Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Dynamics 365 verwenden

Gemäß der EU-Datenschutzgrundverordnung (DSGVO) müssen Datenverantwortliche eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für Verarbeitungsvorgänge durchführen, die ‚voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben‘. Dynamics 365 enthält nichts, was die Erstellung einer DPIA durch einen Datenverantwortlichen erfordern würde, der es verwendet. Ob eine DPIA erforderlich ist, hängt vielmehr von den Details und dem Kontext ab, wie der Datenverantwortliche Dynamics 365 bereitstellt, konfiguriert und verwendet. In jedem Fall sollte eine DPIA frühzeitig im Leben eines Projekts beginnen und parallel zum Planungs- und Entwicklungsprozess ausgeführt werden.

Dieses Dokument soll den Datenverantwortlichen Informationen über Dynamics 365 bereitstellen, die ihnen helfen, zu bestimmen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und wenn ja, welche Informationen sie enthalten soll.

Hinweis

Microsoft stellt in diesem Artikel keine Rechtsberatungen bereit. Dieser Artikel dient ausschließlich zu Informationszwecken. Kunden sind dazu angehalten, mit Ihren Datenschutzbeauftragten (Data Protection Officer, DPO) und/oder ihrem Rechtsbeistand bzw. ihren Rechtsberatern zu arbeiten, um die Notwendigkeit und Inhalte aller DPIAs zu ermitteln, die mit der Verwendung von Microsoft Azure oder einem anderen Microsoft-Onlinedienst verbunden sind.

Teil 1: Ermitteln, ob eine Bewertung der Auswirkungen auf den Datenschutz (DPIA) erforderlich ist

Artikel 35 der DSGVO legt fest, dass ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen muss, „wenn die Verarbeitung insbesondere bei Einsatz neuer Technologien und unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.“ Darüber hinaus werden bestimmte Faktoren aufgeführt, die auf ein derart hohes Risiko hinweisen würden, die in der folgenden Tabelle erläutert werden: Bei der Feststellung, ob ein DPIA erforderlich ist, sollte ein Datenverantwortlicher diese Faktoren zusammen mit anderen relevanten Faktoren angesichts seiner spezifischen Implementierung(en) und Verwendung(en) von Dynamics 365.

Risikofaktor Wichtige Informationen zu Dynamics 365
Eine systematische und umfassende Bewertung von personenbezogenen Aspekten in Bezug auf natürliche Personen, die auf der automatisierten Datenverarbeitung, z. B. Profiling, basiert und die selbst als Grundlage von Entscheidungen dient, die rechtliche Folgen für die natürliche Person haben oder sie auf ähnliche bedeutende Weise betreffen; Dynamics 365 führt bestimmte automatisierte Vorgänge der Datenverarbeitung durch, wie etwa Lead- oder Chancenbewertung (z. B. Vorhersage, wie wahrscheinlich ein Verkauf ist). Aber das Produkt ist nicht dafür vorgesehen, eine Verarbeitung vorzunehmen, auf der Entscheidungen basieren, die rechtliche oder ähnliche Auswirkungen auf Einzelpersonen haben.

Da Dynamics 365 jedoch ein in hohem Maße anpassbarer Dienst ist, könnte ein Datenverantwortlicher es potenziell konfigurieren, um es für eine solche Verarbeitung einzusetzen, wie etwa die Bewertung für Personalentscheidungen oder Kreditanträge.
Die umfassende Verarbeitung1 von Daten besonderer Kategorien (personenbezogene Daten, welche die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen; Dynamics 365 ist nicht dafür vorgesehen, besondere Kategorien personenbezogener Daten zu verarbeiten.

Ein Datenverantwortlicher könnte jedoch Dynamics 365 verwenden, um die aufgezählten speziellen Datenkategorien zu verarbeiten. Beispielsweise bietet Dynamics 365 Vorlagen für die Gesundheitsbranche, mit denen personenbezogene Daten im Zusammenhang mit einem Gesundheitszustand verarbeitet werden können. Außerdem ist Dynamics 365 ein hochgradig anpassbarer Dienst, der es dem Kunden ermöglicht, jede Art von personenbezogenen Daten zu verfolgen oder anderweitig zu verarbeiten, einschließlich spezieller Kategorien von personenbezogenen Daten. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Nutzung und hat in der Regel wenig oder gar keinen Einblick in diese Nutzung.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang Dynamics 365 dient nicht der Durchführung oder Ermöglichung einer solchen Überwachung.

