Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwendenData Protection Impact Assessments: Guidance for Data Controllers Using Microsoft Office 365

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Datenverantwortliche eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für die Verarbeitung von Vorgängen vorbereiten, die „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehen“. Es gibt in Microsoft Office 365 keine inhärenten Merkmale, die die Erstellung einer Datenschutz-Folgenabschätzung durch einen Datenverantwortlichen, der diese Programme verwendet, erfordern würden. Ob eine Datenschutz-Folgenabschätzung erforderlich ist, hängt vielmehr von den jeweiligen Daten ab und davon, wie der Datenverantwortliche Office 365 bereitstellt, konfiguriert und verwendet.Under the General Data Protection Regulation (GDPR), data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are “likely to result in a high risk to the rights and freedoms of natural persons.” There is nothing inherent in Microsoft Office 365 that would necessarily require the creation of a DPIA by a data controller using it. Rather, whether a DPIA is required will be dependent on the details and context of how the data controller deploys, configures, and uses Office 365.

Dieses Dokument soll den Datenverantwortlichen Informationen über Office 365 bereitstellen, die ihnen helfen, zu bestimmen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und wenn ja, welche Informationen sie enthalten soll. Es gilt für Office 365-Anwendungen und Dienste, einschließlich, jedoch nicht beschränkt auf Exchange Online, SharePoint Online, OneDrive for Business, Yammer, Skype for Business und Power BI. (Siehe beispielsweise Tabelle 1 und 2 des Leitfadens für die Office 365-Anforderungen betroffener Personen für die DSGVO.)The purpose of this document is to provide data controllers with information about Office 365 that will help them to determine whether a DPIA is needed and if so, what details to include. It applies to Office 365 applications and services, including but not limited to Exchange Online, SharePoint Online, OneDrive for Business, Yammer, Skype for Business, and Power BI. (See, for example, Tables 1 and 2 of the Office 365 Data Subject Request Guide.)

Teil 1 – Bestimmen, ob eine DPIA erforderlich istPart 1 – Determining Whether a DPIA is Needed

Artikel 35 der DSGVO legt fest, dass ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung erstellen muss, „wenn die Verarbeitung insbesondere bei Einsatz neuer Technologien und unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.“ Außerdem beschreibt er bestimmte Faktoren, die auf ein solches hohes Risiko hindeuten würden, die in der folgenden Tabelle untersucht werden. Beim Ermitteln, ob eine DPIA notwendig ist, sollte ein Datenverantwortlicher diese Faktoren angesichts seiner spezifischen Implementierung(en) und der Verwendung(en) von Office 365 berücksichtigen.Article 35 of the GDPR requires a data controller to create a Data Protection Impact Assessment “[w]here a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons.” It further sets out particular factors that would indicate such a high risk, which are discussed in the following table. In determining whether a DPIA is needed, a data controller should consider these factors, along with any other relevant factors, in light of the controller’s specific implementation(s) and use(s) of Office 365.

RisikofaktorRisk Factor Wichtige Informationen zu Office 365Relevant Information about Office 365
Eine systematische und umfassende Bewertung von personenbezogenen Aspekten in Bezug auf natürliche Personen, die auf der automatisierten Datenverarbeitung, z. B. Profiling, basiert und die selbst als Grundlage von Entscheidungen dient, die rechtliche Folgen für die natürliche Person haben oder sie auf ähnliche bedeutende Weise betreffenA systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person Je nach der Konfiguration des Datenverantwortlichen stellt Office 365 Funktionen bereit, um bestimmte Vorgänge der Datenverarbeitung automatisiert durchzuführen, z. B. die von Workplace Analytics durchgeführten Analysen, über die der Datenverantwortliche anhand von Kopfzeileninformationen von E-Mails und Kalendern aus den Postfächern von Benutzern Einblicke gewinnen kann, wie Personen innerhalb einer Organisation zusammenarbeiten.Depending upon the data controller’s configuration, Office 365 may perform certain automated processing of data, such as the analysis performed by Workplace Analytics that allows the data controller to derive insights on how people collaborate within an organization based on email and calendar header information from user’s mailboxes.

