Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365Accountability Readiness Checklist for Microsoft Office 365

1. Einführung1. Introduction

Diese Prüfliste zu den Verantwortlichkeiten ist eine bequeme Möglichkeit, um auf Informationen zuzugreifen, die Sie bei Verwendung von Microsoft Office 365 zur Unterstützung der DSGVO unter Umständen benötigen. This accountability readiness checklist provides a convenient way to access information you may need to support the GDPR when using Microsoft Office 365.

Sie können die Elemente in dieser Checkliste mit dem Compliance-Managerverwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.You can manage the items in this checklist with Compliance Manager by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Außerdem bieten die Elemente dieser Checkliste unter 5. Datenschutz und -sicherheit Verweise auf Steuerelemente, die unter „Von Microsoft verwaltetes Steuerelement“ in der DSGVO-Kachel im Compliance-Manager aufgeführt sind. Die Überprüfung der Microsoft-Implementierungsdetails für diese Steuerelemente liefert zusätzliche Erläuterungen zum Microsoft-Ansatz zur Erfüllung der Kundenanforderungen im Checklistenelement.In addition, items in this checklist under 5. Data Protection & Security provide references to controls listed under Microsoft Managed Controls in the GDPR tile in Compliance Manager. Reviewing the Microsoft Implementation Details for these controls provide additional explanation of Microsoft’s approach to fulfilling the customer considerations in the checklist item.

Die Prüfliste und der Compliance-Manager wurden basierend auf den Titeln und der Referenznummer (für jedes Prüflistenthema in Klammern) einer Gruppe von Datenschutz- und Sicherheitskontrollen für Verarbeiter von personenbezogenen Daten aufgebaut gemäß:The checklist and Compliance Manager are organized using the titles and reference number (in parenthesis for each checklist topic) of a set of privacy and security controls for personal data processors drawn from *ISO/IEC CD 27552 Information technology -- Security techniques -- Enhancement to ISO/IEC 27001 for privacy management – Requirements.

Diese Steuerelementstruktur wird auch verwendet, um die Darstellung der internen Steuerelemente zu organisieren, die Microsoft 365 zur Unterstützung der DSGVO implementiert. Diese können Sie vom Service Trust Center herunterladen.This control structure is also used to organize the presentation of the internal controls that Microsoft Office 365 implements to support GDPR, which you can download.

2. Bedingungen für Sammlung und Verarbeitung2. Conditions for collection and processing

KategorieCategory Zu berücksichtigende Aspekte für KundenCustomer Consideration Unterstützende Microsoft-DokumentationSupporting Microsoft documentation Bezieht sich auf folgende DSGVO-ArtikelAddresses GDPR Article(s)
Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3)Determine when consent is to be obtained (7.2.3) Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung.The customer should understand legal or regulatory requirements for obtaining consent from individuals prior to processing personal data (when it is required, if the type of processing is excluded from the requirement, etc.), including how consent is collected. Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt.Office 365 does not provide direct support for gaining user consent. (6)(1)(a), (8)(1), (8)(2)(6)(1)(a), (8)(1), (8)(2)
Identifizieren und Dokumentieren des Zwecks (7.2.1)Identify and document purpose (7.2.1) Der Kunde sollte den Zweck dokumentieren, zu dem personenbezogene Daten verarbeitet werden.The customer should document the purpose for which personal data is processed. Eine Beschreibung der Verarbeitung, die von Microsoft für Sie durchgeführt wird, und der Zweck dieser Verarbeitung zum Einfügen in Ihre Dokumentation zur Verantwortlichkeit.A description of the processing Microsoft performs for you, and the purposes of that processing, that can be included in your accountability documentation.
- *Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; * [1]- Microsoft Online Services Terms, Data Protection Terms, see Processing of Personal Data; GDPR [1]
(5)(1)(b), (32)(4)(5)(1)(b), (32)(4)
Identifizieren der rechtmäßigen Grundlage (7.2.2)Identify lawful basis (7.2.2) Der Kunde sollte sich mit allen Anforderungen in Bezug auf die rechtmäßige Grundlage der Verarbeitung vertraut machen, z.B. eine ggf. erforderliche Erteilung der Zustimmung.The customer should understand any requirements related to the lawful basis of processing, such as whether consent must first be given. Eine Beschreibung der Verarbeitung personenbezogener Daten durch Microsoft-Dienste zur Aufnahme in Ihre Verantwortlichkeitsdokumentation.
A description of processing personal data by Microsoft services for inclusion in your accountability documentation.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[10]- Key Information from Office 365 for Customer Data Protection Impact Assessments[10]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3)Determine when consent is to be obtained (7.2.3) Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung.The customer should understand legal or regulatory requirements for obtaining consent from individuals prior to processing personal data (when it is required, if the type of processing is excluded from the requirement, etc.), including how consent is collected. Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt.Office 365 does not provide direct support for gaining user consent. (6)(1)(a), (8)(1), (8)(2)(6)(1)(a), (8)(1), (8)(2)
Einholen und Aufzeichnen der Zustimmung (7.2.4)Obtain and record consent (7.2.4) Wenn dies als erforderlich ermittelt wird, sollte der Kunde die Zustimmung entsprechend einholen. Außerdem sollte der Kunde mit allen Anforderungen vertraut sein, die für das Präsentieren und Erfassen einer Zustimmungsanforderung gelten.When it is determined to be required, the customer should appropriately obtain consent. The customer should also be aware of any requirements for how a request for consent is presented and collected. Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt.Office 365 does not provide direct support for gaining user consent. (7)(1), (7)(2), (9)(2)(a)(7)(1), (7)(2), (9)(2)(a)
Datenschutz-Folgenabschätzung (7.2.5)Privacy impact assessment (7.2.5) Der Kunde sollte die Anforderungen zur Durchführung von Datenschutz-Folgenabschätzungen kennen (wann diese durchgeführt werden sollten, ggf. relevante Datenkategorien, Zeitpunkt der Folgenabschätzung).The customer should be aware of requirements for completing privacy impact assessments (when they should be performed, categories of data that might necessitate one, timing of completing the assessment). Informationen dazu, wie Microsoft-Dienste ermitteln, wann eine Datenschutz-Folgenabschätzung durchgeführt werden sollte, und eine Übersicht über das entsprechende Programm von Microsoft, einschließlich DPO-Beteiligung, finden Sie in den Service Trust Portal-Daten auf der Seite zu Datenschutz-Folgenabschätzungen. Support zu Ihren Datenschutz-Folgenabschätzungen erhalten Sie unter:How Microsoft services determine when to perform a DPIA, and an overview of the DPIA program at Microsoft including the involvement of the DPO, is provided on the Service Trust Portal Data Protection Impact Assessments (DPIAs) page. For support for your DPIAs see:
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(35)(35)
Verträge mit Verarbeitern von personenbezogenen Informationen (7.2.6)Contracts with PII Processors (7.2.6) Der Kunde sollte sicherstellen, dass seine Verträge mit Verarbeitern Anforderungen zur Hilfestellung in Bezug auf alle relevanten rechtlichen oder gesetzlichen Verpflichtungen enthalten, die sich auf die Verarbeitung und den Schutz von personenbezogenen Daten beziehen.The customer should ensure that their contracts with processors include requirements for aiding with any relevant legal or regulatory obligations related to processing and protecting personal data. Die Microsoft-Verträge, die uns verpflichten, Ihnen bei der Erfüllung Ihrer Verpflichtungen im Rahmen der DSGVO zu helfen, einschließlich der Unterstützung für die Rechte des Betroffenen.The Microsoft contracts that require us to aid with your obligations under the GDPR, including support for the data subject's rights.
- *Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; * [1]- Microsoft Online Services Terms, Data Protection Terms, see Processing of Personal Data; GDPR [1]
(5)(2), (28)(3)(e), (28)(9)(5)(2), (28)(3)(e), (28)(9)
Aufzeichnungen zur Verarbeitung von personenbezogenen Informationen (7.2.7)Records related to processing PII (7.2.7) Der Kunde sollte alle benötigten und erforderlichen Aufzeichnungen verwalten, die sich auf die Verarbeitung von personenbezogenen Daten beziehen (z.B. Zweck, Sicherheitsmaßnahmen usw.). Falls einige dieser Aufzeichnungen von einem Unterverarbeiter bereitgestellt werden müssen, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen abrufen kann.The customer should maintain all necessary and required records related to processing personal data (that is, purpose, security measures, etc.). Where some of these records must be provided by a sub-processor, the customer should ensure that they can obtain such records. Die von den Microsoft-Diensten zur Verfügung gestellten Tools, die Ihnen helfen, die erforderlichen Aufzeichnungen aufzubewahren, belegen die Einhaltung und Unterstützung der Rechenschaftspflicht im Rahmen der DSGVO.The tools provided by Microsoft services to help you maintain the records necessary demonstrate compliance and support for accountability under the GDPR.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]- Search the audit log in Office 365 Security and Compliance Center [16]
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. Rechte von Betroffenen3. Rights of data subjects

