Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Azure verwenden

Gemäß EU-Datenschutzgrundverordnung (DSGVO) müssen Datenverantwortliche eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Verarbeitungsvorgänge durchführen, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben“. Microsoft Azure selbst enthält nichts, was die Erstellung einer DPIA durch einen Datenverantwortlichen erfordern würde, der es verwendet. Ob eine DPIA erforderlich ist, hängt vielmehr von den Details und dem Kontext ab, wie der Datenverantwortliche Microsoft Azure bereitstellt, konfiguriert und verwendet. In jedem Fall sollte eine DPIA frühzeitig im Leben eines Projekts beginnen und parallel zum Planungs- und Entwicklungsprozess ausgeführt werden.

Dieses Dokument soll den Datenverantwortlichen Informationen über Microsoft Azure bereitstellen, die ihnen helfen, zu bestimmen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und wenn ja, welche Informationen sie enthalten soll.

Hinweis

Microsoft stellt in diesem Artikel keine Rechtsberatungen bereit. Dieser Artikel dient ausschließlich zu Informationszwecken. Kunden sind dazu angehalten, mit Ihren Datenschutzbeauftragten (Data Protection Officer, DPO) und/oder ihrem Rechtsbeistand bzw. ihren Rechtsberatern zu arbeiten, um die Notwendigkeit und Inhalte aller DPIAs zu ermitteln, die mit der Verwendung von Microsoft Azure oder einem anderen Microsoft-Onlinedienst verbunden sind.

Teil 1: Ermitteln, ob eine Datenschutz-Folgenabschätzung (DPIA) erforderlich ist

Artikel 35 der DSGVO legt fest, dass ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen muss, „wenn die Verarbeitung insbesondere bei Einsatz neuer Technologien und unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt“. Außerdem beschreibt er bestimmte Faktoren, die auf ein solches hohes Risiko hindeuten würden, die in der folgenden Tabelle untersucht werden. Um zu ermitteln, ob eine DPIA notwendig ist, sollte ein Datenverantwortlicher diese Faktoren angesichts seiner spezifischen Implementierung(en) und der Verwendung(en) von Microsoft Azure berücksichtigen.

Hoher Risikofaktor Wichtige Informationen zu Microsoft Azure
Eine systematische und umfassende Bewertung der persönlichen Aspekte im Zusammenhang mit natürlichen Personen basierend auf der automatisierten Datenverarbeitung, einschließlich Profiling, und auf der Entscheidungen basieren, die hinsichtlich der natürlichen Person rechtliche Wirkung erzeugen oder sie auf ähnliche Weise betreffen. Microsoft Azure stellt keine Funktionen bereit, um bestimmte Vorgänge der Datenverarbeitung automatisiert durchzuführen.

Da Azure ein in hohem Maße anpassbarer Dienst ist, könnte ein Datenverantwortlicher es für eine solche Verarbeitung anpassen. Datenverantwortliche sollten dies anhand ihrer Nutzung von Azure festlegen.
Die umfassende Verarbeitung von Daten besonderer Kategorien (personenbezogene Daten, die die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für die zweifelsfreie Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen. Microsoft Azure ist nicht dafür vorgesehen, besondere Kategorien personenbezogener Daten zu verarbeiten, und die Verwendung von Azure erhöht das inhärente Risiko der Verarbeitung durch einen Datenverantwortlichen nicht.

Ein Datenverantwortlicher könnte Microsoft Azure jedoch zu Verarbeitung der aufgeführten besonderen Kategorien von Daten verwenden. Microsoft Azure ist ein in hohem Maße anpassbarer Dienst, mit dem Kunden alle Arten von Daten rückverfolgen oder verarbeiten können, darunter auch besondere Kategorien personenbezogener Daten. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Verwendung und hat kaum oder keine Einblicke in diese Verwendung. Es obliegt dem Datenverantwortlichen, die angemessene Verwendung der Daten des Datenverantwortlichen festzulegen.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.
Microsoft Azure dient nicht der Durchführung oder Ermöglichung einer solchen Überwachung.

Ein Datenverantwortlicher könnte Microsoft Azure jedoch zur Verarbeitung der durch Überwachung erhobenen Daten verwenden. Microsoft Azure ist ein in hohem Maße anpassbarer Dienst, mit dem Kunden alle Arten von Daten rückverfolgen oder verarbeiten können, darunter auch Überwachungsdaten. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Verwendung und hat kaum oder keine Einblicke in diese Verwendung. Es obliegt dem Datenverantwortlichen, die angemessene Verwendung der Daten des Datenverantwortlichen festzulegen.

