Datenschutz-Folgenabschätzungen im Rahmen der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Details finden Sie in der Zusammenfassung zum Thema DSGVO. Dieses Dokument bietet Ihnen Informationen bezüglich Datenschutz-Folgenabschätzungen unter der DSGVO, während Sie Microsoft-Produkte und -Dienste verwenden.

Begrifflichkeiten

Hilfreiche Definitionen für DSGVO-Ausdrücke, die in diesem Dokument verwendet werden:

  • Datenverantwortlicher (Verantwortlicher): eine juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Personenbezogene Daten und betroffene Person: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Kundendaten: Daten, die bei Ihrer tagtäglichen Geschäftsausführung erstellt und gespeichert werden.

Was ist Datenschutz-Folgenabschätzung?

Unter der DSGVO sind Datenverantwortliche dazu aufgerufen, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Vorgänge vorzubereiten, die „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen“. Microsoft-Produkte und -Dienste an sich machen keine Datenschutzfolgenabschätzung erforderlich. Da Microsoft-Produkte und-Dienste jedoch hochgradig anpassbar sind, kann je nach den Details Ihrer Microsoft-Konfiguration eine DPIA erforderlich sein. Microsoft hat keine Kontrolle über und wenig oder gar keine Einsichten in solche Informationen. Sie als Datenverantwortlicher müssen die geeignete Verwendung der Daten ermitteln.

Angewendete DPIA

Der DPIA-Leitfaden gilt für Office 365, Azure, Dynamics 365 und Microsoft-Support sowie Professional Services. Der Leitfaden umfasst Folgendes:

Wann ist eine DPIA erforderlich?

Die nachstehend aufgeführten Risikofaktoren sollten bei den Überlegungen zur Durchführung einer DPIA berücksichtigt werden. Weitere potenzielle Faktoren und weitere Details finden Sie in Teil 1 der einzelnen Richtlinien.

  • Eine systematische und umfassende Auswertung von Daten auf der Grundlage einer automatisierten Verarbeitung.
  • Verarbeitung spezieller Kategorien von Daten (Daten, aus denen Informationen hervorgehen, anhand derer eine natürliche Person eindeutig identifiziert werden kann) bzw. personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
  • Systematische Überwachung eines öffentlich zugänglichen Bereichs.

In der DSGVO wird Folgendes klar gestellt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Kunden betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Was ist für die Durchführung einer Datenschutz-Folgenabschätzung erforderlich?

Eine DPIA sollte spezifische Informationen zur beabsichtigten Verarbeitung bereitstellen. Darauf wird in Teil 2 des Leitfadens genauer eingegangen. Diese Informationen umfassen:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck der DPIA.
  • Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen.
  • Vorgesehene Maßnahmen zum Umgang mit den Risiken, Sicherheitsvorkehrungen, Sicherheitsmaßnahmen und Mechanismen zur Sicherstellung des Schutzes personenbezogener Daten und zur Veranschaulichung der Einhaltung des DSGVO.
  • Zwecke der Verarbeitung
  • Kategorien verarbeiteter personenbezogener Daten
  • Datenaufbewahrung
  • Speicherort und Übermittlung personenbezogener Daten
  • Teilen von Daten mit Dritten
  • Teilen von Daten mit unabhängigen Dritten
  • Rechte betroffener Personen

Weitere Überlegungen

Nachstehend finden Sie spezifische Details, die für Ihre Microsoft-Implementierung relevant sein können.

  • Office 365: Dieses Dokument gilt für Office 365-Anwendungen und -Dienste, einschließlich, aber nicht beschränkt auf Exchange Online, SharePoint Online, Yammer, Skype for Business und Power BI. Weitere Details finden Sie in den Tabellen 1 und 2.
  • Azure: Kunden sind dazu angehalten, mit Ihren Datenschutzbeauftragten und Rechtsberatern zu arbeiten, um die Notwendigkeit und Inhalte aller DPIAs zu ermitteln, die mit der Verwendung von Microsoft Azure verbunden sind.
  • Dynamics 365: Der Inhalt einer DPIA kann variieren, je nachdem, welche Dynamics 365-Tools Sie verwenden. Spezifische Details finden Sie in Teil 2 – Inhalte einer DPIA.
  • Windows: Dieses Dokument gilt für die Konfiguration für die Verarbeitung von Windows-Diagnosedaten. Kunden sind dazu angehalten, mit Unterstützung ihrer Datenschutzbeauftragten und Rechtsberater die Notwendigkeit und Inhalte von DPIAs zu ermitteln, die mit der Verwendung der Konfiguration für die Verarbeitung von Windows-Diagnosedaten verbunden sind.
  • Microsoft-Support und Professional Services: Professional Services führt keine bestimmte routinemäßige oder automatisierte Datenverarbeitung aus und ist nicht für die Verarbeitung spezieller Kategorien bzw. die Ausführung bestimmter Aufgaben vorgesehen, die das Überwachen von öffentlich zugänglichen Daten erleichtern oder erfordern. Details hierzu finden Sie in Teil 1 – Bestimmen, ob eine DPIA erforderlich ist. Die Verantwortlichen müssen die oben genannten DPIA-Elemente sowie alle anderen relevanten Faktoren im Kontext der spezifischen Implementierungen und Verwendungen von Professional Services durch den Verantwortlichen berücksichtigen. Informationen zu Professional Services finden Sie in Teil 2 – Inhalte einer DPIA.

Weitere Informationen