KategorieCategory Zu berücksichtigende Aspekte für KundenCustomer Consideration Unterstützende Microsoft-DokumentationSupporting Microsoft documentation Bezieht sich auf folgende DSGVO-ArtikelAddresses GDPR Article(s)
Ermitteln der Rechte von PII-Prinzipalen und Aktivierungsvorgang (7.3.1)Determining PII principals’ rights and enabling exercise (7.3.1) Der Kunde sollte die Anforderungen an die Rechte von Einzelpersonen kennen, die sich auf die Verarbeitung ihrer personenbezogenen Daten beziehen. Zu diesen Rechten können Aspekte wie Zugriff, Korrektur und Löschung gehören. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er ermitteln, welche Teile des Systems (falls zutreffend) über Tools verfügen, die Einzelpersonen die Ausübung ihrer Rechte ermöglichen (z.B. den Zugriff auf ihre Daten). Wenn diese Funktionen vom System bereitgestellt werden, sollte der Kunde sie je nach Bedarf einsetzen.The customer should understand requirements around the rights of individuals related to the processing of their personal data. These rights may include things such as access, correction, and erasure. Where the customer uses a third-party system, they should determine which (if any) parts of the system provide tools related to enabling individuals to exercise their rights (e.g. to access their data). Where the system provides such capabilities, the customer should utilize them as necessary. Die von Microsoft bereitgestellten Funktionen, die Ihnen beim Unterstützen der Rechte von Betroffenen als Hilfe dienen.The capabilities Microsoft provides to help you support data subject rights.
- *Office 365-Anträge betroffener Personen gemäß DSGVO [8]
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability * [12], siehe ISO, IEC 27018, 2014 control A.1.1
Office 365 Data Subject Requests for the GDPR [8]- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see ISO, IEC 27018, 2014 control A.1.1
(12)(2)(12)(2)
Ermitteln von Informationen für PII-Prinzipale (Betroffene) (7.3.2)Determining information for PII principals (data subjects) (7.3.2) Der Kunde sollte mit den Anforderungen an die Arten von Informationen zur Verarbeitung von personenbezogenen Daten vertraut sein, die zur Bereitstellung für die Einzelperson verfügbar sind. Dies kann Folgendes umfassen:The customer should understand requirements for the types of information about processing of personal data that is to be available to be provided to the individual. This may include things such as:
- Kontaktdetails zum Controller oder seinem Vertreter;- Contact details about the controller or its representative;
- Informationen zur Verarbeitung (Zweck, internationale Übertragung und dazugehörige Schutzmaßnahmen, Aufbewahrungszeitraum usw.);- information about the processing (purposes, international transfer and related safeguards, retention period, etc.);
- Informationen dazu, wie der Prinzipal auf personenbezogene Daten zugreifen bzw. diese ändern kann; Anfrage zu Löschung oder Einschränkung der Verarbeitung; Empfang einer Kopie seiner personenbezogenen Daten und Portabilität seiner personenbezogenen Daten;- information on how the principal may access and/or amend their personal data; requesting erasure or restriction of processing; receiving a copy of their personal data, and portability of their personal data
- Vorgehensweise und Quelle in Bezug auf die personenbezogenen Daten (falls der Abruf nicht direkt vom Prinzipal erfolgt);- How and from where the personal data were obtained (if not obtained from the principal directly)
- Informationen zum Recht auf Einreichung einer Beschwerde und zum Empfänger;- information about the right to lodge a complaint and to whom;
- Informationen zu Korrekturen an personenbezogenen Daten;- information regarding corrections to personal data;
- Benachrichtigung, dass die Organisation den Betroffenen (PII-Prinzipal) nicht mehr identifizieren kann, wenn für die Verarbeitung keine Identifizierung des Betroffenen mehr erforderlich ist;- Notification that the organization is no longer in position to identify the data subject (PII principal), in cases where the processing no longer requires the identification of the data subject;
- Übertragungen bzw. Offenlegungen von personenbezogenen Daten;- Transfers and/or disclosures of personal data;
- Vorhandensein einer automatisierten Entscheidungsfindung, die allein auf der automatisierten Verarbeitung von personenbezogenen Daten basiert;- existence of automated decision making based solely on automated processing of personal data;
- Informationen zur Häufigkeit, mit der Informationen für den Betroffenen aktualisiert und bereitgestellt werden (z.B. per Just-in-Time-Benachrichtigung, von der Organisation festgelegter Häufigkeit usw.).- information regarding the frequency with which information to the data subject is updated and provided (that is, “just in time” notification, organization defined frequency, etc.)

Wenn der Kunde Drittanbietersysteme oder -verarbeiter nutzt, sollte er ermitteln, welche Informationen (falls zutreffend) ggf. bereitgestellt werden müssen, und sicherstellen, dass die erforderlichen Informationen vom Drittanbieter beschafft werden können.Where the customer uses third-party systems or processors, they should determine which (if any) of this information may need to be provided by them and ensure that they can obtain the required information from the third-party.

Informationen zu Microsoft-Diensten, die Sie in die für Betroffene bereitgestellten Daten einbeziehen können.Information about Microsoft services that you can include in the data you provide to data subjects.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]- Office 365 Data Subject Requests for the GDPR [8]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
Bereitstellen von Informationen zu PII-Prinzipalen (7.3.3)Providing information to PII principals (7.3.3) Der Kunde sollte alle Anforderungen erfüllen, die sich darauf beziehen, wie, wann und in welcher Form die erforderlichen Informationen für eine Einzelperson in Bezug auf die Verarbeitung ihrer personenbezogenen Daten bereitgestellt werden.The customer should comply with any requirements around how/when/in what form the required information is to be given to an individual related to the processing of their personal data. In cases where a third-party may provide required information, the customer should ensure that it is within the parameters required by the GDPR. In Fällen, in denen ein Drittanbieter ggf. erforderliche Informationen bereitstellt, sollte der Kunde sicherstellen, dass sich dieser Vorgang innerhalb der durch die DSGVO vorgegebenen Parameter vollzieht.In cases where a third party may provide required information, the customer should ensure that it is within the parameters required by the GDPR. Informationen zu Microsoft-Diensten als Vorlagen, die Sie in die für Datensubjekte bereitgestellten Daten einbeziehen können.Templated information about Microsoft services that you can include in the data you provide to data subjects.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]- Office 365 Data Subject Requests for the GDPR [8]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung (7.3.4)Provide mechanism to modify or withdraw consent (7.3.4) Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen.The customer should understand requirements for informing users about their right to access, correct, and/or erase their personal data and for providing a mechanism for which them to do so. If a third-party system is used and provides this mechanism as part of its functionality, the customer should utilize that functionality as necessary. Informationen zu den Funktionen von Microsoft-Diensten, die Sie beim Definieren der zum Anfordern der Zustimmung für Betroffene bereitgestellten Informationen nutzen können. Information about capabilities in Microsoft services that you can use when defining the information you provide to data subjects when requesting consent.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]- Office 365 Data Subject Requests for the GDPR [8]