Office 365 ist nicht dazu bestimmt, eine automatisierte Verarbeitung durchzuführen, auf deren Grundlage Entscheidungen getroffen werden, die rechtliche oder ähnlich bedeutende Auswirkungen auf natürliche Personen haben.Office 365 is not designed to perform automated processing as the basis for decisions that produce legal or similarly significant effects on individuals. However, because Office 365 is a highly-customizable service, a data controller could potentially use it for such processing. Da Office 365 jedoch ein hochgradig anpassbarer Dienst ist, kann er von einem Datenverantwortlichen potenziell zu einer solchen Verarbeitung verwendet werden.However, because Office 365 is a highly customizable service, a data controller could potentially use it for such processing.
Die umfassende Verarbeitung1 von Daten besonderer Kategorien (personenbezogene Daten, welche die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher VerurteilungenProcessing on a large scale of special categories of data (personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation), or of personal data relating to criminal convictions and offences. Office 365 ist nicht speziell dafür vorgesehen, besondere Kategorien personenbezogener Daten zu verarbeiten.Office 365 is not specifically designed to process special categories of personal data.

Ein Datenverantwortlicher könnte jedoch Office 365 verwenden, um die aufgezählten speziellen Datenkategorien zu verarbeiten.However, a data controller could use Office 365 to process the enumerated special categories of data. Office 365 ein hochgradig anpassbarer Dienst, der es dem Kunden ermöglicht, jede Art von personenbezogenen Daten zu verfolgen oder anderweitig zu verarbeiten, einschließlich spezieller Kategorien von personenbezogenen Daten.Office 365 is a highly customizable service that enables the customer to track or otherwise process any type of personal data, including special categories of personal data. Eine solche Verwendung ist für die Einschätzung eines Datenverantwortlichen relevant, ob ein DPIA erforderlich ist.Any such use is relevant to a controller’s determination of whether a DPIA is needed. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Nutzung und hat in der Regel wenig oder gar keinen Einblick in diese Nutzung.But as the data processor, Microsoft has no control over such use and typically would have little or no insight into such use.
Die umfassende* Verarbeitung von Daten besonderer Kategorien (personenbezogene Daten, die die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen.Processing on a large scale* of special categories of data (personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation), or of personal data relating to criminal convictions and offences Office 365 ist nicht speziell dafür vorgesehen, besondere Kategorien personenbezogener Daten zu verarbeiten.Office 365 is not specifically designed to process special categories of personal data.

Ein Datenverantwortlicher könnte jedoch Office 365 verwenden, um die aufgezählten speziellen Datenkategorien zu verarbeiten.However, a data controller could use Office 365 to process the enumerated special categories of data. Office 365 ein hochgradig anpassbarer Dienst, der es dem Kunden ermöglicht, jede Art von personenbezogenen Daten zu verfolgen oder anderweitig zu verarbeiten, einschließlich spezieller Kategorien von personenbezogenen Daten.Office 365 is a highly customizable service that enables the customer to track or otherwise process any type of personal data, including special categories of personal data. Eine solche Verwendung ist für die Einschätzung eines Datenverantwortlichen relevant, ob ein DPIA erforderlich ist.Any such use is relevant to a controller’s determination of whether a DPIA is needed. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Nutzung und hat in der Regel wenig oder gar keinen Einblick in diese Nutzung.But as the data processor, Microsoft has no control over such use and typically would have little or no insight into such use.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem UmfangA systematic monitoring of a publicly accessible area on a large scale Office 365 wurde nicht konzipiert, um eine solche Überwachung durchzuführen oder zu ermöglichen.Office 365 is not designed to conduct or facilitate such monitoring.