Teil 2: Inhalte einer Bewertung der Auswirkungen auf den Datenschutz (DPIA)

Artikel 35(7) legt fest, dass eine Datenschutz-Folgenabschätzung die Zwecke der Verarbeitung und eine systematische Beschreibung der angestrebten Verarbeitung enthalten muss. Eine systematische Beschreibung einer vollständigen DPIA könnte Faktoren wie die Art der verarbeiteten Daten, die Speicherdauer der Daten, den Ort und das Übermittlungsziels der Daten und Informationen darüber, welche Dritten Zugriff auf die Daten haben könnten, enthalten. Außerdem muss die DPIA folgendes beinhalten:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;
  • eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen
  • die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.

Die nachfolgende Tabelle enthält Informationen zu Microsoft Azure, die für jedes dieser Elemente relevant ist. Wie in Teil 1 müssen die Datenverantwortlichen die in der Tabelle dargelegten Angaben berücksichtigen sowie andere wichtige Faktoren im Zusammenhang mit der/den spezifischen Implementierung/en und Verwendung/en von Microsoft Azure.

Elemente einer DPIA Wichtige Informationen zu Microsoft Azure
Zweck(e) der Verarbeitung Der/die Zweck/e der Verarbeitung von Daten mithilfe von Microsoft Azure wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet.

Wie in den Microsoft Online Services-Nutzungsbedingungen und dem Nachtrag zum Datenschutz angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten, um Kunden die Onlinedienste entsprechend ihren dokumentierten Anweisungen bereitzustellen.

Wie in den standardmäßigen Microsoft Online Services-Nutzungsbedingungen und dem Nachtrag zum Datenschutz beschrieben, verwendet Microsoft personenbezogene Daten auch zur Unterstützung eines begrenzten Satzes von legitimen Geschäftsvorgängen, bestehend aus: (1) Rechnungsstellung und Kontoführung; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstellung und Modellierung (z. B. Prognosen, Einnahmen, Kapazitätsplanung, Produktstrategie); (4) Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen können; (5) Verbesserung der Kernfunktionalität der Barrierefreiheit, des Datenschutzes oder der Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der in den Onlinenutzungsbedingungen dargelegten Beschränkungen der Offenlegung von Kundendaten).

Microsoft ist für die Verarbeitung personenbezogener Daten verantwortlich, um diese spezifischen legitimen Geschäftsvorgänge zu unterstützen. Im allgemeinen aggregiert Microsoft personenbezogene Daten, bevor diese für unsere legitimen Geschäftsvorgänge verwendet werden, wobei die Möglichkeit zur Identifizierung bestimmter Personen durch Microsoft entfernt wird. Die personenbezogenen Daten werden in der am wenigsten identifizierbaren Form verwendet, die die für legitime Geschäftsvorgänge erforderliche Verarbeitung unterstützt.

Microsoft verwendet Kundendaten oder daraus abgeleitete Informationen nicht für Profilerstellungs- oder Werbezwecke oder ähnliche kommerzielle Zwecke.
Kategorien verarbeiteter personenbezogener Daten *Kundendaten: Alle Daten, einschließlich aller Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft durch oder im Auftrag eines Kunden durch die Verwendung des Enterprise-Dienstes bereitgestellt werden. Kundendaten umfassen sowohl (1) Informationen zur Identifikation von Endbenutzern (z. B. Benutzernamen und Kontaktinformationen in Azure Active Directory) als auch Kundeninhalte, die ein Kunde in einen bestimmten Dienst hochlädt oder in diesem erstellt (z. B. Kundeninhalte in einem Azure Storage-Konto, Kundeninhalte in einer Azure SQL-Datenbank oder das Image einer virtuellen Maschine eines Kunden in Azure Virtual Machines).

Vom Dienst generierte Daten: Von Microsoft generierte Protokolle und verbundene Daten, die Microsoft bei der Bereitstellung von Enterprise-Diensten für Benutzer unterstützen. Vom Dienst generierte Protokolle enthalten in erster Linie pseudonymisierte Daten, die vom System generierten eindeutigen Bezeichner zugeordnet sind und die von sich aus eine Einzelperson nicht identifizieren können, aber dazu verwendet werden, die Enterprise-Dienste für Benutzer bereitzustellen. Diese vom Dienst generierten Protokolle enthalten möglicherweise auch Informationen zur Identifikation über Endbenutzer, wie z. B. einen Benutzernamen.