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
Bereitstellen eines Mechanismus, mit dem der Verarbeitung widersprochen werden kann (7.3.5)Provide mechanism to object to processing (7.3.5) Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte von Datensubjekten vertraut sein. Wenn eine Einzelperson das Recht hat, der Verarbeitung zu widersprechen, sollten der Kunde diese darüber informieren und eine Möglichkeit schaffen, mit der die Einzelperson den Widerspruch registrieren kann.The customer should understand requirements around rights of data subjects. Where an individual has a right to object to processing, the customer should inform them, and have a way for the individual to register their objection. Informationen zu Microsoft-Diensten, die sich auf den Widerspruch der Verarbeitung beziehen und die Sie in für Betroffene bereitgestellte Daten einbinden können.Information about Microsoft services relating to object to processing that you can include in the data you provide to data subjects.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 4: Einschränkung- Office 365 Data Subject Requests for the GDPR [8] see Step 4: Restrict
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
Gemeinsame Nutzung der Ausübung der Rechte von PII-Prinzipalen (7.3.6)Sharing the exercising of PII principals' rights (7.3.6) Der Kunde sollte mit den Anforderungen in Bezug auf die Benachrichtigung von Drittanbietern, mit denen personenbezogene Daten gemeinsam genutzt wurden, über Fälle von Datenänderungen basierend auf der Ausübung der Rechte von Einzelpersonen vertraut sein (z.B. eine Einzelperson, die eine Löschung oder Änderung anfordert, usw.)The customer should understand requirements for notifying third-parties with whom personal data has been shared of instances of data modification based on the exercise of individual rights (e.g. an individual requesting erasure or modification, etc.) Informationen zu Funktionen von Microsoft-Diensten, die Ihnen das Ermitteln von personenbezogenen Daten ermöglichen, für die eine gemeinsame Nutzung mit Drittanbietern erfolgt ist.Information about capabilities in Microsoft services that allow you to discover personal data that you have shared with third parties.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8]- Office 365 Data Subject Requests for the GDPR [8]
(19)(19)
Korrektur oder Löschung (7.3.7)Correction or erasure (7.3.7) Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen.The customer should understand requirements for informing users about their right to access, correct, and/or erase their personal data and for providing a mechanism for which them to do so. If a third-party system is used and provides this mechanism as part of its functionality, the customer should utilize that functionality as necessary. Informationen zu Microsoft-Diensten als Vorlagen, die sich auf ihre Fähigkeit beziehen, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie in für Betroffene bereitgestellte Daten einbinden können.Templated information about Microsoft services relating to their ability to access, correct or erase personal data that you can include in the data you provide to data subjects.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 5: Löschung- Office 365 Data Subject Requests for the GDPR [8] see Step 5: Delete
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2)(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2)
Bereitstellen einer Kopie der personenbezogenen Informationen (7.3.8)Providing copy of PII processed (7.3.8) Der Kunde sollte mit den Anforderungen in Bezug auf die Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten für die Einzelperson vertraut sein. Hierzu können auch Anforderungen an das Format der Kopie (z.B. Maschinenlesbarkeit), die Übertragung der Kopie usw. gehören. Wenn der Kunde ein Drittanbietersystem verwendet, das über die Funktionalität zur Bereitstellung von Kopien verfügt, sollte diese Funktionalität je nach Bedarf genutzt werden.The customer should understand requirements around providing a copy of the personal data being processed to the individual. These may include requirements around the format of the copy (i.e. that it is machine readable), transferring the copy, etc. Where the customer uses a third-party system that provides the functionality to provide copies, they should utilize this functionality as necessary. Informationen zu Fähigkeiten Microsoft-Diensten, die es Ihnen erlauben, eine Kopie ihrer personenbezogenen Daten zu erhalten, die Sie in für Betroffene bereitgestellte Daten einbinden können.Information about capabilities in Microsoft services to allow you to obtain a copy of their personal data that you can include in the data you provide to data subjects.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 6: Export- Office 365 Data Subject Requests for the GDPR [8] see Step 6: Export
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
Anfragenverwaltung (7.3.9)Request management (7.3.9) Der Kunde sollte mit den Anforderungen in Bezug auf das Akzeptieren und Antworten auf legitime Anfragen von Einzelpersonen vertraut sein, die sich auf die Verarbeitung ihrer personenbezogenen Daten beziehen. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er wissen, ob das System über die Funktionen zur Verarbeitung dieser Anfragen verfügt. Wenn ja, sollte der Kunde diese Mechanismen nutzen, um Anfragen je nach Bedarf zu verarbeiten.The customer should understand requirements for accepting and responding to legitimate requests from individuals related to the processing of their personal data. Where the customer uses a third-party system, they should understand whether that system provides the capabilities for such handling of requests. If so, the customer should utilize such mechanisms to handle requests as necessary. Informationen zu den Funktionen von Microsoft-Diensten zum Definieren der Informationen, die Sie beim Verwalten der Anforderungen von Datensubjekten für diese bereitstellen.Information about capabilities in Microsoft services that you can use when defining the information you provide to data subjects as you manage data subject requests.
- Office 365-Anträge betroffener Personen gemäß DSGVO [8]: Der Kunde sollte mit den Anforderungen in Bezug auf die automatisierte Verarbeitung personenbezogener Daten und die Art und Weise, wie Entscheidungen durch diese Automatisierung getroffen werden, vertraut sein.- Office 365 Data Subject Requests for the GDPR [8] customer should understand requirements around automated personal data processing and where decisions are made by such automation. Dies kann das Bereitstellen von Informationen zur Verarbeitung für eine Einzelperson, das Widersprechen dieser Verarbeitung oder das Erlangen eines Eingriffs durch Menschen umfassen.These may include providing information about the processing to an individual, objecting to such processing, or to obtain human intervention. Wenn diese Features von einem Drittanbietersystem bereitgestellt werden, sollte der Kunde sicherstellen, dass der Drittanbieter alle erforderlichen Informationen bzw. den entsprechenden Support bereitstellt.Where such features are provided by a third-party system, the customer should ensure that the third party provides any required information or support.