Jedoch kann ein Datenverantwortlicher es verwenden, um die durch eine solche Überwachung gesammelten Daten zu verarbeiten.

Hinweis

1 In Bezug auf die Kriterien, nach denen die Verarbeitung in großem Umfang erfolgen muss, stellt der 91 Artikel der DSGVO Folgendes fest: "Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder Kunden durch einen einzelnen Arzt, einen anderen Gesundheitsexperten oder einen Patienten betrifft. In solchen Fällen sollte eine Datenschutz-Folgenabschätzung nicht obligatorisch sein."

Teil 2: Inhalte einer DPIA

Artikel 35(7) legt fest, dass eine Datenschutz-Folgenabschätzung die Zwecke der Verarbeitung und eine systematische Beschreibung der angestrebten Verarbeitung enthalten muss. Eine systematische Beschreibung einer vollständigen DPIA könnte Faktoren wie die Art der verarbeiteten Daten, die Speicherdauer der Daten, den Ort und das Übermittlungsziels der Daten und Informationen darüber, welche Dritten Zugriff auf die Daten haben könnten, enthalten. Außerdem muss die DPIA folgendes beinhalten:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;
  • eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen
  • die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.

Die folgende Tabelle enthält Informationen zu Dynamics 365, die für jedes dieser Elemente relevant sind. Wie in Teil 1 müssen Datenverantwortliche die unten angegebenen Details zusammen mit anderen relevanten Faktoren im Kontext der spezifischen Implementierung(en) und Verwendung(en) von Dynamics 365 durch den Verantwortlichen berücksichtigen.

Elemente einer DPIA Wichtige Informationen zu Dynamics 365
Zweck(e) der Verarbeitung Der/die Zweck/e der Verarbeitung von Daten mithilfe von Dynamics 365 wird durch den Datenverantwortlichen bestimmt, der sie implementiert, konfiguriert und verwendet.

Dynamics 365 ist eine Online-Plattform für die Verarbeitung, die aus mehreren getrennten Onlinediensten besteht, die jeweils einen genauen Verarbeitungszweck verfolgen. Unten finden Sie die Arten der Dienste, die Dynamics 365 anbietet:

Der Kundenbindung liegt ein Dienst des Kundenbeziehungsmanagements zugrunde. Er umfasst die folgenden Onlinedienste: Dynamics 365 for Sales, Dynamics 365 for Marketing, Dynamics 365 for Customer Service, Dynamics 365 for Project Service und Dynamics 365 for Field Service.

Dynamics 365 for Finance and Operations, Enterprise Edition (D365FOEE) ist eine Planning Suite für Ressourcen von Unternehmen, die als Software as a Service (SaaS) angeboten wird und hauptsächlich dem Kundenmanagement des Vertriebs, des Service, der Finanz- und operativen Abteilung, der Herstellung und dem Personalwesen von Unternehmen bereitgestellt werden.

Dynamics 365 for Retail (D365FR) wird als Software as a Service (SaaS) mit integrierten lokalen Point-of-Sale-Lösungen für Einzelhändler und Händler angeboten.

Dynamics 365 Lifecycle Services (LCS) ist ein zusätzlicher Onlinedienst, der hauptsächlich von Unternehmenskunden bei der Bereitstellung, Verwaltung und Wartung der D365FOEE- und D365FR-Implementierungen des Kunden verwendet wird.

Dynamics 365 for Business Central ist ein Angebot zur Planung von Unternehmensressourcen, das von Microsoft als Software as a Service (SaaS) für kleine und mittelständische Unternehmen angeboten wird. Der Dienst verarbeitet personenbezogene Daten, um die Bereiche Finanzwesen, Herstellung, Kundenbeziehungsmanagement, Lieferkette, Analysen und elektronischer Handel zu unterstützen.

