüllen einer Anforderung zur Übertragung der Daten an einen anderen Controller.The GDPR grants individuals (or data subjects) certain rights in connection with the processing of their personal data, including the right to correct inaccurate data, erase data or restrict its processing, receive their data and fulfill a request to transmit their data to another controller. Der Verantwortliche ist für die Bereitstellung einer zeitgerechten, DSGVO-konsistenten Antwort verantwortlich.The controller is responsible for providing a timely, GDPR consistent reply. Technische Details finden Sie unter Anträge betroffener Personen.For technical details, refer to Data Subject Requests.

Häufig gestellte Fragen (FAQs) zum Antrag einer betroffenen PersonDSR FAQs

Welche Aktionen sind zum Durchführen eines Antrags einer betroffenen Person erforderlich?What actions will be required to complete a DSR?

Anträge betroffener Personen umfassen sechs Aktivitäten: Erkennung, Zugang, Berichtigung, Einschränkung, Export und Löschung.DSRs involve six activities: Discovery, Access, Rectification, Restriction, Export, and Deletion.

Was sind Ihre Datenquellen?What are your data sources?

Ein großer Teil der Daten einer Organisation wird in Office-Anwendungen wie Excel und Outlook generiert.A large fraction of an organization's data is generated in Office applications such as Excel and Outlook. Möglicherweise finden Sie auch relevante Daten für einen Antrag einer betroffenen Person in den von Microsoft-Produkten und -Diensten generierten Erkenntnissen und vom System generierten Protokollen.You may also find data relevant to a DSR in Insights generated by Microsoft products and services, and system-generated logs.

Welche Arten von Daten müssen durchsucht werden?What kinds of data need to be searched?

Personenbezogene Daten finden Sie in den Kundendaten, den von Microsoft-Produkten und -Diensten generierten Erkenntnissen sowie in vom System generierten Protokollen.Personal data may be found in customer data, insights generated by Microsoft products and services, and system-generated logs.

Wie werden personenbezogene Daten durchsucht?How will personal data be searched?

Die Suche nach personenbezogenen Daten kann unter Microsoft-Produkten und -Diensten variieren.Searching for personal data may vary across Microsoft products and services. Suchtools bieten beispielsweise eine Inhaltssuche oder eine In-App-Suche.Search tools include Content Search, or in-app search capacity. Administratoren können auf vom System generierte Protokolle zugreifen, die einer Benutzeraktivität zugeordnet sind.Administrators may access system-generated logs associated with a user's activity.

In welchen Formaten sollten personenbezogene Daten zur Verfügung gestellt werden?In what formats should personal data be made available?

Das „Recht auf Datenübertragbarkeit“ der DSGVO ermöglicht es betroffenen Personen, eine elektronische Kopie ihrer personenbezogenen Daten in einem „strukturierten, gängigen, maschinenlesbaren Format“ sowie die Übermittelung dieser Dateien durch Ihre Organisation an einen anderen Datenverantwortlichen anzufordern.The GDPR 'right of data portability' allows a data subject to request a copy of personal data in a 'structured, commonly used, machine-readable format', and to request that your organization transmit these files to another data controller.

Wie sehen die Anforderungen der DSGVO aus und was sind meine Verantwortlichkeiten als Controller?What does the GDPR require and what are my responsibilities as the controller?

Als Controller sind Sie gemäß der DSGVO zu Folgendem verpflichtet:As controller, the GDPR requires you to be able to:

  • Sie geben Datensubjekten eine Kopie ihrer personenbezogenen Daten sowie eine Erläuterung der Kategorien ihrer Daten, die verarbeitet werden. Sie benennen den Zweck dieser Verarbeitung ebenso wie die Kategorien von Drittanbietern, denen die Daten eventuell offengelegt werden.Give data subjects a copy of their personal data, together with an explanation of the categories of their data that are being processed, the purposes of that processing, and the categories of third parties to whom their data may be disclosed.
  • Sie unterstützen jeden einzelnen Nutzer dabei, sein Recht auszuüben, falsche personenbezogene Daten zu korrigieren, Daten zu löschen oder ihre Verarbeitung einzuschränken, seine eigenen Daten in lesbarer Form abzurufen und ggf. eine Anfrage zur Übertragung der Daten an einen anderen Controller zu stellen.Help every individual exercise their right to correct inaccurate personal data, erase data or restrict its processing, receive their data in a readable form, and where applicable, fulfill a request to transmit their data to another controller.

Wie sehen die Anforderungen der DSGVO aus und was sind die Microsoft-Verantwortlichkeiten als Verarbeiter?What does the GDPR require and what are the responsibilities of Microsoft as processor?

Microsoft muss Ihnen die notwendigen technischen und organisatorischen Mittel an die Hand geben, damit Sie adäquat auf Anfragen von Datensubjekten reagieren können, die ihre oben beschriebenen Rechte in Anspruch nehmen.We must implement the appropriate technical and organizational measures to assist you in responding to requests from data subjects exercising their rights as discussed above.

Wo finde ich Informationen in Verbindung mit der DSGVO für lokale Server?Where can I find GDPR-related information for on-premises servers?

Eine Reihe von Artikeln zur DSGVO finden Sie hier.You can find a series of GDPR-related articles here. Sie wurden von Microsoft erstellt und bieten empfohlene Ansätze für die lokale Arbeitslast für SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server und lokale Dateifreigaben.Produced by Microsoft, they provide recommended approaches for on-premises workload for SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server, and on-premises file shares.

Welche Mittel gibt Microsoft Ihnen an die Hand, um auf Anfragen von Datensubjekten zu reagieren?How does Microsoft enable you to respond to data subject requests?

Online Services bietet ein breites Spektrum an Funktionalitäten, die Sie als Controller nutzen können, um auf Anfragen von Datensubjekten zu reagieren.Online Services offers a host of capabilities to enable you, as a controller, to respond to a data subject's request. Microsoft-Unternehmensonlinedienste und Administratorsteuerelemente unterstützen Sie dabei, auf personenbezogene Daten im Rahmen von Datenbetreffsanforderungen zu reagieren, sodass Sie personenbezogene Daten, die sich in den vom Controller verwalteten Daten befinden, die in der Cloud von Microsoft gespeichert sind, auffinden, korrigieren, einschränken, löschen, exportieren und darauf zugreifen können.Microsoft enterprise online services and administrative controls help you act on personal data responsive to data subject rights requests, allowing you to discover, access, rectify, restrict, delete, and export personal data that resides in the controller-managed data stored in Microsoft's cloud. Online Services stellt Daten bei Bedarf auch in maschinenlesbarer Form bereit.Online Services also provides data in machine-readable form should you need it.