Informationen zu allen Funktionen von Microsoft-Diensten, die ggf. die automatisierte Entscheidungsfindung unterstützen und die Sie in Ihrer Dokumentation zu den Verantwortlichkeiten verwenden können, sowie Informationen zu diesen Funktionen als Vorlagen für Datensubjekte.Information about any capabilities in Microsoft services that might support automated decision making that you can use in your accountability documentation, and templated information for data subjects about those capabilities.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]

(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. Datenschutz als Konzept und Standard4. Privacy by Design and Default

KategorieCategory Zu berücksichtigende Aspekte für KundenCustomer Consideration Unterstützende Microsoft-DokumentationSupporting Microsoft documentation Bezieht sich auf folgende DSGVO-ArtikelAddresses GDPR Article(s)
Beschränken der Datensammlung (7.4.1)Limit collection (7.4.1) Der Kunde sollte mit den Anforderungen in Bezug auf die Erfassung von personenbezogenen Daten vertraut sein (z.B. die Beschränkung der Erfassung auf die Daten, die für den angegebenen Zweck erforderlich sind).The customer should understand requirements around limits on collection of personal data (e.g. that the collection should be limited to what is needed for the specified purpose). Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden.A description of the data collected by Microsoft services.
- *Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; * [1]- Microsoft Online Services Terms, Data Protection Terms, see Processing of Personal Data; GDPR [1]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(5)(1)(b), (5)(1)(c)(5)(1)(b), (5)(1)(c)
Beschränken der Verarbeitung (7.4.2)Limit processing (7.4.2) Der Kunde ist dafür verantwortlich, die Verarbeitung von personenbezogenen Daten zu beschränken, damit nur die Daten gesammelt werden, die für den angegebenen Zweck benötigt werden.The customer is responsible for limiting the processing of personal data so that it is limited to what is adequate for the identified purpose. Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden.A description of the data collected by Microsoft services.
- *Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; * [1]- Microsoft Online Services Terms, Data Protection Terms, see Processing of Personal Data; GDPR [1]
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(25)(2)(25)(2)
Definieren und Dokumentieren der PII-Minimierung und von Zielen zur Deidentifizierung (7.4.3)Define and document PII minimization and de-identification objectives (7.4.3) Der Kunde sollte mit den Anforderungen in Bezug auf die Deidentifizierung von personenbezogenen Daten vertraut sein. Hierzu können der Zeitpunkt der Nutzung, das Ausmaß der Deidentifizierung und Fälle gehören, in denen die Nutzung nicht möglich ist.The customer should understand requirements around de-identification of personal data which may include, when it should be used, the extent to which it should de-identify, and instances when it cannot be used. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen.Microsoft applies de-identification and pseudonymization internally, where appropriate, to provide additional privacy safeguards for personal data. (5)(1)(c)(5)(1)(c)
Einhalten von Identifizierungsebenen (7.4.4)Comply with identification levels (7.4.4) Der Kunde sollte die Ziele und Methoden für die Deidentifizierung nutzen und einhalten, die von seiner Organisation vorgegeben werden.The customer should use and comply with de-identification objectives and methods set by their organization. Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen.Microsoft applies de-identification and pseudonymization internally, where appropriate, to provide additional privacy safeguards for personal data. (5)(1)(c)(5)(1)(c)
PII-Deidentifizierung und -Löschung (7.4.5)PII de-identification and deletion (7.4.5) Der Kunde sollte mit den Anforderungen in Bezug auf die Aufbewahrung von personenbezogenen Daten über die Nutzung für den angegebenen Zweck hinaus vertraut sein. Wenn vom System entsprechende Tools bereitgestellt werden, sollte der Kunde diese Tools nutzen, um je nach Bedarf Löschvorgänge durchzuführen.The customer should understand requirements around the retention of personal data past its use for the identified purposes. Where provided tooling by the system, the customer should utilize those tools to erase or delete as necessary. Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenaufbewahrung.Capabilities provided by Microsoft cloud services to support your data retention policies.
- Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 5: Löschung- Office 365 Data Subject Requests for the GDPR [8] see Step 5: Delete
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
Temporäre Dateien (7.4.6)Temporary files (7.4.6) Der Kunde sollte über temporäre Dateien informiert sein, die unter Umständen vom System erstellt werden und zur Nichteinhaltung von Richtlinien in Bezug auf die Verarbeitung personenbezogener Daten führen können (beispielsweise werden personenbezogene Daten ggf. länger als erforderlich bzw. zulässig in einer temporären Datei aufbewahrt). Wenn vom System Tools zum Löschen oder Überprüfen von temporären Dateien bereitgestellt werden, sollte der Kunde diese Tools nutzen, um die Anforderungen zu erfüllen.The customer should be aware of temporary files that may be created by the system that could lead to non-compliance with policies around processing of personal data (e.g. personal data might be retained in a temporary file longer than required or allowed). Where the system provides such tools for temporary file deletion or checking, the customer should utilize such tools to comply with requirements. Eine Beschreibung von Funktionen, die vom Dienst zum Identifizieren von personenbezogenen Daten bereitgestellt werden, um Ihre Richtlinien zu temporären Dateien zu unterstützen.A description of capabilities provided by the service to identify personal data to support your temporary file policies.
- Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 1: Ermittlung- Office 365 Data Subject Requests for the GDPR [8] see Step1: Discover
(5)(1)(c)(5)(1)(c)
Aufbewahrung (7.4.7)Retention (7.4.7) Der Kunde sollte ermitteln, wie lange Daten aufbewahrt werden sollten, und dabei den angegebenen Zweck berücksichtigen.The customer should determine how long personal data should be retained, taking into consideration the identified purposes. Informationen zur Aufbewahrung von personenbezogenen Daten durch Microsoft-Dienste, die Sie in für Datensubjekte bereitgestellte Dokumentation einbinden können. Information about the retention of personal data by Microsoft services that you can include in documentation provided to data subjects.
- Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Aufbewahrung [1]- Microsoft Online Services Terms, Data Protection Terms, see Data Security, Retention [1]
(13)(2)(a), (14)(2)(a)(13)(2)(a), (14)(2)(a)
Entsorgung (7.4.8)Disposal (7.4.8) Der Kunde sollte die vom System bereitgestellten Lösch- oder Entsorgungsmechanismen nutzen, um personenbezogene Daten zu löschen.The customer should utilize any deletion or disposal mechanisms provided by the system to delete personal data. Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenlöschung.Capabilities provided by Microsoft cloud srvices to support your data deletion policies.
-* Office 365-Anforderungen betroffener Personen für die DSGVO* [8] siehe Schritt 5: Löschung-* Office 365 Data Subject Requests for the GDPR* [8] see Step 5: Delete
(5)(1)(f)(5)(1)(f)
Sammlungsverfahren (7.4.9)Collection procedures (7.4.9) Der Kunde sollte mit den Anforderungen in Bezug auf die Genauigkeit von personenbezogenen Daten (z.B. Genauigkeit bei der Erfassung, Halten von Daten auf dem aktuellen Stand usw.) vertraut sein und die Mechanismen nutzen, die vom System zu diesem Zweck bereitgestellt werden.The customer should be aware of requirements around the accuracy of personal data (e.g., accuracy upon collection, keeping data up to date, etc.) and utilize any mechanisms provided by the system for such. Informationen dazu, wie Microsoft-Dienste die Genauigkeit von personenbezogenen Daten unterstützen, und zu allen bereitgestellten Funktionen zur Unterstützung Ihrer Richtlinie zur Datengenauigkeit.How Microsoft services support the accuracy of personal data, and any capabilities they provide to support your data accuracy policy.
- Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 3: Korrektur- Office 365 Data Subject Requests for the GDPR [8] see Step 3: Rectify
(5)(1)(d)(5)(1)(d)
Kontrolle der Übertragung (7.4.10)Transmission controls (7.4.10) Der Kunde sollte mit den Anforderungen in Bezug auf den Schutz der Übertragung personenbezogener Daten vertraut sein, z.B. Personen, die Zugriff auf Übertragungsmechanismen haben, Aufzeichnungen der Übertragung usw.The customer should understand requirements around safeguarding the transmission of personal data, including who has access to transmission mechanisms, records of transmission, etc. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(15)(2), (30)(1)(e), (5)(1)(f)(15)(2), (30)(1)(e), (5)(1)(f)
Identifizieren der Basis für die PII-Übertragung (7.5.1)Identify basis for PII transfer (7.5.1) Der Kunde sollte mit den Anforderungen in Bezug auf das Übertragen von personenbezogenen Daten (PII) an einen anderen geografischen Ort und das Dokumentieren der vorhandenen Maßnahmen zur Erfüllung dieser Anforderungen vertraut sein.The customer should be aware of requirements for transferring personal data (PII) to a different geographic location and document what measures are in place to meet such requirements. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
Artikel (44), (45), (46), (47), (48) und (49)Articles (44), (45), (46), (47), (48), and (49)
Länder und Organisationen als Ziel der PII-Übertragung (7.5.2)Countries and organizations to which PII might be transferred (7.5.2) Der Kunde sollte die Länder, in die personenbezogene Daten ggf. übertragen werden, kennen und diese für die Person bereitstellen können. Wenn diese Übertragung von einem Drittanbieter bzw. Verarbeiter durchgeführt wird, sollte der Kunde diese Informationen vom Verarbeiter beschaffen.The customer should understand, and be able to provide to the individual, the countries to which personal data is or may be transferred. Where a third-party/processor may perform this transfer, the customer should obtain this information from the processor. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(30)(1)(e)(30)(1)(e)
Aufzeichnungen zu PII-Übertragungen (personenbezogene Daten) (7.5.3)Records of transfers of PII (personal data) (7.5.3) Der Kunde sollte alle notwendigen und erforderlichen Aufzeichnungen über die Übermittlung personenbezogener Daten aufbewahren. Wenn ein Dritter/Bearbeiter die Übertragung durchführt, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen aufbewahrt und diese bei Bedarf erhält.The customer should maintain all necessary and required records related to transfers of personal data. Where a third-party/processor performs the transfer, the customer should ensure that they maintain the appropriate records and obtain them as necessary. Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
(30)(1)(e)(30)(1)(e)
Aufzeichnungen der PII-Offenlegung für Dritte (7.5.4)Records of PII disclosure to third parties (7.5.4) Der Kunde sollte mit den Anforderungen in Bezug auf die Aufzeichnungen vertraut sein, die darüber angefertigt werden, für wen personenbezogene Daten offengelegt wurden. Dies kann auch Offenlegungen für Strafverfolgungsbehörden usw. umfassen. Wenn die Daten von einem Drittanbieter bzw. Verarbeiter offengelegt werden, sollte der Kunde sicherstellen, dass dieser die entsprechenden Aufzeichnungen verwaltet, und diese je nach Bedarf beschaffen.The customer should understand requirements around recording to whom personal data has been disclosed. This may include disclosures to law enforcement, etc. Where a third-party/processor discloses the data, the customer should ensure that they maintain the appropriate records and obtain them as necessary. Bereitgestellte Dokumentation zu den Kategorien von Empfängern der Offenlegungen personenbezogener Daten, einschließlich der verfügbaren Aufzeichnungen zur Offenlegung.Documentation provided about the categories of recipients of disclosures of personal data including available records of disclosure.
- Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6]- Who can access your data and on what terms [6]
(30)(1)(d)(30)(1)(d)
Gemeinsamer Controller (7.5.5)Joint controller (7.5.5) Der Kunde sollte ermitteln, ob er zusammen mit einer anderen Organisation als gemeinsamer Controller fungiert, und die Zuständigkeiten auf geeignete Weise dokumentieren und zuordnen.The customer should determine whether they are a joint controller with any other organization, and appropriately document and allocate responsibilities. Dokumentation von Microsoft-Diensten, die als Controller von persönlichen Informationen dienen, einschließlich Informationen als Vorlagen, die in Dokumentation für Datensubjekte eingefügt werden können.Documentation of Microsoft services that are a controller of personal information, including templated information that can be included in documentation to data subjects.
- *Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; * [1]- Microsoft Online Services Terms, Data Protection Terms, see Processing of Personal Data; GDPR [1]