Dynamics 365 for Talent wird als Software als Service (SaaS) angeboten und bietet Kunden die Verwaltung des Personals und besteht aus den folgenden Diensten:

Core HR – Ein Dienst zur Beschleunigung von Buchführungsaufgaben und zur Automatisierung von Prozessen im Zusammenhang mit der Personalbesetzung eines Unternehmens. Diese Prozesse umfassen Mitarbeiterbindung, Verwaltung von Vorteilen, Vergütung, Schulung, Leistungsbeurteilungen und Änderungsmanagement.

Attract – Ein Dienst, mit dem Sie Mitarbeiter finden, mit ihnen ein Vorstellungsgespräch führen und diese dann einstellen können.
Onboarding – ein Dienst, um neu eingestellten Mitarbeitern bei der Einarbeitung zu helfen *.

Microsoft Social Engagement (MSE) ist ein ergänzender Dienst von Dynamics 365, der Unternehmenskunden angeboten wird, um (i) die Verarbeitung von öffentlichen Posts in sozialen Medien und von betroffenen Personen gepostete personenbezogene Daten in einer begrenzten Anzahl von sozialen Medien zu verarbeiten, um diese zu analysieren und Themen von Interesse (z. B. Trends) zu ermitteln sowie um die Präsenz des Unternehmens oder der Institution in diese virtuellen Umgebungen zu steuern (z. B. Fanseiten), darunter auch die Veröffentlichung von Inhalten in bestimmten sozialen Medien (zuhören); und (iii) direkt über private Kommunikation in sozialen Medien mit den betroffenen Personen in Kontakt zu stehen (befassen).

In seiner Funktion als Verarbeiter verarbeitet Dynamics 365 im Rahmen der oben aufgeführten Dienste personenbezogene Daten nur, um Kunden die Onlinedienste wie beschrieben bereitzustellen, einschließlich der Zwecke, die mit der Bereitstellung dieser Dienste vereinbar sind, wie etwa die Personalisierung, Sicherheit, Betrugs- und Schadsoftwareprävention, Problembehandlung und Verbesserung.

Wie in den Microsoft Online Services-Nutzungsbedingungen und dem Nachtrag zum Datenschutz angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten, um Kunden die Onlinedienste entsprechend ihren dokumentierten Anweisungen bereitzustellen.

Wie in den standardmäßigen Microsoft Online Services-Nutzungsbedingungen und dem Nachtrag zum Datenschutz beschrieben, verwendet Microsoft personenbezogene Daten auch zur Unterstützung eines begrenzten Satzes von legitimen Geschäftsvorgängen, bestehend aus: (1) Rechnungsstellung und Kontoführung; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstellung und Modellierung (z. B. Prognosen, Einnahmen, Kapazitätsplanung, Produktstrategie); (4) Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen können; (5) Verbesserung der Kernfunktionalität der Barrierefreiheit, des Datenschutzes oder der Energieeffizienz; und (6) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der in den Onlinenutzungsbedingungen dargelegten Beschränkungen der Offenlegung von Kundendaten).

Microsoft ist für die Verarbeitung personenbezogener Daten verantwortlich, um diese spezifischen legitimen Geschäftsvorgänge zu unterstützen. Im allgemeinen aggregiert Microsoft personenbezogene Daten, bevor diese für unsere legitimen Geschäftsvorgänge verwendet werden, wobei die Möglichkeit zur Identifizierung bestimmter Personen durch Microsoft entfernt wird. Die personenbezogenen Daten werden in der am wenigsten identifizierbaren Form verwendet, die die für legitime Geschäftsvorgänge erforderliche Verarbeitung unterstützt.

Microsoft verwendet Kundendaten oder daraus abgeleitete Informationen nicht für Profilerstellungs- oder Werbezwecke oder ähnliche kommerzielle Zwecke.
Kategorien verarbeiteter personenbezogener Daten Kundendaten: Dies sind alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die Kunden Microsoft zur Verfügung stellen oder die im Namen der Kunden durch die Nutzung von Microsoft-Onlinediensten bereitgestellt werden. Darunter fallen auch Daten, die Kunden zum Speichern oder zur Verarbeitung hochladen, sowie auch Anpassungen. Beispiele für in Office 365 verarbeitete Kundendaten umfassen E-Mail-Inhalte in Exchange Online sowie Dokumente oder Dateien, die in SharePoint Online oder OneDrive für Unternehmen gespeichert sind.