*Unterstützungsdaten – Diese Daten sind von oder im Namen der Kunden für Microsoft bereitgestellt (oder der Kunden autorisiert Microsoft, um diese von einem Onlinedienst zu erhalten) durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten.

Weitere Informationen zu von Azure verarbeiteten Daten finden Sie in den Online Services-Nutzungsbedingungen, einschließlich des Datenverarbeitungsvertrags und im Microsoft Trust Center.

Datenaufbewahrung Microsoft speichert und verarbeitet Kundendaten für die Dauer des Rechtes des Kunden zur Nutzung des Onlinedienstes und bis alle Kundendaten vom Kunden abgerufen oder gemäß den Bestimmungen der Online Services-Nutzungsbedingungen gelöscht werden. Der Kunde hat während der Laufzeit des Abonnements des Kunden die Möglichkeit, auf Kundendaten zuzugreifen, die in jedem Online Dienst gespeichert sind und diese zu extrahieren. Mit Ausnahme von kostenlosen Testversionen und LinkedIn-Diensten speichert Microsoft Kundendaten, die in den Onlinediensten gespeichert sind, 90 Tage nach Ablauf oder Kündigung des Abonnements des Kunden auf einem eingeschränkten Konto, sodass der Kunde die Daten extrahieren kann. Nach Ablauf des 90-tägigen Aufbewahrungszeitraums wird Microsoft das Konto des Kunden deaktivieren und die Kundendaten löschen. Der Kunde kann personenbezogene Daten auf Antrag der betroffenen Person und unter Verwendung der Fähigkeiten laut der DSGVO-Dokumentation bezüglich Anträgen für Azure-Datensubjekte löschen.
Speicherort und Übermittlung personenbezogener Daten Kunden haben die Möglichkeit, ruhende Kundendaten innerhalb bestimmter geographischer Regionen zur Verfügung zu stellen, vorbehaltlich bestimmter Ausnahmen, wie Sie in den Online Services-Nutzungsbedingungen festgelegt. Weitere Details zu Dienstbereitstellungen und zur Datenresidenz finden Sie auch in Microsoft Data Protection Addendum (DPA) der Online Services-Nutzungsbedingungen und auf der Website Globale Azure-Infrastruktur.

Für personenbezogene Daten aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich stellt Microsoft sicher, dass die Übertragung personenbezogener Daten in ein Drittland oder eine internationale Organisation den entsprechenden Bestimmungen gemäß Artikel 46 der DSGVO unterliegt. Zusätzlich zu Microsofts Verpflichtungen unter den Standardvertragsklauseln für Auftragsverarbeiter und anderen Musterverträgen hält sich Microsoft weiterhin an die Bedingungen des EU-US-Datenschutzschild-Frameworks, wird sich aber nicht mehr darauf als Grundlage für die Übermittlung personenbezogener Daten aus der EU/dem EWR in die Vereinigten Staaten stützen.
Teilen von Daten mit Dritten Microsoft teilt die Daten mit Dritten, die als unsere Unterauftragsverarbeiter tätig sind, um Funktionen wie den Kunden- und den technischen Support, Dienstwartung und sonstige Abläufe zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Kundendaten, Unterstützungsdaten oder persönliche Daten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die das gleiche Schutzniveau bieten wie die Datenschutzbedingungen der Onlinedienstbedingungen. Alle dritten Unterauftragsverarbeiter, mit denen Kundendaten oder Unterstützungsdaten geteilt werden, sind in der Liste der Unterauftragnehmer für Onlinedienste zu finden. Alle dritten Unterauftragsverarbeiter, die auf Unterstützungsdaten zugreifen können (einschließlich Kundendaten, die Kunden während der Interaktionen mit dem Support freigeben), sind in der Liste der kommerziellen Supportanbieter von Microsoft enthalten. 
Rechte betroffener Personen Wenn Microsoft als Datenverarbeiter aktiv wird, stellt Microsoft den Kunden (auch Datenverantwortlicher genannt) die personenbezogenen Daten ihrer betroffenen Personen und die Fähigkeit bereit, die Anforderungen der betroffenen Personen zu erfüllen, wenn diese Gebrauch von ihren Rechten gemäß der DSGVO machen. Microsoft tut dies in Übereinstimmung mit der Funktionalität des Produkts und seiner Rolle als Datenverarbeiter. Wenn Microsoft eine Anforderung von den betroffenen Personen des Kunden erhält, die von einem oder mehreren ihrer Rechte Gebrauch machen möchten, wird die Anfrage an den Datenverantwortlichen weitergeleitet.