5. Datenschutz und -sicherheit5. Data Protection & Security

KategorieCategory Zu berücksichtigende Aspekte für KundenCustomer Consideration Unterstützende Microsoft-DokumentationSupporting Microsoft documentation Bezieht sich auf folgende DSGVO-ArtikelAddresses GDPR Article(s)
Grundlegendes zur Organisation und zum Kontext (5.2.1)Understanding the organization and its context (5.2.1) Kunden sollten ihre Rolle bei der Verarbeitung von personenbezogenen Daten (z.B. Controller, Verarbeiter, Co-Controller) ermitteln, um die entsprechenden Anforderungen (gesetzlich usw.) an die Verarbeitung von personenbezogenen Daten zu identifizieren.Customers should determine their role in processing personal data (e.g. controller, processor, co-controller) to identify the appropriate requirements (regulatory, etc.) for processing personal data. Beschreibung, wie Microsoft jeden Dienst entweder als Verarbeiter oder Controller einstuft, wenn personenbezogene Daten verarbeitet werden.How Microsoft considers each service as either a processor or controller when processing personal data.
- Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter und Controller – Rollen und Verantwortlichkeiten [1]- Microsoft Online Services Terms, Data Protection Terms, see Processing of Personal Data; GDPR, Processor and Controller Roles and Responsibilities [1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
Grundlegendes zu den Anforderungen und Erwartungen von Interessenten (5.2.2)Understanding the needs and expectations of interested parties (5.2.2) Kunden sollten Parteien identifizieren, die bei der Verarbeitung von personenbezogenen Daten ggf. eine Rolle innehaben oder ein Interesse daran haben (z.B. Regulatoren, Auditoren, Datensubjekte, unter Vertrag stehende Verarbeiter personenbezogener Daten), und mit den Anforderungen vertraut sein, die mit der Einbindung dieser Parteien je nach Bedarf verbunden sind.Customers should identify parties that may have a role or interest in their processing of personal data (e.g. regulators, auditors, data subjects, contracted personal data processors), and be aware of requirements to engage such parties where required. Beschreibung, wie Microsoft die Sichtweisen aller Beteiligten in Bezug auf die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken berücksichtigt.How Microsoft incorporates the views of all stakeholders in consideration of the risks involved in the processing of personal data.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10]- Key Information from Office 365 for Customer Data Protection Impact Assessments [10]
- Office 365 ISMS Manual [14] siehe 4.2. GRUNDLEGENDES ZU DEN ANFORDERUNGEN UND ERWARTUNGEN VON INTERESSENTEN- Office 365 ISMS Manual [14] see 4.2 UNDERSTANDING THE NEEDS AND EXPECTATIONS OF INTERESTED PARTIES
- Grundlegendes zu den Anforderungen und Erwartungen von Interessenten (5.2.2) im Compliance-Manager- Understanding the needs and expectations of interested parties 5.2.2 in Compliance Manager
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit (5.2.3, 5.2.4)Determining the scope of the information security management system (5.2.3, 5.2.4) Ein allgemeines Sicherheits- oder Datenschutzprogramm, über das ein Kunde ggf. verfügt, sollte die Verarbeitung von personenbezogenen Daten und der dazugehörigen Anforderungen umfassen.As part of any overall security or privacy program that a customer may have, they should include the processing of personal data and requirements relating to it. Beschreibung, wie Microsoft-Dienste die Verarbeitung personenbezogener Daten in Informationssicherheitsverwaltungs- und Datenschutzprogrammen einschließen.How Microsoft services include the processing of personal data in information security management and privacy programs.
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see A.19
- SOC 2 Type 2 Audit Report [11]- SOC 2 Type 2 Audit Report [11]
- Office 365 ISMS Manual [14] siehe 4. Kontext der Organisation- Office 365 ISMS Manual [14] see 4. Context of the Organization
- 5.2.3 Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit- 5.2.3 Determining the scope of the information security management system in Compliance Manager
- 5.2.4 Verwaltungssystems für die Informationssicherheit im Compliance-Manager- 5.2.4 Information security management system in Compliance Manager
(32)(2)(32)(2)
Planung (5.3)Planning (5.3) Kunden sollten die Verarbeitung von personenbezogenen Daten im Rahmen aller durchgeführten Risikobewertungen berücksichtigen und angemessene Kontrollen einbauen, um das Risiko für unter der Kontrolle des Kunden befindliche personenbezogene Daten zu mindern.Customers should consider the handling of personal data as part of any risk assessment they complete and apply controls as they deem necessary to mitigate risk related to personal data they control. Beschreibung, wie für Microsoft-Dienste die spezifischen Risiken der Verarbeitung von personenbezogenen Daten im Rahmen des allgemeinen Sicherheits- und Datenschutzprogramms berücksichtigt werden.How Microsoft services consider the risks specific to the processing of personal data as part of their overall security and privacy program.
- Office 365 ISMS Manual [14] siehe 5.2 Richtlinie- Office 365 ISMS Manual [14] see 5.2 Policy
- 5.3 Planung im Compliance-Manager- 5.3 Planning in Compliance Manager
(32)(1)(b), (32)(2)(32)(1)(b), (32)(2)
Richtlinien zur Informationssicherheit (6.2)Information Security Policies (6.2) Der Kunde sollte alle vorhandenen Richtlinien zur Informationssicherheit um den Schutz personenbezogener Daten erweitern, z.B. mit Richtlinien, die zur Einhaltung geltender Gesetze erforderlich sind.The customer should augment any existing information security policies to include protection of personal data, including policies necessary for compliance with any applicable legislation. Microsoft-Richtlinien zur Informationssicherheit und spezifische Maßnahmen zum Schutz personenbezogener Informationen.Microsoft policies for information security and any specific measures for the protection of personal information.
- Microsoft Office 365 (gesamt) ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19- Microsoft Office 365 (All-Up) ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see A.19
- SOC 2 Type 2 Audit Report [11]- SOC 2 Type 2 Audit Report [11]
- 6.2 Richtlinien für die Informationssicherheit im Compliance-Manager- 6.2 Information security policies in Compliance Manager
24(2)24(2)
Organisation der Informationssicherheit für Kunden (6.3)Organization of Information Security Customer consideration (6.3) Der Kunde sollte innerhalb seiner Organisation die Verantwortlichkeiten für die Sicherheit und den Schutz personenbezogener Daten definieren.The customer should, within their organization, define responsibilities for security and protection of personal data. Dazu gehört ggf. das Einrichten spezifischer Rollen zur Beaufsichtigung von datenschutzrelevanten Fragen, einschließlich einer DSB.This may include establishing specific roles to oversee privacy-related matters, including a DPO. Zur Unterstützung dieser Rollen sollten geeignete Schulungs-und Verwaltungsunterstützung bereitgestellt werden.Appropriate training and management support should be provided to support these roles. Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen.An overview of the role of Microsoft's Data Protection Officer, the nature of his duties, reporting structure and contact information.
- Datenschutzbeauftragter von Microsoft [18]- Microsoft’s Data Protection Officer [18]
- Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN- Office 365 ISMS Manual [14] see 5.3 ORGANIZATIONAL ROLES, RESPONSIBILITIES, AND AUTHORITIES
- 6.3 Organisation der Informationssicherheit im [Compliance-Manager]- 6.3 Organization of information security in Compliance Manager
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
Personal – Sicherheit (6.4)Human Resource Security (6.4) Der Kunde sollte die Verantwortlichkeiten zur Bereitstellung von relevanten Schulungen in Bezug auf den Schutz von personenbezogenen Daten ermitteln und zuweisen.The customer should determine and assign responsibility for providing relevant training related to protecting personal data. Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen.An overview of the role of Microsoft's Data Protection Officer, the nature of his duties, reporting structure and contact information.
- Datenschutzbeauftragter von Microsoft [18]- Microsoft’s Data Protection Officer [18]
- Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN- Office 365 ISMS Manual [14] see 5.3 ORGANIZATIONAL ROLES, RESPONSIBILITIES, AND AUTHORITIES
- 6.4 Sicherheit im Personalwesen im Compliance-Manager- 6.4 Human resources security in Compliance Manager
(39)(1)(b)(39)(1)(b)
Klassifizierung von Informationen (6.5.1)Classification of Information (6.5.1) Der Kunde sollte personenbezogene Daten explizit als Teil eines Schemas zur Datenklassifizierung ansehen.The customer should explicitly consider personal data as part of a data classification scheme. Funktionen in Office 365 zur Unterstützung der Klassifizierung personenbezogener Daten.Capabilities in Office 365 to support personal data classification.
- Schutz von Informationen in Office 365 für die DSGVO [5] siehe „Entwerfen eines Klassifikationsschemas für personenbezogene Daten“- Office 365 Information Protection for GDPR [5] see Architect a classification schema for personal data
- 6.5.1 Klassifizierung von Informationen im Compliance-Manager- 6.5.1 Classification of Information in Compliance Manager
(39)(1)(b)(39)(1)(b)
Verwaltung von Wechselmedien (6.5.2)Management of removable media (6.5.2) Der Kunde sollte interne Richtlinien für die Verwendung von Wechselmedien in Bezug auf den Schutz von personenbezogenen Daten ermitteln (z.B. Verschlüsselung von Geräten).The customer should determine internal policies for the use of removable media as it relates to the protection of personal data (e.g., encrypting devices). Beschreibung, wie Microsoft-Dienste für die Sicherheit von personenbezogenen Informationen auf Wechselmedien sorgen.How Microsoft services protect the security of personal information on any removable media.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz- FedRAMP Moderate FedRAMP System Security Plan [3] see 13.10 Media Protection (MP)
- Verwaltung von Wechselmedien im Compliance-Manager- Management of removable media in Compliance Manager
(32)(1)(a), (5)(1)(f)(32)(1)(a), (5)(1)(f)