Jedoch kann ein Datenverantwortlicher es verwenden, um die durch eine solche Überwachung gesammelten Daten zu verarbeiten.However, a data controller could use it to process data collected through such monitoring.

Hinweis

1 Bezüglich der Kriterien der umfassenden Verarbeitung von Daten wird in Absatz 91 der DSGVO Folgendes klar gestellt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.[*] With respect to the criteria that the processing be on a “large scale,” Recital 91 of the GDPR clarifies that: “The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“In such cases, a data protection impact assessment should not be mandatory.”

Teil 2 – Inhalte einer DPIAPart 2 – Contents of a DPIA

Artikel 35 Absatz 7 schreibt vor, dass eine Bewertung der Auswirkungen auf den Datenschutz die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Verarbeitung beschreibt.Article 35(7) mandates that a Data Protection Impact Assessment specifies the purposes of processing and a systematic description of the envisioned processing. In Microsofts DPIAs beinhaltet eine solche systematische Beschreibung Faktoren wie die Art der verarbeiteten Daten, die Dauer der Datenspeicherung, den Ort der Datenspeicherung und -übertragung und die Möglichkeit des Zugriffs Dritter auf die Daten.Article 35(7) mandates that a Data Protection Impact Assessment specify the purposes of processing and a systematic description of the envisioned processing. In Microsoft’s DPIAs, such systematic description includes factors such as the types of data processed, how long data is retained, where the data is located and transferred, and what third parties may have access to the data. In addition, the DPIA must include: Außerdem muss die DPIA Folgendes umfassen:In addition, the DPIA must include:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
  • eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personenan assessment of the risks to the rights and freedoms of natural persons; and
  • die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

Die nachstehende Tabelle enthält wichtige Informationen von Microsoft, die beim Entwurf Ihrer Datenschutz-Folgenabschätzung behilflich sein können. Sie enthält Informationen zu Office 365, die für die einzelnen erforderlichen Elemente einer DPIA relevant sind. Wie in Teil 1 müssen Datenverantwortliche die folgenden Details sowie die Einzelheiten ihrer eigenen spezifischen Implementierung(en) und Verwendung(en) von Office 365 berücksichtigen.The table below provides key information from Microsoft that can help with your DPIA drafting. It contains information about Office 365 that is relevant to each of the required elements of a DPIA. As in Part 1, data controllers must consider the details provided below, along with the details of its own specific implementation(s) and use(s) of Office 365.

RisikofaktorenRisk Factors Relevante Informationen zu Office 365Relevant Information About Office 365
Zweck(e) der VerarbeitungPurpose(s) of processing Die Zwecke der Verarbeitung von Daten mithilfe von Office 365 werden vom Datenverantwortlichen bestimmt, der die Anwendung implementiert, konfiguriert und verwendet.The purpose(s) of processing data using Office 365 is determined by the controller that implements, configures, and uses it.

Wie in den Onlinedienstbedingungen angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten nur, um die angefragten Dienste für unsere Kunden, die Datenverantwortlichen, bereitzustellen, und nur zu Zwecken, die im Einklang mit der Bereitstellung dieser Dienste stehen.As specified by the Online Services Terms, Microsoft, as a data processor, processes Customer Data only to provide the requested services to our customer, the data controller, including purposes compatible with providing those services. Microsoft will not use Customer Data or information derived from it for any advertising or similar commercial purposes.
Kategorien verarbeiteter personenbezogener DatenCategories of personal data processed Kundendaten: dabei handelt es sich um alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft von Kunden bereitgestellt werden oder die im Auftrag von Kunden durch deren Verwendung der Microsoft-Onlinedienste bereitgestellt wird.This is all data, including text, sound, video, or image files and software, that customers provide to Microsoft or that is provided on customers’ behalf through their use of Microsoft online services. It includes data that customers upload for storage or processing, as well as customizations. Examples of Customer Data processed in Office 365 include email content in Exchange Online, and documents or files stored in SharePoint Online or OneDrive for Business. Darunter fallen auch Daten, die Kunden zum Speichern oder zur Verarbeitung hochladen, sowie auch Anpassungen.It includes data that customers upload for storage or processing, as well as customizations. Beispiele für in Office 365 verarbeitete Kundendaten umfassen E-Mail-Inhalte in Exchange Online sowie Dokumente oder Dateien, die in SharePoint Online oder OneDrive für Unternehmen gespeichert sind.Examples of Customer Data processed in Office 365 include email content in Exchange Online, and documents or files stored in SharePoint Online or OneDrive for Business.