Der Leitfaden für Anträge betroffener Personen in Azure enthält eine Beschreibung für den Datenverantwortlichen, wie die Rechte der betroffenen Personen mithilfe der Funktionen in Azure unterstützt werden können.

Anfragen einer betroffenen Person auf Ausübung der Rechte nach der DSGVO für personenbezogene Daten, die zur Unterstützung legitimer Geschäftsvorgänge verarbeitet werden, sollten an Microsoft gerichtet werden, wie in den Microsoft-Datenschutzbestimmungen erläutert.

Microsoft fasst personenbezogene Daten in der Regel zusammen, bevor sie für die legitimen Geschäftsvorgänge verwendet werden, und ist nicht in der Lage, in dem Aggregat personenbezogene Daten für eine bestimmte Person zu identifizieren. Diese Handlung reduziert das Datenschutzrisiko für den Einzelnen erheblich. Wenn Microsoft nicht in der Lage ist, die Person zu identifizieren, kann es die Rechte der betroffenen Person auf Zugriff, Löschung, Übertragbarkeit oder die Einschränkung oder Ablehnung der Verarbeitung nicht unterstützen.

Die DSGVO-Dokumentation vom Azure zu Anforderungen von betroffenen Personen enthält eine Beschreibung, wie die Rechte der betroffenen Personen mithilfe der Funktionen von Azure unterstützt werden können.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck Eine solche Bewertung hängt vom Bedarf und dem Zweck der Verarbeitung des Datenverantwortlichen ab.

Microsoft trifft Maßnahmen, beispielsweise die Anonymisierung oder Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung von legitimen Geschäftsvorgängen zur Unterstützung der Bereitstellung der Dienste verwendet werden, wodurch das Risiko einer solchen Verarbeitung für betroffene Personen, die diesen Dienst nutzen, minimiert wird.

Im Hinblick auf die von Microsoft durchgeführte Verarbeitung ist diese zur Bereitstellung der Dienste des Datenverantwortlichen notwendig und angemessen. Microsoft verpflichtet sich in den OST hierzu.
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen unterliegen Die wichtigsten Risiken für die Rechte und Freiheiten der betroffenen Personen durch die Nutzung von Microsoft Azure hängen davon ab, wie und in welchem Kontext der Datenverantwortliche Microsoft Azure einsetzt, konfiguriert und verwendet.

Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft ergreift, um solche Risiken zu steuern, werden später in diesem Artikel in den OST genauer erläutert.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden Microsoft verpflichtet sich, den Schutz der Kundendaten zu unterstützen. Die Sicherheitsmaßnahmen, die Microsoft ergreift, werden in den OST genauer beschrieben.

Microsoft hält strenge Sicherheitsstandards und eine branchenführende Datenschutzmethodik ein. Microsoft verbessert seine Systeme nach und nach, um neue Bedrohungen abzuwehren. Weitere Informationen zur Praktiken der Cloud Governance und zum Datenschutz finden Sie auf der Seite Cloudgovernance und Datenschutz im Trust Center.

Microsoft leitet angemessene und ausreichende technische und organisatorische Maßnahmen ein, um die personenbezogenen Daten zu schützen, die Microsoft verarbeitet. Zu diesen Maßnahmen gehören unter anderem interne Datenschutzrichtlinien und -praktiken, vertragliche Verpflichtungen sowie internationale und regionale Standardzertifikate. Weitere Informationen finden Sie auf der Seite Center's Privacy Standards.

Microsoft bietet wesentliche, transparenten, kundenorientierten Schutz und Datenschutzunterlagen, um die Nutzung und Verarbeitung personenbezogener Daten durch Microsoft zu erklären. Kunden werden ermutigt, sich mit Fragen an Microsoft zu wenden.

Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung.

Wenn Microsoft personenbezogene Daten für seine legitimen Geschäftsvorgänge verarbeitet, erfüllt es die Verpflichtungen unter der DSGVO, die für Datenverantwortliche gelten.

Weitere Informationen