Übertragung physischer Medien (6.5.3)Physical media transfer (6.5.3) Der Kunde sollte interne Richtlinien zum Schutz von personenbezogenen Daten bei der Übertragung von physischen Medien festlegen (z.B. Verschlüsselung).The customer should determine internal policies for protecting personal data when transferring physical media (e.g. encryption). Beschreibung, wie für Microsoft-Dienste personenbezogene Daten während einer Übertragung von physischen Medien geschützt werden.How Microsoft services protects personal data during any transfer of physical media.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz- FedRAMP Moderate FedRAMP System Security Plan [3] see 13.10 Media Protection (MP)
- 6.5.3 Übertragung physischer Medien im Compliance-Manager- 6.5.3 Physical media transfer in Compliance Manager
(32)(1)(a), (5)(1)(f)(32)(1)(a), (5)(1)(f)
Verwaltung des Benutzerzugriffs (6.6.1)User access management (6.6.1) Der Kunde sollte damit vertraut sein, welche Verantwortlichkeiten für ihn in Bezug auf die Zugriffssteuerung im genutzten Dienst gelten, und diese Verantwortlichkeiten mit den verfügbaren Tools entsprechend verwalten.The customer should be aware of which responsibilities they have for access control within the service they are using, and manage those responsibilities appropriately, using the tools available. Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können.The tools provided by Microsoft services to help you enforce access control.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365- Office 365 Security Documentation [2] see Protect access to data and services in Office 365
- 6.6.1 im Compliance-Manager- 6.6.1 in Compliance Manager
(5)(1)(f)(5)(1)(f)
Registrierung und Aufhebung der Registrierung für Benutzer (6.6.2)User registration and de-registration (6.6.2) Der Kunde sollte die Registrierung und Aufhebung der Registrierung für Benutzer im genutzten Dienst verwalten, indem er die verfügbaren Tools verwendet.The customer should manage user registration and de-registration within the service they utilize, using the tools available to them. Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können.The tools provided by Microsoft services to help you enforce access control.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365- Office 365 Security Documentation [2] see Protect access to data and services in Office 365
- 6.6.2 Registrierung und Aufhebung der Registrierung für Benutzer im Compliance-Manager- 6.6.2 User registration and de-registration in Compliance Manager
(5)(1)(f)(5)(1)(f)
Bereitstellung des Benutzerzugriffs (6.6.3)User access provisioning (6.6.3) Der Kunde sollte Benutzerprofile, vor allem für den berechtigten Zugriff auf personenbezogene Daten, innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet.The customer should manage user profiles, especially for authorized access to personal data, within the service they utilize, using the tools available to them. Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen, Zugriff auf Anwendungen und die Registrierung und Aufhebung der Registrierung von Benutzern.How Microsoft services support formal access control to personal data, including user IDs, roles, access to applications and the registration and de-registration of users.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365- Office 365 Security Documentation [2] see Protect access to data and services in Office 365
- Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15]- Use Tenant Restrictions to manage access to SaaS cloud applications [15]
- Benutzerzugriffsbereitstellung im Compliance-Manager- User access provisioning in Compliance Manager
(5)(1)(f)(5)(1)(f)
Verwaltung des privilegierten Zugriffs (6.6.4)Management of privileged access (6.6.4) Der Kunde sollte Benutzer-IDs innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet, um die Nachverfolgung des Zugriffs (vor allem auf personenbezogene Daten) zu ermöglichen.The customer should manage user ID's to facilitate tracking of access (especially to personal data), within the service they utilize, using the tools available to them. Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern.How Microsoft services support formal access control to personal data, including user IDs, roles, and the registration and de-registration of users.
- Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365- Office 365 Security Documentation [2] see Protect access to data and services in Office 365
- Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15]- Use Tenant Restrictions to manage access to SaaS cloud applications [15]
-6.6.4 Verwaltung des privilegierten Zugriffs im Compliance-Manager- 6.6.4 Management of privileged access in Compliance Manager
(5)(1)(f)(5)(1)(f)
Sichere Anmeldeverfahren (6.6.5)Secure log on procedures (6.6.5) Der Kunde sollte die vom Dienst bereitgestellten Mechanismen nutzen, um sichere Anmeldefunktionen für seine Benutzer einzurichten, wo dies erforderlich ist.The customer should utilize provided mechanisms in the service to ensure secure log on capabilities for their users where necessary. Beschreibung, wie Microsoft-Dienste Richtlinien für die interne Zugriffssteuerung in Bezug auf personenbezogene Daten unterstützen.How Microsoft services support internal access control policies related to personal data.
- Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6]- Who can access your data and on what terms [6]
- 6.6.5 Sichere Anmeldeverfahren im Compliance-Manager- 6.6.5 Secure log-on procedures in Compliance Manager
(5)(1)(f)(5)(1)(f)
Kryptografie (6.7)Cryptography (6.7) Der Kunde sollte ermitteln, welche Daten ggf. verschlüsselt werden müssen und ob der genutzte Dienst über eine entsprechende Funktion verfügt. Der Kunde sollte die Verschlüsselung je nach Bedarf einsetzen, indem er die verfügbaren Tools verwendet.The customer should determine which data may need to be encrypted, and whether the service they are utilizing offers this capability. The customer should utilize encryption as needed, using the tools available to them. Beschreibung, wie Microsoft-Dienste die Verschlüsselung und Pseudonymisierung unterstützen, um das Risiko der Verarbeitung personenbezogener Daten zu mindern. How Microsoft services support encryption and pseudonymization to reduce the risk of processing personal data.
- FedRAMP Moderate – FedRAMP-System-Sicherheitsplan (SSP) siehe Cosmos ab S. 29- FedRAMP Moderate FedRAMP System Security Plan (SSP) see Cosmos pp29
- 6.7 Kryptographie im Compliance-Manager- 6.7 Cryptography in Compliance Manager
(32)(1)(a)(32)(1)(a)
Sichere Entsorgung oder Wiederverwendung von Ausrüstung (6.8.1)Secure disposal or re-use of equipment (6.8.1) Bei Verwendung von Cloud Computing-Diensten (PaaS, SaaS, IaaS) sollte der Kunde damit vertraut sein, wie der Cloudanbieter sicherstellt, dass personenbezogene Daten aus dem Speicherbereich gelöscht werden, bevor dieser Bereich einem anderen Kunden zugewiesen wird.Where the customer uses cloud computing services (PaaS, SaaS, IaaS) they should understand how the cloud provider ensures that personal data is erased from storage space prior to that space being assigned to another customer. Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass persönliche Daten von Speicherausrüstung gelöscht werden, bevor diese Ausrüstung übertragen oder wiederverwendet wird.How Microsoft services ensure that personal data is erased from storage equipment before that equipment is transferred or reused.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz- FedRAMP Moderate FedRAMP System Security Plan [3] see 13.10 Media Protection (MP)
- 6.8.1 Sichere Entsorgung oder Wiederverwendung von Ausrüstung im Compliance-Manager- 6.8.1 Secure disposal or re-use of equipment in Compliance Manager
(5)(1)(f)(5)(1)(f)
Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm (6.8.2)Clear desk and clear screen policy (6.8.2) Der Kunde sollte die Risiken in Bezug auf Hardcopy-Material kennen, auf dem personenbezogene Daten enthalten sind bzw. angezeigt werden, und die Erstellung dieses Materials ggf. einschränken. Wenn das genutzte System über eine entsprechende Funktion verfügt (z.B. Einstellungen zur Verhinderung des Druckens oder Kopierens/Einfügens von sensiblen Daten), sollte der Kunde abwägen, ob die Nutzung dieser Funktionen erforderlich ist.The customer should consider risks around hardcopy material that displays personal data, and potentially restrict the creation of such material. Where the system in use provides the capability to restrict this (e.g., settings to prevent printing or copying/pasting of sensitive data), the customer should consider the need to utilize those capabilities. Beschreibung, was bei Microsoft zur Verwaltung von Hardcopy-Material implementiert wird.What Microsoft implements to manage hardcopy.
Interne Verwaltung von Kontrollmechanismen bei Microsoft, siehe Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] A.10.2, A.10.7 und A.4.1- Microsoft maintains these controls internally, see Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] A.10.2, A.10.7 and A.4.1
- 6.8.2 Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm im Compliance-Manager- 6.8.2 Clear desk and clear screen policy in Compliance Manager
(5)(1)(f)(5)(1)(f)
Trennung von Umgebungen für Entwicklung, Tests und Betrieb (6.9.1)Separation of development, testing and operational environments (6.9.1) Der Kunde sollte die Auswirkungen berücksichtigen, die mit der Verwendung von personenbezogenen Daten in Entwicklungs- und Testumgebungen in seiner Organisation verbunden sind.The customer should consider the implications of using personal data in development and testing environments within their organization. Beschreibung, wie bei Microsoft sichergestellt wird, dass personenbezogene Daten in Entwicklungs- und Testumgebungen geschützt sind. How Microsoft ensures that personal data is protected in development and test environments.
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.12.1.4- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see A.12.1.4
- 6.9.1 Trennung von Umgebungen für Entwicklung, Tests und Betrieb im Compliance-Manager- 6.9.1 Separation of development, testing and operational environments in Compliance Manager
5(1)(f)5(1)(f)
Informationssicherung (6.9.2)Information backup (6.9.2) Der Kunde sollte sicherstellen, dass er vom System bereitgestellte Funktionen nutzt, um Redundanzen für seine Daten zu erstellen und je nach Bedarf Tests durchzuführen.The customer should ensure that they use system provided capabilities to create redundancies in their data and test as necessary. Beschreibung, wie bei Microsoft die Verfügbarkeit der Daten sichergestellt wird, in denen personenbezogene Daten enthalten sein können, wie für die Genauigkeit von wiederhergestellten Daten gesorgt wird und welche Tools und Verfahren von den Microsoft-Diensten bereitgestellt werden, um Ihnen das Sichern und Wiederherstellen von Daten zu ermöglichen.How Microsoft ensures the availability of data that may include personal data, how accuracy of restored data is ensured, and the tools and procedures Microsoft services provide to allow you to backup and restore data.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 10.9 Verfügbarkeit- FedRAMP Moderate FedRAMP System Security Plan [3] see 10.9 Availability