Vom Dienst generierte Daten: Hierbei handelt es sich um Daten, die von Microsoft durch den Betrieb des Dienstes generiert oder abgeleitet werden, z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten von Microsoft generierte pseudonyme Bezeichner.

Unterstützungsdaten – Hierbei handelt es sich um Daten, die Microsoft vom oder im Auftrag des Kunden (oder der Kunde autorisiert Microsoft, diese von einem Onlinedienst zu beziehen) im Rahmen einer Vereinbarung mit Microsoft, um technischen Support für Onlinedienste zu erhalten.

Kundendaten, vom System generierte Protokolldaten und Unterstützungsdaten umfassen keine Administrator- und Abrechnungsdaten, z. B. Kontaktinformationen für den Kundenadministrator, Abonnementinformationen und Zahlungsdaten, die Microsoft in seiner Rolle als Datenverantwortlicher erfasst und verarbeitet und die nicht im Umfang dieses Dokuments enthalten sind.
Datenaufbewahrung Microsoft speichert und Kundendaten während der Kunde das Recht hat, den Dienst zu nutzen und bis alle Kundendaten vom Kunden gelöscht oder zurückgegeben wurden gemäß den Anweisungen des Kunden oder den Bedingungen der OST. Während der Laufzeit des Abonnements hat der Kunde zu jedem Zeitpunkt Zugriff auf die Kundendaten, die im Dienst gespeichert sind, und kann diese extrahieren. Microsoft speichert Kundendaten, die in den Onlinediensten gespeichert sind, 90 Tage nach Ablauf oder Kündigung des Abonnements des Kunden auf einem eingeschränkten Konto, sodass der Kunde die Daten extrahieren kann. Nach der 90-tägigen Speicherfrist deaktiviert Microsoft das Kundenkonto und löscht die Kundendaten.

Der Kunde kann Kundendaten und pseudonymisierte Daten jederzeit mithilfe der im Leitfaden zu Rechten betroffener Personen beschriebenen Funktionen löschen.
Speicherort und Übermittlung personenbezogener Daten Wenn Kunden ihre Instanz von Dynamics 365 Core Services in Australien, Kanada, der Europäischen Union, Indien, Japan, dem Vereinigten Königreich oder den Vereinigte Staaten bereitstellt, speichert Microsoft inaktive Kundendaten innerhalb der jeweiligen geografischen Region, ausgenommen in einigen Ausnahmen, die in den Onlinedienstbedingungen aufgeführt sind. Genauere Informationen zur Speicherung der Kundendaten finden Sie im Trust Center.

Für personenbezogene Daten aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation den entsprechenden Bestimmungen gemäß Artikel 46 der DSGVO unterliegt. Zusätzlich zu Microsofts Verpflichtungen unter den Standardvertragsklauseln für Auftragsverarbeiter und anderen Musterverträgen hält sich Microsoft weiterhin an die Bedingungen des EU-US-Datenschutzschild-Frameworks, wird sich aber nicht mehr darauf als Grundlage für die Übermittlung personenbezogener Daten aus der EU/dem EWR in die Vereinigten Staaten stützen.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck Eine solche Bewertung hängt davon ab, ob und wozu der Datenverantwortliche die Datenverarbeitung einsetzen möchte.

In seiner Funktion als Datenverarbeiter bietet Microsoft D365 an, um personenbezogene Daten ausschließlich zu verarbeiten, um Kunden die Onlinedienste bereitzustellen, darunter die Zwecke, die der Bereitstellung dieser Dienste entsprechen, wie etwa die Personalisierung für den Kunden, Sicherheit, Betrugs- und Schadsoftwareprävention. Microsoft verarbeitet Daten im Namen des Kunden (Mandanten) wie erforderlich, um die angefragten Dienste gemäß unseren Onlinedienstbedingungen bereitzustellen, die Sie hier finden: https://microsoft.com/licensing/contracts.
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen Die wichtigsten Risiken für die Rechte und Freiheiten der betroffenen Personen durch die Nutzung von Dynamics 365 hängen davon ab, wie und in welchem Kontext der Datenverantwortliche es einsetzt, konfiguriert und verwendet.