Vom System generierte Protokolldaten: Dies sind die Daten, die Microsoft zum Ausführen des Diensts generiert, z. b. Nutzungs- oder Leistungsdaten.This is data that Microsoft generates to run the service, such as use or performance data. Most of these data contain pseudonymous identifiers generated by Microsoft. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden.Most of these data contain pseudonymous identifiers generated by Microsoft.

Unterstützungsdaten: Diese Daten sind von oder im Namen der Kunden an Microsoft bereitgestellt (oder der Kunde autorisiert Microsoft, diese von einem Onlinedienst zu erhalten) durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten.Support Data - This is data provided to Microsoft by or on behalf of Customer (or that Customer authorizes Microsoft to obtain from an Online Service) through an engagement with Microsoft to obtain technical support for Online Services.

Kundendaten, vom System generierte Protokolldaten und Unterstützungsdaten umfassen keine Administrator- und Abrechnungsdaten, z. B. Kontaktinformationen für den Kundenadministrator, Abonnementinformationen und Zahlungsdaten, die Microsoft in seiner Rolle als Datenverantwortlicher erfasst und verarbeitet und die nicht im Umfang dieses Dokuments enthalten sind.Customer Data, System-generated Log Data, and Support Data do not include administrator and billing data, such as customer administrator contact information, subscription information, and payment data, which Microsoft collects and processes in its capacity as a data controller and which is outside the scope of this document.
DatenaufbewahrungData retention Kundendaten: Wie in den Datenschutzbedingungen der Onlinedienstbedingungen dargelegt, speichert Microsoft Kundendaten für die Dauer der Nutzung des Diensts durch den Kunden und bis zu dem Zeitpunkt, an dem alle Kundendaten gelöscht oder gemäß den Kundenanweisungen oder den Onlinedienstbedingungen zurückgegeben wurden.As set out in the Data Protection Terms in the Online Services Terms, Microsoft will retain Customer Data for the duration of the customer’s right to use the service and until all Customer Data is deleted or returned in accordance with the customer’s instructions or the terms of the Online Services Terms.

Während der Laufzeit des Abonnements hat der Kunde zu jedem Zeitpunkt Zugriff auf die Kundendaten, die in dem Dienst gespeichert sind, und kann diese extrahieren und löschen, wobei in manchen Fällen eine bestimmte Produktfunktionalität zum Tragen kommt, die das Risiko eines versehentlichen Löschens minimieren soll (z. B. den Exchange-Ordner für wiederhergestellte Elemente). Dies ist in der Produktdokumentation im Detail beschrieben.At all times during the term of the customer’s subscription, the customer will have the ability to access, extract, and delete Customer Data stored in the service, subject in some cases to specific product functionality intended to mitigate the risk of inadvertent deletion (e.g., Exchange recovered items folder), as further described in product documentation.