- 6.9.2 Informationssicherung im Compliance-Manager- 6.9.2 Information Backup in Compliance Manager
(32)(1)(c), (5)(1)(f)(32)(1)(c), (5)(1)(f)
Ereignisprotokollierung (6.9.3)Event logging (6.9.3) Der Kunde sollte mit den Funktionen für die Protokollierung vertraut sein, die vom System bereitgestellt werden. Er sollte mit diesen Funktionen sicherstellen, dass Aktionen, für die dies erforderlich ist, für personenbezogene Daten protokolliert werden können.The customer should understand the capabilities for logging provided by the system and utilize such capabilities to ensure that they can log actions related to personal data that they deem necessary. Die Daten, die vom Microsoft-Dienst für Sie aufgezeichnet werden, z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse in Bezug auf die Informationssicherheit, und die Vorgehensweise zum Zugreifen auf diese Protokolle zur Verwendung im Rahmen der Aufzeichnungen.The data Microsoft service records for you, including user activities, exceptions, faults and information security events, and how you can access those logs for use as part of your record keeping.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]- Search the audit log in Office 365 Security and Compliance Center [16]
- 6.9.3 Ereignisprotokollierung im Compliance-Manager- 6.9.3 Event logging in Compliance Manager
(5)(1)(f)(5)(1)(f)
Schutz von Protokollinformationen (6.9.4)Protection of log information (6.9.4) Der Kunde sollte die Anforderungen in Bezug auf den Schutz von Protokollinformationen kennen, die ggf. personenbezogene Daten oder Aufzeichnungen zur Verarbeitung von personenbezogenen Daten enthalten. Wenn vom genutzten System Funktionen zum Schützen von Protokollen bereitgestellt werden, sollte der Kunde diese Funktionen verwenden, soweit dies erforderlich ist.The customer should consider requirements for protecting log information that may contain personal data or that may contain records related to personal data processing. Where the system in use provides capabilities to protect logs, the customer should utilize these capabilities where necessary. Beschreibung, wie bei Microsoft Protokolle geschützt werden, die ggf. personenbezogene Daten enthalten.How Microsoft protects logs that may contain personal data.
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]- Search the audit log in Office 365 Security and Compliance Center [16]
- 6.9.4 Schutz von Protokollinformationen im Compliance Manager- 6.9.4 Protection of log information in Compliance Manager
(5)(1)(f)(5)(1)(f)
Informationsübertragung – Richtlinien und Verfahren (6.10.1)Information transfer policies and procedures (6.10.1) Der Kunde sollte über Verfahren für Fälle verfügen, in denen personenbezogene Daten auf physischen Medien übertragen werden (z.B. auf einer Festplatte, die in anderen Servern eingebaut oder in anderen Gebäuden genutzt wird). Hierzu können Protokolle, Autorisierungen und Nachverfolgungen gehören. Wenn Dritte oder andere Verarbeiter physische Medien übertragen, sollte der Kunde sicherstellen, dass diese Organisation über Verfahren verfügt, mit denen die Sicherheit der personenbezogenen Daten gewährleistet wird.The customer should have procedures for cases where personal data may be transferred on physical media (such as a hard drive being moved between servers or facilities). These may include logs, authorizations, and tracking. Where a third-party or other processor may be transferring physical media, the customer should ensure that that organization has procedures in place to ensure security of the personal data. Beschreibung, wie für Microsoft-Dienste physische Medien übertragen werden, die ggf. personenbezogene Daten enthalten, einschließlich der Umstände einer Übertragung, und der getroffenen Maßnahmen zum Schützen der Daten.How Microsoft services transfer physical media that may contain personal data, including the circumstances when transfer might occur, and the protective measures taken to protect the data.
- FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz- FedRAMP Moderate FedRAMP System Security Plan [3] see 13.10 Media Protection (MP)
- 6.10.1 Informationsübertragung – Richtlinien und Verfahren Compliance-Manager- 6.10.1 Information transfer policies and procedures in Compliance Manager
(5)(1)(f)(5)(1)(f)
Vertraulichkeits- bzw. Geheimhaltungsverträge (6.10.2)Confidentiality or non-disclosure agreements (6.10.2) Der Kunde sollte ermitteln, ob Geheimhaltungsverträge oder entsprechende Vereinbarungen für Einzelpersonen, die Zugriff auf personenbezogene Daten haben oder über entsprechende Verantwortlichkeiten verfügen, erforderlich sind.The customer should determine the need for confidentiality agreements or the equivalent for individuals with access to or responsibilities related to personal data. Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass sich Einzelpersonen mit autorisiertem Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet haben.How Microsoft services ensure that individuals with authorized access to personal data have committed themselves to confidentiality.
- SOC 2 Typ 2 Überwachungsbericht [11], siehe CC1.4 ab S. 33- SOC 2 Type 2 Audit Report [11] see CC1.4 pp33
- 6.10.2 Vertraulichkeits- bzw. Geheimhaltungsverträge im Compliance-Manager- Confidentiality or non-disclosure agreements 6.10.2 in Compliance Manager
(5)(1)(f), (28)(3)(b), (38)(5)(5)(1)(f), (28)(3)(b), (38)(5)
Schützen von Anwendungsdiensten in öffentlichen Netzwerken (6.11.1)Securing application services on public networks (6.11.1) Der Kunde sollte mit den Anforderungen in Bezug auf die Verschlüsselung von personenbezogenen Daten vertraut sein, vor allem beim Senden über öffentliche Netzwerke. Wenn vom System Mechanismen zur Verschlüsselung von Daten bereitgestellt werden, sollte der Kunde diese Mechanismen verwenden, soweit dies erforderlich ist.The customer should understand requirements for encryption of personal data, especially when sent over public networks. Where the system provides mechanisms to encrypt data, the customer should utilize those mechanisms where necessary. Beschreibungen der Maßnahmen, die für Microsoft-Dienste unternommen werden, um Daten während der Übertragung zu schützen, einschließlich Verschlüsselung der Daten. Es wird auch beschrieben, wie für Microsoft-Dienste Daten geschützt werden, die ggf. personenbezogene Daten enthalten, wenn diese über öffentliche Datennetzwerke übertragen werden, einschließlich Verschlüsselungsmaßnahmen.Description of the measures Microsoft services take to protect data in transit, including encryption of the data, and how Microsoft services protect data that may contain personal data as it passes through public data networks, including any encryption measures.
- Verschlüsselung in der Microsoft-Cloud [17] siehe Verschlüsselung von Office 365-Kundendaten bei der Übertragung- Encryption in the Microsoft Cloud [17] see Encryption of Office 365 customer data in transit
- 6.11.1 Schützen von Anwendungsdiensten in öffentlichen Netzwerken Compliance-Manager- 6.11.1 Securing application services on public networks in Compliance Manager
(5)(1)(f), (32)(1)(a)(5)(1)(f), (32)(1)(a)
Prinzipien sicherer Systeme (6.11.2)Secure system engineering principles (6.11.2) Der Kunde sollte sich darüber im klaren sein, wie Systeme für den Schutz personenbezogener Daten konzipiert und entwickelt sind.The customer should understand how systems are designed and engineered to consider protection of personal data. Where a customer uses a system engineered by a third-party, it is their responsibility to ensure that such protections have been considered. Wenn ein Kunde ein von einem Drittanbieter entwickeltes System verwendet, liegt es in seiner Verantwortung, sicherzustellen, dass dieser Datenschutz berücksichtigt wurde.The customer should understand how systems are designed and engineered to consider protection of personal data. Where a customer uses a system engineered by a third-party, it is their responsibility to ensure that such protections have been considered. Beschreibung, wie bei Microsoft-Diensten Prinzipien des Schutzes von personenbezogenen Daten ein obligatorischer Teil der Prinzipien für den sicheren Entwurf und die sichere Erstellung sind.How Microsoft services include personal data protection principles as a mandatory part of our secure design/engineering principles.
- SOC 2 Typ 2 Überwachungsbericht [11], siehe Security Development Lifecycle ab. S. 23, CC7.1 ab S. 45.- SOC 2 Type 2 Audit Report [11] see Security Development Lifecycle pp23, CC7.1 pp45 and [What is the Security De
- Sichere System-Engineering-Prinzipien im Compliance-Manager- Secure system engineering principles in Compliance Manager
(25)(1)(25)(1)
Lieferantenbeziehungen (6.12)Supplier Relationships (6.12) Der Kunde sollte sicherstellen, dass alle Anforderungen in Bezug auf die Informationssicherheit und den Schutz von personenbezogenen Daten sowie die hiermit verbundenen Verantwortlichkeiten von Dritten vertraglich festgelegt bzw. Teil anderer Vereinbarungen sind.The customer should ensure that any information security and personal data protection requirements and that are the responsibility of a third-party are addressed in contractual information or other agreements. The agreements should also address the instructions for processing. In den Vereinbarungen sollten außerdem die Anweisungen zur Verarbeitung enthalten sein.The agreements should also address the instructions for processing. Beschreibung, wie für Microsoft-Dienste die Sicherheit und der Datenschutz in den Vereinbarungen mit unseren Lieferanten geregelt ist und wie sichergestellt wird, dass diese Vereinbarungen auf effektive Weise umgesetzt werden. How Microsoft services address security and data protection in our agreements with our suppliers and how we ensure those agreements are effectively implemented.
- Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6]- Who can access your data and on what terms [6]
- Verträge für Verarbeiter als Subunternehmer: Arbeiten als Vertragspartner von Microsoft [7]- Contracts for sub-processors: Contracting with Microsoft [7]
- 6.12 Lieferantenbeziehungen im Compliance-Manager- 6.12 Supplier Relationships in Compliance Manager