Microsoft ergreift Maßnahmen wie die Anonymisierung oder Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung legitimer Geschäftsvorgänge zur Unterstützung der Bereitstellung der Dienste verwendet werden, und minimiert dadurch das Risiko einer solchen Verarbeitung für betroffene Personen, die den Dienst nutzen.

Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft ergreift, um solche Risiken zu steuern, werden weiter unten genauer erläutert.
Teilen von Daten mit Dritten Microsoft teilt die Daten mit Dritten, die als unsere Unterauftragsverarbeiter tätig sind, um Funktionen wie den Kunden- und den technischen Support, Dienstwartung und sonstige Abläufe zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Kundendaten, Unterstützungsdaten oder persönliche Daten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die das gleiche Schutzniveau bieten wie die Datenschutzbedingungen der Onlinedienstbedingungen. Alle dritten Unterauftragsverarbeiter, mit denen Kundendaten oder Unterstützungsdaten geteilt werden, sind in der Liste der Unterauftragnehmer für Onlinedienste zu finden. Alle dritten Unterauftragsverarbeiter, die auf Unterstützungsdaten zugreifen können (einschließlich Kundendaten, die Kunden während der Interaktionen mit dem Support freigeben), sind in der Liste der kommerziellen Supportanbieter von Microsoft enthalten.
Rechte betroffener Personen In unserer Rolle als Datenverarbeiter stellt Microsoft dem Kunden (dem Datenverantwortlichen) die personenbezogenen Daten der betroffenen Personen zur Verfügung und bietet die Möglichkeit, Anträgen betroffener Personen nachzukommen, wenn diese von ihren Rechten im Rahmen der DSGVO Gebrauch machen. Wir tun dies in Übereinstimmung mit der Funktionalität des Produkts und unserer Rolle als Datenverarbeiter. Wenn wir einen Antrag einer betroffenen Person des Kunden erhalten, die von einem oder mehreren ihrer Rechte Gebrauch machen möchte, bitten wir die betroffene Person, ihren Antrag direkt an den Datenverantwortlichen zu stellen. „Dynamics 365 – Anträge betroffener Personen gemäß DSGVO und CCPA“ enthält eine Beschreibung für den Datencontroller zur Unterstützung der Rechte betroffener Personen mithilfe der Funktionen in Dynamics 365.

Anfragen von betroffenen Personen, die Rechte gemäß der DSGVO ausüben, nach personenbezogenen Daten, die zur Unterstützung der legitimen Geschäftsprozesse verarbeitet werden, sind an Microsoft zu richten, wie in den Microsoft-Datenschutzbestimmungen erläutert.

Microsoft fasst personenbezogene Daten in der Regel zusammen, bevor sie für die legitimen Geschäftsvorgänge verwendet werden, und ist nicht in der Lage, in dem Aggregat personenbezogene Daten für eine bestimmte Person zu identifizieren. Dies reduziert das Datenschutzrisiko für den Einzelnen erheblich. Wenn Microsoft nicht in der Lage ist, die Person zu identifizieren, kann es die Rechte der betroffenen Person auf Zugriff, Löschung, Übertragbarkeit oder die Einschränkung oder Ablehnung der Verarbeitung nicht unterstützen.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden Microsoft hat eine Verpflichtung zum Schutz von Kundendaten. Gemäß Artikel 32 der DSGVO hat Microsoft technische und organisatorische Maßnahmen eingeführt und erhält und befolgt diese zum Schutz der Kundendaten und Unterstützungsdaten gegen unbeabsichtigte/n, nicht autorisierte/n oder rechtswidrige/n Zugriff, Offenlegung, Abänderung, Verlust oder Zerstörung.

Eine detaillierte Liste der von Microsoft verwalteten Kontrollen (technische und geschäftliche Prozesskontrollen) für den von Dynamics 365 implementierten Schutz finden Sie imService Trust Portal. Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung.

Wenn Microsoft personenbezogene Daten für seinen legitimen Geschäftsbetrieb verarbeitet, erfüllt es die GDPR-Verpflichtungen, die für Datenverantwortliche gelten.

Weitere Informationen