DatenschutzfolgenabschätzungData Protection Impact Assessment

Unter der DSGVO sind Datenverantwortliche dazu aufgerufen, eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA) für Prozesse vorzubereiten, die „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen“.Under GDPR, data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Microsoft-Produkte und -Dienste an sich machen keine Datenschutzfolgenabschätzung erforderlich.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Vielmehr hängt dies von den Details Ihrer Microsoft-Konfiguration ab.Rather, it depends on the details of your Microsoft configuration. Eine Liste der Details, die in Office berücksichtigt werden müssen, finden Sie in Inhalte einer Datenschutzfolgenabschätzung.A list of details that must be considered in Office can be found in Contents of DPIA

Häufig gestellte Fragen zur DatenschutzfolgenabschätzungDPIA FAQs

Wann sollten Sie eine Datenschutzfolgenabschätzung durchführen?When should you conduct a DPIA?

Verantwortliche sind dazu aufgefordert, eine Datenschutzfolgenabschätzung hinsichtlich Risiken für die Sicherheit personenbezogener Daten oder als Reaktion auf eine Datenschutzverletzung auszuführen.Controllers are required to perform a DPIA addressing risks to personal data security or as a result of a data breach. Spezifische Beispiele für Risikofaktoren in Office werden in Ist eine Datenschutzfolgenabschätzung notwendig? behandelt.Specific examples of risk factors in Office are addressed in Determining Whether a DPIA is Needed.

Was ist für die Durchführung einer Datenschutzfolgenabschätzung erforderlich?What is required to complete a DPIA?

Die DSGVO gibt vor, dass eine Datenschutzfolgenabschätzung Folgendes umfasst:The GDPR mandates that a DPIA includes:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck der Datenschutzfolgenabschätzung.Assessment of the necessity, and proportionality of data processing in relation to the DPIA's purpose.
  • Eine Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen.An assessment of the risks to the rights and freedoms of data subjects.
  • Vorgesehene Maßnahmen zum Umgang mit den Risiken, Sicherheitsvorkehrungen, Sicherheitsmaßnahmen und Mechanismen zur Sicherstellung des Schutzes personenbezogener Daten und zur Einhaltung der Compliance mit der DSGVO.Intended measures to address the risks, safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.

Was sind meine Verantwortlichkeiten als Controller?What are my responsibilities as a Controller?

Die DSGVO sieht vor, dass Sie als Datencontroller vor der Verarbeitung von Daten, die mit hoher Wahrscheinlichkeit ein großes Risiko für die Rechte und Freiheiten einzelner Personen darstellt, eine Datenschutz-Folgenabschätzung auszuführen. Dies gilt inbesondere dann, wenn bei der Datenverarbeitung neue Technologien eingesetzt werden.Under the GDPR, as a controller you are required to undertake DPIAs prior to data processing that is likely to result in a high risk to the rights and freedoms of individuals—in particular, processing using new technologies. Im Folgenden finden Sie eine an die DSGVO angelehnte, nicht vollständige Liste von Fällen, in denen eine Datenschutz-Folgenabschätzung ausgeführt werden muss:The GDPR provides the following non-exhaustive list of cases in which DPIAs must be carried out:

  • Automatisierte Verarbeitung zum Zweck der Profilerstellung und für ähnliche Aktivitäten, die rechtliche Auswirkungen haben oder sich in ähnlicher Weise wesentlich auf betroffene Personen auswirken;Automated processing for the purposes of profiling and similar activities that has legal effects or similarly significantly affects data subjects;
  • Umfassende Verarbeitung spezieller Kategorien von personenbezogenen Daten, d. h. Daten, aus denen die ethnische Herkunft, die politische Gesinnung oder Ähnliches hervorgeht, bzw. Daten zu strafrechtlichen Verurteilungen und Straftaten;Processing on a large scale of special categories of personal data-data revealing racial or ethnic origin, political opinion, and the like—or of data relating to criminal convictions and offenses;
  • Systematische Überwachung eines öffentlich zugänglichen Bereichs.Systematic monitoring of a publicly accessible area on a large scale.

Aus der DSGVO geht außerdem hervor, dass die Aufsichtsbehörde konsultiert werden muss, falls Datenverarbeitungsvorgänge ein hohes Risiko für betroffene Personen bergen, das Sie nicht durch geeignete Verfahren eindämmen können.The GDPR also requires that you must consult with your Data Protection Authority (DPA) before you begin any processing if you cannot identify sufficient processes to minimize high risks to data subjects.

Was sind die Verantwortlichkeiten von Microsoft?What are the responsibilities of Microsoft?

Microsoft bietet in seinen Engineering- und Business-Bereichen sowohl standardmäßige als auch speziell zugeschnittene Datenschutzoptionen an.Microsoft practices privacy by design and privacy by default in its engineering and business functions. Im Rahmen dieser Bemühungen führt Microsoft umfassende Überprüfungen des Datenschutz bei Verarbeitungsvorgängen durch, die sich möglicherweise auf die Rechte und Freiheiten von Personen auswirken können.As part of these efforts, Microsoft performs comprehensive privacy reviews on data processing operations that have the potential to cause impacts to the rights and freedoms of data subjects. Datenschutzteams, die in die Dienstgruppen eingebettet sind, überprüfen das Design und die Implementierung von Diensten, um sicherzustellen, dass personenbezogene Daten auf respektvolle Art verarbeitet werden, die im Einklang mit internationalen Gesetzen, Benutzererwartungen und unseren ausdrücklichen Verpflichtungen stehen.Privacy teams embedded in the service groups review the design and implementation of services to ensure that personal data is processed in a respectful manner that accords with international law, user expectations, and our express commitments.