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)
Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit (6.13.1)Management of information security incidents and improvements (6.13.1) Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt.The customer should have processes for determining when a personal data breach has occurred. Beschreibung, wie für Microsoft-Dienste ermittelt wird, ob ein Sicherheitsvorfall eine Verletzung Ihrer personenbezogenen Daten darstellt, und wie wir Sie über die Verletzung informieren.How Microsoft services determine if a security incident is a breach of personal data, and how we communicate the breach to you.
- Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9]- Office 365 and Breach Notification Under the GDPR [9]
- 6.13.1 Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit im Compliance-Manager- Management of information security incidents and improvements 6.13.1 in Compliance Manager
(33)(2)(33)(2)
Verantwortlichkeiten und Verfahren (bei Vorfällen zur Informationssicherheit) (6.13.2)Responsibilities and procedures (during information security incidents) (6.13.2) Der Kunde sollte wissen, wofür er bei einer Datenverletzung oder einem Sicherheitsvorfall in Bezug auf personenbezogene Daten verantwortlich ist, und dies entsprechend dokumentieren. Beispiele für Verantwortlichkeiten sind die Benachrichtigung der jeweiligen Parteien, die Kommunikation mit Verarbeitern oder anderen Drittparteien und Verantwortlichkeiten innerhalb der Organisation des Kunden.The customer should understand and document their responsibilities during a data breach or security incident involving personal data. Responsibilities may include notifying required parties, communications with processors or other third-parties, and responsibilities within the customer's organization. Beschreibung, wie Sie Microsoft-Dienste informieren können, wenn Sie einen Sicherheitsvorfall oder eine Verletzung von personenbezogenen Daten erkennen.How to notify Microsoft services if you detect a security incident or breach of personal data
- Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9]- Office 365 and Breach Notification Under the GDPR [9]
- 6.13.2 Verantwortlichkeiten und Verfahren im Compliance-Manager- 6.13.2 Responsibilities and procedures in Compliance Manager
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
Antwort auf Vorfälle zur Informationssicherheit (6.13.3)Response to information security incidents (6.13.3) Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt.The customer should have processes for determining when a personal data breach has occurred. Beschreibungen der Informationen, die von Microsoft-Diensten bereitgestellt werden, damit Sie entscheiden können, ob für personenbezogene Daten eine Verletzung vorliegt. Description of the information Microsoft services provide to help you decide if a breach of personal data has occurred.
- Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9]- Office 365 and Breach Notification Under the GDPR [9]
- 6.13.3 Antwort auf Vorfälle zur Informationssicherheit im Compliance-Manager- 6.13.3 Response to information security incidents in Compliance Manager
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
Schutz von Aufzeichnungen (6.15.1)Protection of records (6.15.1) Der Kunde sollte mit den Anforderungen, die in Bezug auf die für personenbezogene Daten erforderlichen Aufzeichnungen und die damit verbundene Verwaltung gelten, vertraut sein.The customer should understand the requirements for records related to personal data processing that need to be maintained. Beschreibung, wie für Microsoft-Dienste Aufzeichnungen in Bezug auf die Verarbeitung von personenbezogenen Daten gespeichert werden. How Microsoft services store records relating to the processing of personal data
- Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16]- Search the audit log in Office 365 Security and Compliance Center [16]
- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.18.1.3- Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] see A.18.1.3
- Office 365 ISMS Handbuch [14] siehe 9. Leistungsbeurteilung- Office 365 ISMS Manual [14] see 9 Performance evaluation
(5)(2), (24)(2)(5)(2), (24)(2)
Unabhängige Überprüfung der Informationssicherheit (6.15.2)Independent review of information security (6.15.2) Der Kunde sollte sich der Anforderungen an die Bewertung der Sicherheit der Verarbeitung personenbezogener Daten bewusst sein.The customer should be aware of requirements for assessments of the security of personal data processing. Dies kann interne oder externe Audits oder andere Maßnahmen zur Bewertung der Sicherheit der Verarbeitung umfassen.This may include internal or external audits, or other measures for assessing the security of processing. Wenn der Kunde für die gesamte oder einen Teil der Verarbeitung von einer anderen Organisation eines Drittanbieters abhängig ist, sollte er Informationen über diese von ihm durchgeführten Bewertungen sammeln.Where the customer is dependent on another organization of third party for all or part of the processing, they should collect information about such assessments performed by them. Beschreibung, wie für Microsoft-Dienste die Effektivität von technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit getestet und bewertet wird, einschließlich Audits durch Dritte.How Microsoft services test and assesses the effectiveness of technical and organizational measures to ensure the security of processing, including any audits by third parties.
- Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1]- Microsoft Online Services Terms, Data Protection Terms, see Data Security, Auditing Compliance [1]
- Office 365 ISMS Manual [14] siehe 9. Leistungsbeurteilung- Office 365 ISMS Manual [14]see 9 Performance evaluation
- 6.15.2 Unabhängige Überprüfung der Informationssicherheit im Compliance-Manager- 6.15.2 Independent review of information security in Compliance Manager
(32)(1)(d), (32)(2)(32)(1)(d), (32)(2)
Überprüfung der technischen Compliance (6.15.3)Technical compliance review (6.15.3) Der Kunde sollte die Anforderungen an die Prüfung und Bewertung der Sicherheit der Verarbeitung personenbezogener Daten kennen.The customer should understand requirements for testing and evaluating the security of processing personal data. Dies kann technische Prüfungen wie z. B. Penetrationstests umfassen.This may include technical tests such as penetration testing. Wenn der Kunde ein Drittanbietersystem oder einen Unterverarbeiter nutzt, sollte er wissen, welche Verantwortlichkeiten hinsichtlich des Schutzes und des Testens der Sicherheit bestehen (z. B. Verwalten von Konfigurationen zum Schutz von Daten und anschließendes Testen dieser Konfigurationseinstellungen).Where the customer uses a third-party system or processor, they should understand what responsibilities they have for securing and testing the security (e.g. managing configurations to secure data and then testing those configuration settings). Wenn der Drittanbieter ganz oder teilweise für die Sicherheit der Verarbeitung verantwortlich ist, sollte der Kunde wissen, welche Test- oder Evaluierungsmaßnahmen der Drittanbieter durchführt, um die Sicherheit der Verarbeitung zu gewährleisten.Where the third party is responsible for all or part of the security of processing, the customer should understand what testing or evaluation the third party performs to ensure the security of the processing. Beschreibung, wie die Sicherheit von Microsoft-Diensten basierend auf identifizierten Risiken getestet wird, z.B. Tests von Dritten, und welche Arten von technischen Tests und verfügbaren Berichte zu den Tests vorhanden sind.How Microsoft services are tested security based on identified risks, including tests by third parties, and the types of technical tests and any available reports from the tests.
- Microsoft-Onlinedienstbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1]- Microsoft Online Services Terms, Data Protection Terms, see Data Security, Auditing Compliance [1]
- Eine Liste mit externen Zertifizierungen finden Sie unter den Compliance-Angeboten im Microsoft Trust Center [13]- For a listing of external certifications see Microsoft Trust Center Compliance offerings [13]
- Weitere Informationen zu Penetrationstests für Ihre Anwendungen finden Sie im FedRAMP Moderate – FedRAMP-System – Sicherheitsplan (SSP)[3], CA-8 Penetration Testing (M) (H) ab S. 204- For more information about penetration testing your applications see FedRAMP Moderate FedRAMP System Security Plan (SSP) [3], CA-8 Penetration Testing (M) (H) pp204
- 6.15.3 Überprüfung der technischen Compliance im Compliance-Manager- 6.15.3 Technical compliance review in Compliance Manager
(32)(1)(d), (32)(2)(32)(1)(d), (32)(2)
IDID Beschreibung/LinkDescription/Link
1 1 OnlinedienstbedingungenOnline Service Terms
2 2 Dokumentation zur Office 365-SicherheitOffice 365 Security Documentation
3 3 FedRAMP Moderate – FedRAMP-System – Sicherheitsplan (SSP)FedRAMP Moderate FedRAMP System Security Plan (SSP)
4 4 Microsoft Cloud-SicherheitsrichtlinieMicrosoft Cloud Security Policy
5 5 Schutz von Informationen in Office 365 für die DSGVOOffice 365 Information Protection for GDPR
6 6 Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kannWho can access your data and on what terms?
7 7 Verträge für Verarbeiter als Subunternehmer: Arbeiten als Vertragspartner von MicrosoftContracts for sub-processors: Contracting with Microsoft
8 8 Anträge von 365-betroffenen Personen im Rahmen der DSGVO365 Data Subject Requests for GDPR
9 9 Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVOOffice 365 and Breach Notification Under the GDPR
10 10 Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf KundendatenKey Information from Office 365 for Customer Data Protection Impact Assessments
11 11 SOC 2 Typ 2 ÜberwachungsberichtSOC 2 Type 2 Audit Report
12 12 Microsoft Office 365 ISO/IEC 27001:2013 ISMS Erklärung zur Anwendbarkeit (SOA)Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability
13 13 Microsoft Trust Center – ComplianceangeboteMicrosoft Trust Center Compliance offerings
14 14 Office 365 ISMS-HandbuchOffice 365 ISMS Manual
15 15 Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-AnwendungenUse Tenant Restrictions to manage access to SaaS cloud applications
16 16 Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance CenterSearch the audit log in Office 365 Security and Compliance Center
17 17 Verschlüsselung in der Microsoft-CloudEncryption in the Microsoft Cloud
18 18 Datenschutzbeauftragter von MicrosoftMicrosoft’s Data Protection Officer

Weitere InformationenLearn more