Unterstützung des DSGVO-Programms mit Prüflisten zu den Verantwortlichkeiten

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO.

Prüflisten zu den Verantwortlichkeiten

Prüflisten zu den Verantwortlichkeiten werden als komfortable Möglichkeit für den Zugriff auf Informationen bereitgestellt, die Sie bei Verwendung von Microsoft-Produkten und -Diensten zur Unterstützung der DSGVO unter Umständen benötigen. Die Prüfliste enthält potenzielle Verpflichtungen, die Sie im Rahmen der DSGVO möglicherweise erfüllen müssen, und verweist auf Informationen, die Sie zur Unterstützung der Compliance Ihrer Organisation verwenden können.

Es gibt einen spezifischen Leitfaden für vier Microsoft-Produkt- und Dienstfamilien:

Sie können die Elemente in dieser Checkliste mit dem Compliance-Managerverwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.

Die Prüflisten umfassen die vier grundlegenden Kategorien von Überlegungen für ein Datenschutzprogramm zur Unterstützung der DSGVO. Diese sind nachstehend aufgeführt, zusammen mit Beispielanforderungen.

  1. Bedingungen für Datensammlung und -verarbeitung:

    • Wann wird Zustimmung eingeholt?
    • Identifizieren und Dokumentieren des Zwecks
    • Datenschutz-Folgenabschätzung
  2. Rechte betroffener Personen

    • Ermitteln von Informationen für PII-Prinzipale (Betroffene)
    • Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung
  3. Datenschutz als Konzept und Standard

    • Beschränken der Datensammlung
    • Einhalten von Identifizierungsebenen
    • Temporäre Dateien
  4. Datenschutz und Sicherheit

    • Grundlegendes zur Organisation und zum Kontext
    • Planung
    • Richtlinien zur Informationssicherheit

Kundenvereinbarungen

  • Onlinedienstbedingungen: Die vertraglichen Verpflichtungen von Microsoft in Bezug auf die DSGVO finden Sie in den Onlinedienstbedingungen.
  • Microsoft-Produktbestimmungen: Microsoft weitet die aus den DSGVO-Vertragsbedingungen folgenden Verpflichtungen auf alle Volumenlizenzierungskunden aus.
  • Nachtrag zum Datenschutz: Die Microsoft-Dienste erweitern die Verpflichtungen für Consulting Service-Kunden und andere.

DSGVO-Compliance-Steuerelemente

  • Verwenden des Compliance-Managers: Überprüfen und verwenden Sie Steuerelemente, mit deren Hilfe Microsoft DSGVO-Verpflichtungen mit dem Compliance-Manager unterstützt.
  • DSGVO-Steuerelementzuordnung: Greifen Sie auf eine umfassende Zuordnung von Microsoft-Steuerelementen zu DSGVO-Verpflichtungen zu.

Verzeichnis von Verarbeitungstätigkeiten für Datenverarbeiter

Aufgrund des Umfangs und der Vielfalt der Onlinedienste, die wir unseren datenverantwortlichen Kunden als Datenverarbeiter zur Verfügung stellen, gehen wir davon aus, dass die Kunden die Dienste ermitteln, für die sie ein Verzeichnis der Verarbeitungstätigkeiten benötigen, und die entsprechenden Protokolle über die von uns bereitgestellten Onlinetools abrufen. Ein Beispiel wäre ein Verzeichnis von Verarbeitungstätigkeiten für Azure, bei dem die Kunden selbständig ermitteln müssten, für welche Arten von Verarbeitungsaktivitäten sie die Aufzeichnungen benötigen.

Azure-Protokolle

Kunden dürften normalerweise an den Aktivitätsprotokollen und potenziell an den Diagnoseprotokollen interessiert sein:

  • Aktivitätsprotokolle: Aktivitätsprotokolle bieten Einblicke in die Vorgänge, die in Ressourcen in einem Abonnement ausgeführt wurden. Aktivitätsprotokolle helfen beim Ermitteln des Initiators, des Zeitpunkts und des Status eines Vorgangs.
  • Diagnoseprotokolle: Diagnoseprotokolle sind von den einzelnen Ressourcen ausgegebene Protokolle. Diese Protokolle umfassen Windows-Ereignissystemprotokolle, Azure-Speicherprotokolle, Key Vault-Überwachungsprotokolle sowie Anwendungsgateway- und Firewall-Protokolle.
  • Protokollarchivierung: Alle Diagnoseprotokolle schreiben in ein zentrales und verschlüsseltes Azure-Speicherkonto für die Archivierung. Die Aufbewahrung kann vom Benutzer auf bis zu 730 Tage festgelegt werden, um organisationsspezifische Aufbewahrungsanforderungen zu erfüllen. Diese Protokolle stellen eine Verbindung mit Azure Monitor-Protokollen für die Verarbeitung, Speicherung und Dashboard-Berichterstellung her.