Diese Datenschutzüberprüfungen sind in der Regel ausführlich – ein bestimmter Dienst wird möglicherweise dutzende oder hunderte Male überprüft.These privacy reviews tend to be granular — a particular service may receive dozens or hundreds of reviews. Microsoft fasst diese ausführlichen Datenschutzüberprüfungen in Bewertungen der Auswirkungen des Datenschutzes zusammen, die größere Verarbeitungsgruppierungen umfassen, die dann vom Microsoft EU-Datenschutzbeauftragten überprüft werden.Microsoft rolls up these granular privacy reviews into Data Protection Impact Assessments (DPIAs) that cover major groupings of processing, which the Microsoft EU Data Protection Officer (DPO) then reviews. Der Datenschutzbeauftragte beurteilt die Risiken im Zusammenhang mit der Datenverarbeitung, um sicherzustellen, dass entsprechende Abhilfemaßnahmen vorhanden sind.The DPO assesses the risks related to the data processing to ensure that sufficient mitigations are in place. Wenn der Datenschutzbeauftragte nicht abwendbare Risiken findet, werden Empfehlungen an die Engineering-Gruppe gegeben.If the DPO finds unmitigated risks, changes are recommended back to the engineering group. Wenn sich Risiken im Zusammenhang mit dem Datenschutz ändern, werden die Bewertungen der Auswirkungen des Datenschutzes überprüft und aktualisiert.DPIAs will be reviewed and updated as data protection risks change.

In der Funktion des Datenverarbeiters ist Microsoft verpflichtet, Datencontroller dabei zu unterstützen, die in der DSGVO formulierten Anforderungen an Datenschutz-Folgenabschätzungen zu erfüllen.Microsoft, as a processor, has a duty to assist controllers in ensuring compliance with the DPIA requirements laid out in the GDPR. Zur Unterstützung unserer Kunden wurden die relevanten Abschnitte der DPIAs von Microsoft zusammengefasst und werden in diesem Abschnitt in künftigen Updates bereitgestellt, damit Controller die Microsoft-Dienste nutzen können, um die Zusammenfassungen für die Erstellung eigener DPIAs zu verwenden.To support our customers, relevant sections of Microsoft's DPIAs are abstracted and will be provided through this section in future updates with the intent of allowing controllers relying on Microsoft services to leverage the abstracts in order to create their own DPIAs.

Benachrichtigung bei SicherheitsverletzungenBreach Notification

Die DSGVO sieht für die Verletzung des Schutzes personenbezogener Daten eine Informationspficht für Datencontroller und Datenverarbeiter vor.The GDPR mandates notification requirements for data controllers and processors for a breach of personal data. Als Datenauftragsverarbeiter stellt Microsoft sicher, dass unsere Kunden die DSGVO-Anforderungen zur Benachrichtigung bei Sicherheitsverletzungen erfüllen.As a data processor, Microsoft ensures that customers are able to meet the GDPR's breach notification requirements. Die Datenverantwortlichen sind dafür verantwortlich, die Datenschutzrisiken zu bewerten und zu beurteilen, ob ein Kunde über eine Datenschutzverletzung benachrichtigt werden muss.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. Microsoft stellt die Informationen zur Verfügung, die für diese Einschätzung erforderlich sind.Microsoft provides the information needed to make that assessment. Weitere Informationen darüber, wie Microsoft eine Verletzung des Schutzes personenbezogener Daten erkennt und darauf reagiert, finden Sie in Benachrichtigung bei Datenschutzverletzungen im Rahmen der DSGVO.More information about how Microsoft detects and responds to a breach of personal data in Data Breach Notification Under the GDPR.

Häufig gestellte Fragen zu Benachrichtigung bei SicherheitsverletzungenBreach notification FAQs

Was stellt eine Verletzung personenbezogener Daten im Rahmen der DSGVO dar?What constitutes a breach of personal data under the GDPR?

Personenbezogene Daten beziehen sich auf alle Informationen im Zusammenhang mit einer Person, die verwendet werden können, um diese Person direkt oder indirekt zu identifizieren.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Eine Verletzung personenbezogener Daten stellt „einen Sicherheitsverstoß dar, der zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt“.A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'

Was sind Ihre Verantwortlichkeiten als Controller?What are your responsibilities as the controller?

Wenn eine Verletzung personenbezogener Daten, die möglicherweise die Rechte und Freiheiten von Personen gefährdet (z. B. Diskriminierung, Identitätsdiebstahl, Betrug, finanzielle Schäden oder Schädigung ihres Rufs) auftritt, sind Sie im Rahmen der DSGVO zu Folgendem verpflichtet:If a breach of personal data that is likely to result in a high risk to the rights and freedoms of individuals (such as discrimination, identity theft, fraud, financial loss, or damage to their reputation) occurs, the GDPR requires you to:

  • Benachrichtigen Sie die entsprechende Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls – beispielsweise, nachdem Sie von Microsoft benachrichtigt wurden.Notify the appropriate Data Protection Authority (DPA) within 72 hours of becoming aware of it—for example, after Microsoft notifies you. Wenn Sie die Datenschutzbehörde innerhalb dieses Zeitraums nicht benachrichtigen, müssen Sie hierzu eine Erklärung abliefern.If you don't notify the DPA within that time period, you'll need to explain why to the DPA. Diese Erklärung an die Datenschutzbehörde ist auch dann erforderlich, wenn das Risiko für Personen nicht hoch ist.This notice to the DPA is required even where there is a risk to individuals that is not likely to result in a high risk.
  • Benachrichtigen Sie die betroffenen Personen unverzüglich über die Verletzung.Notify the data subjects of the breach without undue delay.
  • Dokumentieren Sie den Verstoß, einschließlich einer Beschreibung der Art der Verletzung – z. B. wie viele Personen betroffen waren, die Anzahl betroffener Datensätze, die Auswirkungen der Verletzung sowie alle Abhilfemaßnahmen, die Ihre Organisation vorschlägt oder ergriffen hat.Document the breach including a description of the nature of the breach—such as how many people were impacted, the number of data records affected, the consequences of the breach, and any remedial action your organization is proposing or took.

Was sind die Verantwortlichkeiten von Microsoft als Verarbeiter?What are the responsibilities of Microsoft as the processor?

Nachdem Microsoft auf eine Verletzung des Schutzes personenbezogener Daten aufmerksam gemacht wurde, sind wir im Rahmen der DSGVO dazu verpflichtet, Sie unverzüglich darüber zu informieren.After we become aware of a personal data breach, the GDPR requires us to notify you without undue delay. Hat Microsoft die Rolle des Datenverarbeiters inne, spiegeln unsere Pflichten sowohl DSGVO-Anforderungen als auch unsere konzerneigenen, weltweiten Standardvertragsbestimmungen wider.Where Microsoft is a processor our obligations reflect both GDPR requirements and our standard, worldwide contractual provisions. In unseren Augen gilt dies für alle bestätigten Verletzungen des Schutzes personenbezogener Daten und unabhängig von dem potenziellen Schadensrisiko.We consider that all confirmed personal data breaches are in scope; there is no risk of harm threshold. Wir informieren unsere Kunden darüber, ob die Verletzung des Schutzes personenbezogener Daten bei Microsoft selbst oder bei einem unserer Unterauftragsverarbeiter auftrat.We will notify our customers whether the data breach was suffered by Microsoft directly or by any of our sub-processors. Wir haben Prozesse implementiert, mit denen wir die Verantwortlichen bei Sicherheitsvorfällen in Ihrer Organisation schnell identifizieren und kontaktieren können.We have processes in place to quickly identify and contact security incident personnel you've identified in your organization. Darüber hinaus sind alle Unterauftragsverarbeiter vertraglich verpflichtet, Verletzungen der Sicherheit personenbezogener Daten in ihren eigenen Systemen an Microsoft zu melden und dahingehende Garantien zu geben.In addition, all sub-processors are contractually obliged to report their own breaches to Microsoft, and provide guarantees to that effect.

Wie erkennt Microsoft eine Datenschutzverletzung?How will Microsoft detect a data breach?

Alle unsere Dienste und Mitarbeiter befolgen interne Incident-Management-Prozeduren, um sicherzustellen, dass alle Vorsichtsmaßnahmen zur Vermeidung von Verletzungen der Schutzes personenbezogener Daten ergriffen werden. All our services and personnel follow internal incident management procedures to ensure that we take proper precautions to avoid data breaches in the first place. Darüber hinaus hat Online Services spezifische plattformübergreifende Sicherheitskontrollen zur frühzeitigen Erkennung solcher Verletzungen implementiert.However, in addition, Online Services have specific security controls in place across our platforms to detect data breaches in the rare event that they occur.

Wie reagiert Microsoft auf eine Verletzung des Schutzes personenbezogener Daten?How will Microsoft respond to a data breach?

Für die Verletzung des Schutzes personenbezogener Daten bietet Microsoft Ihnen folgende Unterstützung:To support you for a breach of personal data Microsoft has: - Entsprechend geschultes Sicherheitspersonal, das die zu befolgenden Prozeduren kennt.Security personnel trained on the specific procedures to follow. - Richtlinien, Verfahren und Steuerungselemente, um sicherzustellen, dass Microsoft detailliert Aufzeichnung führt.Has policies, procedures, and controls in place to ensure that Microsoft maintains detailed records. In der Reaktion gehört die Dokumentation des Sachverhalts eines Vorfalls, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen ebenso wie das Nachverfolgen und Speichern der Informationen in unseren Incident-Management-Systemen.This response includes documentation that captures the facts of the incident, its effects, and remedial action, as well as tracking and storing information in our incident management systems.

Wie informiert Microsoft mich über eine Verletzung des Schutzes personenbezogener Daten?How will Microsoft notify me in the event of a data breach?

Microsoft hat Richtlinien und Prozeduren implementiert, um Sie umgehend zu benachrichtigen.Microsoft has policies and procedures in place to notify you promptly. Damit Sie Ihrer Informationspflicht gegenüber der Datenschutzbehörde nachkommen können, stellen wir eine Beschreibung des Prozesses bereit, der befolgt wurde, um zu ermitteln, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, ebenso wie eine Beschreibung der Art der Verletzung sowie der ergriffenen Gegenmaßnahmen.To satisfy your notice requirements to the DPA, we will provide a description of the process we used to determine if a breach of personal data has occurred, a description of the nature of the breach and a description of the measures we took to mitigate the breach.

Prüflisten zu Rechenschaftspflicht für die DSGVOAccountability Readiness Checklists for the GDPR

Diese Prüflisten ermöglichen einen bequemen Zugriff auf Informationen, die Sie bei der Einhaltung der DSGVO bei Verwendung von Microsoft-Produkten benötigen.These checklists provide a convenient way to access information you may need to support the GDPR using Microsoft products. Sie können Checklistenelemente mit Microsoft Compliance Manager verwalten, indem Sie unter „Vom Kunden verwaltete Steuerelemente“ in der GDPR-Kachel auf die Kontroll-ID und den Kontrolltitel verweisen.You can manage checklist items with Microsoft Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Häufig gestellte Fragen zur DSGVOGDPR FAQs

Hat Microsoft Verpflichtungen gegenüber seinen Kunden bezüglich der DSGVO?Does Microsoft make commitments to its customers with regard to the GDPR?

Ja.Yes. Die DSGVO sieht vor, dass Verantwortliche (z. B. Unternehmen, die Microsoft Enterprise Online Services nutzen) nur mit Auftragsverarbeitern (z. B. Microsoft) zusammenarbeiten, die ausreichende Sicherheiten für die Einhaltung der zentralen DSGVO-Anforderungen bieten.The GDPR requires controllers (such as organizations using Microsoft's enterprise online services) only use processors (such as Microsoft) that provide sufficient guarantees to meet key requirements of the GDPR. Microsoft setzt sich proaktiv dafür ein, diesen Verpflichtung gegenüber allen Volumenlizenzkunden im Rahmen ihrer Verträge nachzukommen.Microsoft has taken the proactive step of providing these commitments to all Volume Licensing customers as part of their agreements.

Wie hilft mir Microsoft bei der Compliance?How does Microsoft help me comply?

Microsoft bietet Tools und Dokumentationen zur Unterstützung Ihrer DSGVO-Verantwortlichkeit.Microsoft provides tools and documentation to support your GDPR accountability. Dazu gehören die Unterstützung der Rechte der Betroffenen, die Durchführung eigener Datenschutz-Folgenabschätzung und die Zusammenarbeit bei der Aufklärung von Verletzung des Schutzes personenbezogener Daten.This includes support for Data Subject Rights, performing your own Data Protection Impact Assessments, and working together to resolve personal data breaches.