Andere Protokolle

Die nachfolgend aufgeführten Überwachungslösungen werden zusätzlich als Bestandteil dieser Architektur installiert. Es liegt in der Verantwortung des Kunden, diese Lösungen so zu konfigurieren, dass Sie den FedRAMP-Richtlinien für Sicherheitskontrollen entsprechen:

  • AD-Bewertung: Die Active Directory-Lösung für die Integritätsprüfung bewertet das Risiko und den Status von Serverumgebungen in regelmäßigen Abständen und stellt eine Liste von nach Priorität aufgeführten Empfehlungen bereit, die auf die bereitgestellte Serverinfrastruktur zugeschnitten sind.
  • Antischadsoftware-Bewertung: Die Antischadsoftware-Lösung erstellt Berichte über Malware, Bedrohungen und den Sicherheitsstatus.
  • Azure Automation: Die Azure Automation-Lösung speichert, führt und verwaltet Runbooks.
  • Sicherheit und Überwachung: Das Dashboard "Sicherheit und Überwachung" bietet eine allgemeine Übersicht über den Sicherheitsstatus von Ressourcen durch die Bereitstellung von Metriken zu Sicherheitsdomänen, wichtigen Problemen, Entdeckungen, Threat Intelligence und allgemeinen Sicherheitsaspekten.
  • SQL-Bewertung: Die SQL-Lösung für die Integritätsprüfung bewertet das Risiko und den Status von Serverumgebungen in regelmäßigen Abständen und stellt Kunden eine Liste von nach Priorität aufgeführten Empfehlungen bereit, die auf die bereitgestellte Serverinfrastruktur zugeschnitten sind.
  • Update-Verwaltung: Die Lösung zur Updateverwaltung ermöglicht Kunden die Verwaltung von Sicherheitsupdates für das Betriebssystem, einschließlich des Status verfügbarer Updates und des Prozesses zum Installieren erforderlicher Updates.
  • Agentenstatus: Die Lösung für den Agentenstatus gibt an, wie viele Agents bereitgestellt werden und deren geographische Verteilung sowie die Anzahl der Agents, die nicht reagieren, und jener, die Betriebsdaten senden.
  • Azure-Aktivitätsprotokolle: Die Lösung für die Analyse von Aktivitätsprotokollen hilft bei der Analyse der Azure-Aktivitätsprotokolle aller Azure-Abonnements eines Kunden.
  • Änderungsnachverfolgung: Mit der Lösung zur Änderungsnachverfolgung können Kunden Änderungen in der Umgebung auf einfache Weise ermitteln.

Informationen zu den technischen und sicherheitstechnischen Maßnahmen für Azure finden datenverantwortliche Kunden unter Dokumentation zur Azure-Sicherheit. Da Microsoft nicht weiß, ob es sich bei Kundendaten um personenbezogene Daten handelt, verarbeitet Azure alle Kundendaten so, als ob es sich um personenbezogene Daten handeln würde, sodass ein Kunde wahrscheinlich alle Materialien als relevant betrachten würde.

Datenverarbeiterinformationen

Ein weiteres Produkt, zu dem ein Kunde u. U. ein Verzeichnis mit Informationen zu Verarbeitungstätigkeiten für Datenverarbeiter benötigt, ist Office 365. Informationen zum Anzeigen von Office 365-Informationen finden Sie im Artikel Durchsuchen des Überwachungsprotokolls im Security & Compliance Center.

Die Informationen zu Dynamics 365 können ebenfalls über das Security & Compliance Center eingesehen werden. Vergewissern Sie sich, dass Sie über die richtige Lizenz verfügen, um die Security & Compliance Center-Seite anzeigen zu können. Weitere Informationen zur Lizenzierung finden Sie im Artikel Security & Compliance Center – Dienstbeschreibung. Nach Dynamics 365-Ereignissen können Sie im einheitlichen Überwachungsprotokoll im Security & Compliance Center suchen.

Informationen zu professionellen Dienstleistungen

Was professionelle Dienstleistungen betrifft, werden die entsprechenden Support-Daten dem Supporttechniker vom Kunden durch die den Kunden vertretende Person bereitgestellt. Dies kann geschehen, wenn ein Kunde eine Serviceanfrage entweder über das Online-Produktportal, den Dienst-Hub oder per Telefon einreicht.

Die Informationen werden in unseren CRM-Systemen gespeichert und nur für die folgenden Zwecke verwendet:

  • Bereitstellung der professionellen Dienstleistungen, einschließlich technischer Unterstützung, professioneller Planung, Beratung, Anleitung, Datenmigration, Bereitstellung und Lösungs-/Softwareentwicklungsdienste.
  • Problembehandlung (Verhinderung, Erkennung, Untersuchung, Eindämmung und Behebung von Problemen, einschließlich Sicherheitsvorfälle)
  • Fortlaufende Verbesserung (Verwalten der professionellen Dienstleistungen, einschließlich der Installation der neuesten Updates und der Verbesserung von Zuverlässigkeit, Effizienz, Qualität und Sicherheit).

Aufgrund des Umfangs seiner Supportvorgänge betreibt Microsoft ein auf Produktgruppen basierendes CRM-System. Diese Systeme enthalten Verzeichnisse der Verarbeitungstätigkeiten. Der Verarbeitungsverlauf ist in den Verzeichnissen in unseren CRM-Systemen protokolliert. In den meisten Fällen ist der Dienstanforderungsverlauf auf den Portalen oder im Dienst-Hub verfügbar. Wenden Sie sich für spezifische Informationen, die nicht auf den Portalen verfügbar sind, oder für andere Fragen zur Verarbeitung Ihrer Daten an Ihren technischen Kundenberater, oder kontaktieren Sie den technischen Support von Microsoft.

Weitere Informationen