Welche Verpflichtungen stehen in den DSGVO-Bedingungen?What commitments are in the GDPR Terms?

Die DSGVO-Bedingungen von Microsoft stellen die in Artikel 28 erforderlichen Verpflichtungen für Verarbeiter dar.Microsoft's GDPR Terms reflect the commitments required of processors in Article 28. Artikel 28 setzt voraus, dass die Verarbeiter folgende Aufgaben ausführen:Article 28 requires that processors commit to:

  • Verwenden von Subverarbeitern nur mit Zustimmung des Verantwortlichen, und für die Subverarbeiter haften.Only use subprocessors with the consent of the controller and remain liable for subprocessors.
  • Verarbeiten von personenbezogenen Daten nur nach Anweisung des Verantwortlichen, auch im Hinblick auf Übertragungen.Process personal data only on instructions from the controller, including with regard to transfers.
  • Sicherstellen, dass Personen, die personenbezogene Daten verarbeiten, zur Vertraulichkeit verpflichtet sind.Ensure that persons who process personal data are committed to confidentiality.
  • Implementieren von geeigneten technischen und organisatorischen Maßnahmen, um ein Maß an Sicherheit bei den personenbezogenen Daten zu gewährleisten, die für das Risiko angemessen sind.Implement appropriate technical and organizational measures to ensure a level of personal data security appropriate to the risk.
  • Unterstützen der Verantwortlichen bei ihren Verpflichtungen zur Beantwortung der Anforderungen der betroffenen Person, ihre DSGVO-Rechte wahrzunehmen.Assist controllers in their obligations to respond to data subjects' requests to exercise their GDPR rights.
  • Einhaltung der Vorschriften zur Meldung und Unterstützung bei Verletzung des Schutzes personenbezogener Daten.Meet the breach notification and assistance requirements.
  • Unterstützen der Verantwortlichen mit der Datenschutz-Folgenabschätzung und der Beratung mit den Aufsichtsbehörden.Assist controllers with data protection impact assessments and consultation with supervisory authorities.
  • Löschen oder Zurückgeben von personenbezogenen Daten am Ende der Erbringung von Diensten.Delete or return personal data at the end of provision of services.
  • Unterstützen des Verantwortlichen nachweislich der Einhaltung der DSGVO.Support the controller with evidence of compliance with the GDPR.

Auf welcher Grundlage erleichtert Microsoft die Übertragung von personenbezogenen Daten in Länder außerhalb der EU?Under what basis does Microsoft facilitate the transfer of personal data outside of the EU?

Microsoft verwendet seit langem die Standardvertragsklauseln (auch als Modellklauseln bekannt) als Grundlage für die Datenübertragung für seine Unternehmens-Online-Dienste.Microsoft has long used the Standard Contractual Clauses (also known as the Model Clauses) as a basis for transfer of data for its enterprise online services. Die Standardvertragsklauseln sind von der Europäischen Kommission zur Verfügung gestellte Standardbedingungen, die verwendet werden können, um Daten konform außerhalb des Europäischen Wirtschaftsraums zu übertragen.The Standard Contractual Clauses are standard terms provided by the European Commission that can be used to transfer data outside the European Economic Area in a compliant manner. Microsoft hat die Standardvertragsklauseln über die Bedingungen für Online-Dienste in alle unsere Volumenlizenzverträge aufgenommen.Microsoft has incorporated the Standard Contractual Clauses into all of our Volume Licensing agreements via the Online Services Terms. Für personenbezogene Daten aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation den entsprechenden Bestimmungen gemäß Artikel 46 der DSGVO unterliegt.For personal data from the European Economic Area, Switzerland, and the United Kingdom, Microsoft will ensure that transfers of personal data to a third country or an international organization are subject to appropriate safeguards as described in Article 46 of the GDPR. Zusätzlich zu Microsofts Verpflichtungen unter den Standardvertragsklauseln für Auftragsverarbeiter und anderen Musterverträgen hält sich Microsoft weiterhin an die Bedingungen des EU-US-Datenschutzschild-Frameworks, wird sich aber nicht mehr darauf als Grundlage für die Übermittlung personenbezogener Daten aus der EU/dem EWR in die Vereinigten Staaten stützen.In addition to Microsoft's commitments under the Standard Contractual Clauses for processors and other model contracts, Microsoft continues to abide by the terms of the Privacy Shield framework but will no longer rely on it as a basis for the transfer of personal data from the EU/EEA to the United States.

Was sind die anderen Microsoft Compliance-Angebote?What are the other Microsoft compliance offerings?

Als globales Unternehmen mit Kunden in fast allen Ländern der Welt verfügt Microsoft über ein robustes Compliance-Portfolio zur Unterstützung unserer Kunden.As a global company with customers in nearly every country in the world, Microsoft has a robust compliance portfolio to assist our customers. Eine vollständige Liste unserer Compliance-Angebote einschließlich FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud und viele andere finden Sie unter unseren Themen für Compliance-Angebote.To view a complete list of our compliance offerings including FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, and many others visit our compliance offering topics.

Wie wirkt sich die DSGVO auf mein Unternehmen aus?How will GDPR affect my company?

Die DSGVO erlegt Unternehmen, die persönliche Daten erfassen und verarbeiten, zahlreiche Anforderungen auf, einschließlich einer Verpflichtung zur Einhaltung von sechs Schlüsselprinzipien:The GDPR imposes a wide range of requirements on organizations that collect or process personal data, including a requirement to comply with six key principles:

  • Transparenz, Fairness und Rechtmäßigkeit in der Handhabung und Nutzung personenbezogener Daten.Transparency, fairness, and lawfulness in the handling and use of personal data. Sie müssen sich gegenüber Einzelpersonen darüber im Klaren sein, wie Sie personenbezogene Daten verwenden, und benötigen außerdem eine „gesetzliche Grundlage“ für die Verarbeitung dieser Daten.You will need to be clear with individuals about how you are using personal data and will also need a "lawful basis" to process that data.
  • Beschränkung der Verarbeitung personenbezogener Daten auf festgelegte, ausdrückliche und rechtmäßige Zwecke.Limiting the processing of personal data to specified, explicit, and legitimate purposes. Sie sind nicht in der Lage, personenbezogene Daten für Zwecke wiederzuverwenden oder weiterzugeben, die mit dem Zweck, für den die Daten ursprünglich gesammelt wurden, nicht „kompatibel“ sind.You will not be able to reuse or disclose personal data for purposes that are not "compatible" with the purpose for which the data was originally collected.
  • Die Minimierung der Sammlung und Speicherung von personenbezogenen Daten auf das Maß, das für den beabsichtigten Zweck angemessen und relevant ist.Minimizing the collection and storage of personal data to that which is adequate and relevant for the intended purpose.
  • Gewährleistung der Richtigkeit der personenbezogenen Daten und Ermöglichung ihrer Löschung oder Berichtigung.Ensuring the accuracy of personal data and enabling it to be erased or rectified. Sie müssen Maßnahmen ergreifen, um sicherzustellen, dass die in Ihrem Besitz befindlichen persönlichen Daten korrekt sind und bei Fehlern korrigiert werden können.You will need to take steps to ensure that the personal data you hold is accurate and can be corrected if errors occur.
  • Begrenzen der Speicherung von personenbezogenen Daten.Limiting the storage of personal data. Sie müssen sicherstellen, dass Sie personenbezogene Daten nur so lange aufbewahren, wie es für die Erreichung der Zwecke, für die Daten gesammelt wurden, erforderlich ist.You will need to ensure that you retain personal data only for as long as necessary to achieve the purposes for which the data was collected.
  • Gewährleistung von Sicherheit, Integrität und Vertraulichkeit personenbezogener Daten.Ensuring security, integrity, and confidentiality of personal data. Ihre Organisation muss Maßnahmen ergreifen, um personenbezogene Daten durch technische und organisatorische Sicherheitsmaßnahmen zu schützen.Your organization must take steps to keep personal data secure through technical and organizational security measures.

Sie müssen die spezifischen Verpflichtungen Ihres Unternehmens gemäß DSGVO kennen und wissen, wie Sie diese einhalten. Microsoft unterstützt Sie auf Ihrem Weg zur DSGVO.You will need to understand what your organization's specific obligations are to the GDPR are and how you will meet them, though Microsoft is here to help you on your GDPR journey.

Welche Rechte müssen Unternehmen laut der DSGVO gewähren?What rights must companies enable under GDPR?

Die DSGVO gibt den in der EU ansässigen Personen die Kontrolle über ihre personenbezogenen Daten durch eine Reihe von „Rechten der betroffenen Personen“.The GDPR provides EU residents with control over their personal data through a set of 'data subject rights'. Dazu gehört das Recht auf:This includes the right to:

  • Zugriff zu Informationen darüber, wie personenbezogene Daten verwendet werden.Access information about how personal data is used.
  • Zugriff zu personenbezogenen Daten im Besitz einer Organisation.Access personal data held by an organization.
  • Die Löschung oder Berichtigung unrichtiger personenbezogener Daten zu veranlassen.Have incorrect personal data deleted or corrected.
  • Personenbezogene Daten unter bestimmten Umständen berichtigen und löschen lassen (manchmal auch als „Recht auf Vergessenwerden“ bezeichnet).Have personal data rectified and erased in certain circumstances (sometimes referred to as the "right to be forgotten").
  • Beschränken oder Einspruch gegen die automatisierte Verarbeitung personenbezogener Daten erheben.Restrict or object to automated processing of personal data.
  • Erhalten einer Kopie der personenbezogenen Daten.Receive a copy of personal data.

Was sind Auftragsverarbeiter und Verantwortliche?What are Processors and Controllers?

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Ein Verarbeiter ist eine natürliche oder juristische Person, öffentliche Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.A processor is a natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.

Gilt die DSGVO für Verarbeiter und Verantwortlicher?Does the GDPR apply to Processors and Controllers?

Ja, die DSGVO gilt sowohl für Verantwortliche als auch für Verarbeiter.Yes, the GDPR applies to both controllers and processors. Die Verantwortlichen müssen nur Verarbeiter einsetzen, die Maßnahmen ergreifen, um die Anforderungen der DSGVO zu erfüllen.Controllers must only use processors that take measures to meet the requirements of the GDPR. Nach der DSGVO sind Verarbeiter im Vergleich zur Datenschutzrichtlinie mit zusätzlichen Pflichten und Haftung für die Nichteinhaltung oder das Handeln außerhalb der vom Verantwortlichen erteilten Anweisungen konfrontiert.Under the GDPR, processors face additional duties and liability for noncompliance, or acting outside of instructions provided by the controller, as compared to the Data Protection Directive. Zu den Aufgaben des Verarbeiters gehören unter anderem, ohne darauf beschränkt zu sein:Processor duties include, but are not limited to:

  • Verarbeitung von Daten nur auf Anweisung des Verantwortlichen.Processing data only as instructed by the controller.
  • Verwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.Using appropriate technical and organizational measures to protect personal data.
  • Unterstützung des Verantwortlichen bei Anfragen der betroffenen Person.Assisting the controller with data subject requests.
  • Dadurch wird sichergestellt, dass die von ihr eingesetzten Subverarbeiter diese Anforderungen erfüllen.Ensuring subprocessors it engages meet these requirements.

Wie hoch können die Strafen bei Nichteinhaltung sein?How much can companies be fined for noncompliance?

Unternehmen können bei Nichterfüllung bestimmter DSGVO-Anforderungen mit einer Geldbuße von bis zu € 20 Mio. oder 4 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.Companies can be fined up to €20m or 4% of annual global turnover, whichever is greater, for failure to meet certain GDPR requirements. Zusätzliche individuelle Abhilfemaßnahmen könnten Ihr Risiko erhöhen, wenn Sie sich nicht an die DSGVO-Anforderungen halten.Additional individual remedies could increase your risk if you fail to adhere to GDPR requirements.

Muss mein Unternehmen einen Datenschutzbeauftragten (Data Protection Officer, DPO) ernennen?Does my business need to appoint a Data Protection Officer (DPO)?

Sie hängt von mehreren Faktoren ab, die in der Verordnung genannt werden.It depends on several factors identified within the regulation. Artikel 37 der DSGVO besagt, dass die Verantwortliche und die Verarbeiter in jedem Fall einen Datenschutzbeauftragten benennen müssen: a) die Verarbeitung durch eine Behörde oder Einrichtung der öffentlichen Hand erfolgt, mit Ausnahme von Gerichten in ihrer gerichtlichen Eigenschaft; b) die Kerntätigkeiten des Verantwortlichen oder des Verarbeiters bestehen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zweckbestimmung eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Maßstab erfordern; oder c) die Kerntätigkeiten des Verantwortlichen oder des Verarbeiters besonderer Datenkategorien gemäß Artikel 9 und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten nach Artikel 10 in großem Maßstab bestehen.Article 37 of the GDPR states that controllers and processors shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offenses referred to in Article 10.

Wie hoch sind die Kosten für die Einhaltung der DSGVO?How much will it cost to meet compliance with the GDPR?

Die Einhaltung der DSGVO wird für die meisten Unternehmen Zeit und Geld kosten, obwohl es für diejenigen, die in einem gut durchdachten Cloud-Service-Modell arbeiten und über ein effektives Data-Governance-Programm verfügen, ein reibungsloserer Übergang sein kann.Meeting compliance with the GDPR will cost time and money for most organizations, though it may be a smoother transition for those who are operating in a well-architected cloud services model and have an effective data governance program in place.

Wie kann ich feststellen, ob die Daten, die meine Organisation verarbeitet, unter die DSGVO fallen?How do I know if the data that my organization is processing is covered by the GDPR?

Die DSGVO regelt die Erhebung, Speicherung, Nutzung und Weitergabe von „personenbezogenen Daten“.The GDPR regulates the collection, storage, use, and sharing of 'personal data'. Personenbezogene Daten sind in der DSGVO allgemein als Daten definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.Personal data is defined broadly under the GDPR as any data that relates to an identified or identifiable natural person.

Zu den personenbezogenen Daten können unter anderem Online-Identifikatoren (z. B. IP-Adressen), Mitarbeiterinformationen, Vertriebsdatenbanken, Daten des Kundendienstes, Kundenfeedback-Formulare, Standortdaten, biometrische Daten, CCTV-Aufnahmen, Aufzeichnungen über Treueprogramme, Gesundheits- und Finanzinformationen und vieles mehr gehören.Personal data can include, but is not limited to, online identifiers (for example, IP addresses), employee information, sales databases, customer services data, customer feedback forms, location data, biometric data, CCTV footage, loyalty scheme records, health, and financial information and much more. Diese können sogar Informationen enthalten, die nicht personenbezogen zu sein scheinen – wie beispielsweise ein Foto einer Landschaft ohne Menschen – wenn diese Informationen durch eine Kontonummer oder einen eindeutigen Code mit einer identifizierbaren Person in Verbindung stehen.It can even include information that does not appear to be personal-such as a photo of a landscape without people-where that information is linked by an account number or unique code to an identifiable individual. Und selbst personenbezogene Daten, die pseudonymisiert wurden, können personenbezogene Daten sein, wenn das Pseudonym mit einer bestimmten Person in Verbindung gebracht werden kann.And even personal data that has been pseudonymized can be personal data if the pseudonym can be linked to a particular individual.

Die Verarbeitung bestimmter „spezieller“ Kategorien personenbezogener Daten – wie z. B. personenbezogene Daten, welche die ethnische Herkunft einer Person offenbaren oder ihre Gesundheit oder sexuelle Ausrichtung betreffen – unterliegt strengeren Regeln als die Verarbeitung „gewöhnlicher“ personenbezogener Daten.Processing of certain "special" categories of personal data, such as personal data that reveals a person's racial or ethnic origin, or concerns their health or sexual orientation, is subject to more stringent rules than the processing of "ordinary" personal data. Diese Auswertung der personenbezogenen Daten ist sehr faktenspezifisch, weshalb wir empfehlen, einen Experten zu beauftragen, um Ihre spezifischen Umstände zu beurteilen.This evaluation of personal data is highly fact-specific, so we recommend engaging an expert to evaluate your specific circumstances.

Meine Organisation verarbeitet nur Daten im Auftrag anderer. Muss sie noch die DSGVO einhalten?My organization is only processing data on behalf of others. Does it still need to comply with the GDPR?

Ja.Yes. Obwohl sich die Regeln etwas unterscheiden, gilt die DSGVO sowohl für Organisationen, die Daten für eigene Zwecke sammeln und verarbeiten („Verantwortliche“), als auch für Organisationen, die Daten im Auftrag anderer verarbeiten („Verarbeiter“).Although the rules differ somewhat, the GDPR applies to organizations that collect and process data for their own purposes ('controllers') as well as to organizations that process data on behalf of others ('processors'). Diese Anforderung stellt eine Abkehr von der bestehenden Datenschutzrichtlinie dar, die für Verantwortlichen gilt.This requirement is a shift from the existing Data Protection Directive, which applies to controllers.

Was gilt insbesondere als personenbezogenen Daten?What specifically is deemed personal data?

Personenbezogene Daten sind alle Informationen, die eine identifizierte oder identifizierbare Person betreffen.Personal data is any information relating to an identified or identifiable person. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden.There is no distinction between a person's private, public, or work roles. Zu den persönlichen Daten gehören:Personal data can include:

  • NameName
  • Private AdresseHome address
  • Geschäftliche AdresseWork address
  • TelefonnummerTelephone number
  • MobiltelefonnummerMobile number
  • E-Mail-AdresseEmail address
  • ReisepassnummerPassport number
  • PersonalausweisnummerNational ID card
  • Sozialversicherungsnummer (oder ähnlich)Social Security Number (or equivalent)
  • FührerscheinDriver's license
  • Physische, physiologische oder genetische InformationenPhysical, physiological, or genetic information
  • Medizinische InformationenMedical information
  • Kulturelle IdentitätCultural identity
  • Bankverbindung/KontonummernBank details / account numbers
  • SteuernummerTax file number
  • Geschäftliche AdresseWork address
  • Kreditkartennummer/EC-KartennummerCredit/Debit card numbers
  • Beiträge für soziale MedienSocial media posts
  • IP-Adresse (EU-Raum)IP address (EU region)
  • Standort/GPS-DatenLocation / GPS data
  • CookiesCookies

Kann ich Daten außerhalb der EU übertragen?Am I allowed to transfer data outside of the EU?

Ja, aber die DSGVO regelt streng die Übertragung von personenbezogenen Daten europäischer Bürger an Orte außerhalb des Europäischen Wirtschaftsraums.Yes, however the GDPR strictly regulates transfers of personal data of European residents to destinations outside the European Economic Area. Möglicherweise müssen Sie einen bestimmten rechtlichen Mechanismus, wie z. B. einen Vertrag, einrichten oder sich an einen Zertifizierungsmechanismus halten, um diese Übertragungen zu ermöglichen.You may need to set up a specific legal mechanism, such as a contract, or adhere to a certification mechanism in order to enable these transfers. Microsoft erläutert die von uns verwendeten Mechanismen in den Bedingungen für Online-Dienste.Microsoft details the mechanisms we use in the Online Services Terms.

Ich habe Anforderungen an die Datenaufbewahrung durch Compliance. Haben diese Anforderungen Vorrang vor dem Recht auf Löschung?I have data retention requirements through compliance. Do these requirements override the right to erasure?

Wenn es berechtigte Gründe für eine weitere Verarbeitung und Datenspeicherung gibt, wie z. B. „zur Erfüllung einer rechtlichen Verpflichtung, die eine Verarbeitung durch das Recht der Union oder eines Mitgliedstaates erfordert, dem der für die Verarbeitung Verantwortliche unterliegt“ (Artikel 17 Absatz 3 Buchstabe b)), erkennt die DSGVO an, dass Organisationen zur Speicherung von Daten verpflichtet werden können.Where there are legitimate grounds for continued processing and data retention, such as 'for compliance with a legal obligation, which requires processing by Union or Member State law to which the controller is subject' (Article 17(3)(b)), the GDPR recognizes that organizations may be required to retain data. Sie sollten jedoch sicherstellen, dass Sie Ihren Rechtsbeistand hinzuziehen, um sicherzustellen, dass die Gründe für die Vorratsspeicherung gegen die Rechte und Freiheiten der betroffenen Personen, ihre Erwartungen zum Zeitpunkt der Datenerhebung usw. abgewogen werden.You should, however, make sure you engage your legal counsel to ensure that the grounds for retention are weighed against the rights and freedoms of the data subjects, their expectations at the time the data was collected, etc.

Befasst sich die DSGVO mit Verschlüsselung?Does the GDPR deal with encryption?

Die Verschlüsselung wird in der DSGVO als eine Schutzmaßnahme identifiziert, die personenbezogene Daten unverständlich macht, wenn sie von einer Verletzung betroffen sind.Encryption is identified in the GDPR as a protective measure that renders personal data unintelligible when it is affected by a breach. Daher kann sich die Frage, ob eine Verschlüsselung verwendet wird, auf die Anforderungen für die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten auswirken.Therefore, whether or not encryption is used may impact requirements for notification of a personal data breach. Die DSGVO weist auch auf die Verschlüsselung als eine geeignete technische oder organisatorische Maßnahme in einigen Fällen hin, je nach Risiko.The GDPR also points to encryption as an appropriate technical or organizational measure in some cases, depending on the risk. Die Verschlüsselung ist auch eine Anforderung durch den Datensicherheitsstandard der Zahlungskartenindustrie und Teil der strengen Compliance-Richtlinien, die speziell für die Finanzdienstleistungsbranche gelten.Encryption is also a requirement through the Payment Card Industry Data Security Standard and part of the strict compliance guidelines specific to the financial services industry. Microsoft-Produkte und -Dienstleistungen wie Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL-Datenbank und Windows 10 bieten eine robuste Verschlüsselung der Daten während der Übertragung und der Daten im Ruhezustand.Microsoft products and services such as Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, and Windows 10 offer robust encryption for data in transit and data at rest.

Wie verändert die DSGVO die Reaktion einer Organisation auf Verletzungen des Schutzes personenbezogener Daten?How does the GDPR change an organization's response to personal data breaches?

Die DSGVO wird die Datenschutzanforderungen ändern und strengere Verpflichtungen für Verarbeiter und für die Verarbeitung Verantwortliche in Bezug auf die Meldung von Verletzungen des Schutzes personenbezogener Daten vorsehen.The GDPR will change data protection requirements and make stricter obligations for processors and controllers regarding notice of personal data breaches. Gemäß der neuen Verordnung muss der Verarbeiter den für die Verarbeitung Verantwortlichen über eine Verletzung des Schutzes personenbezogener Daten informieren, nachdem er davon Kenntnis erhalten hat, und zwar ohne unangemessene Verzögerung.Under the new regulation, the processor must notify the data controller of a personal data breach, after having become aware of it, without undue delay. Sobald der für die Verarbeitung Verantwortliche Kenntnis von einer Verletzung des Schutzes personenbezogener Daten hat, muss er die zuständige Datenschutzbehörde innerhalb von 72 Stunden benachrichtigen.Once aware of a personal data breach, the controller must notify the relevant data protection authority within 72 hours. Wenn die Verletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen wird, müssen die Verantwortlichen die betroffenen Personen ebenfalls unverzüglich benachrichtigen.If the breach is likely to result in a high risk to the rights and freedoms of individuals, controllers will also need to notify impacted individuals without undue delay. Zusätzliche Leitlinien zu diesem Thema werden von der Arbeitsgruppe des Artikels 29 der EU entwickelt.Additional guidance on this topic is being developed by the EU's Article 29 Working Party.

Microsoft-Produkte und -Dienstleistungen, wie Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 und Windows 10, stehen heute zur Verfügung, um Sie bei der Erkennung und Bewertung von Sicherheitsbedrohungen und Sicherheitsverletzungen zu unterstützen und die DSGVO-Benachrichtigungspflichten zu erfüllen.Microsoft products and services—such as Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365, and Windows 10—have solutions available today to help you detect and assess security threats and breaches and meet the GDPR's breach notification obligations.

Weitere RessourcenAdditional resources