Mit Ausnahme von kostenlosen Testversionen und LinkedIn-Diensten speichert Microsoft Kundendaten, die in den Onlinediensten gespeichert sind, 90 Tage nach Ablauf oder Kündigung des Abonnements des Kunden auf einem eingeschränkten Konto, sodass der Kunde die Daten extrahieren kann. Nach der 90-tägigen Speicherfrist deaktiviert Microsoft das Kundenkonto und löscht die Kundendaten. Der Kunde kann personenbezogene Daten mithilfe einer Anforderung betroffener Personen löschen, wie in der DSGVO-Dokumentation zu Anforderungen betroffener Personen an Azure aufgeführt. Except for free trials and LinkedIn services, Microsoft will retain Customer Data stored in the Online Service in a limited function account for 90 days after expiration or termination of the customer’s subscription so that the customer may extract the data. After the 90-day retention period ends, Microsoft will disable the customer’s account and delete the Customer Data.

Vom System generierte Berichtsdaten: Diese Daten werden standardmäßig bis zu 180 Tage nach Erfassung gespeichert; längere Aufbewahrungszeiträume sind möglich, wenn dies zur Sicherheit der Dienste oder zur Erfüllung rechtlicher oder behördlicher Vorschriften erforderlich ist.This data is retained for a default period of up to 180 days from collection, subject to longer retention periods where required for security of the services or to meet legal or regulatory obligations.

Weitere Informationen zu Dienstfunktionen, mit denen der Kunde personenbezogene Daten, die in dem Dienst gespeichert sind, jederzeit löschen kann, finden Sie im Leitfaden zu den Office 365-Anforderungen betroffener Personen.For further information about service capability that enable the customer to delete personal data maintained in the service at any time, see the Office 365 Data Subject Requests Guide.
Speicherort und Übermittlung personenbezogener DatenLocation and transfers of personal data Wie in den Datenschutzbedingungen der Onlinedienstbedingungen dargelegt, speichert Microsoft die folgenden ruhenden Kundendaten nur an dem jeweiligen Ort, wenn der Kunde seine Instanz von Office 365 in Australien, Kanada, in der Europäischen Union, in Frankreich, in Indien, in Japan, in Südkorea, in Großbrittanien oder in den USA bereitstellt: (1) Exchange Online-Postfachinhalte (E-Mail-Text, Kalendereinträge und die Inhalte von E-Mail-Anlagen), (2) SharePoint Online-Websiteinhalte und die in dieser Website gespeicherten Dateien, (3) Dateien, die in OneDrive for Business hochgeladen wurden, und (4) Projektinhalte, die in Project Online hochgeladen wurden.As described in the Data Protection Terms of the Online Services Terms, if Customer provisions its instance of Office 365 in Australia, Canada, the European Union, France, India, Japan, South Korea, the United Kingdom, or the United States, Microsoft will store the following Customer Data at rest only within that location: (1) Exchange Online mailbox content (e-mail body, calendar entries, and the content of e-mail attachments), (2) SharePoint Online site content and the files stored within that site, (3) files uploaded to OneDrive for Business, and (4) project content uploaded to Project Online.

Im Zusammenhang mit anderen Typen von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum und der Schweiz stellt Microsoft sicher, dass Übertragungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation angemessenen Garantien wie in Artikel 46 der DSGVO aufgeführt unterliegen. Zusätzlich zu den Verpflichtungen, die Microsoft gemäß den Standardvertragsklauseln für Datenverarbeiter und sonstigen Modellverträgen erfüllen muss, hat sich Microsoft öffentlich zur Einhaltung der Prinzipien des EU-US-Datenschutzschildes und des Schweiz-US-Datenschutzschildes durch Selbstzertifizierung verpflichtet.For other types of personal data from the European Economic Area and Switzerland, Microsoft will ensure that transfers of personal data to a third country or an international organization are subject to appropriate safeguards as described in Article 46 of the GDPR. In addition to Microsoft commitments under the Standard Contractual Clauses for processors and other model contracts, Microsoft is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail.
Teilen von Daten mit DrittenData sharing with third-party subprocessors Microsoft teilt die Daten mit Dritten, die als unsere Unterauftragsverarbeiter tätig sind, um Funktionen wie den Kunden- und den technischen Support, Dienstwartung und sonstige Abläufe zu unterstützen. Alle Unterauftragsverarbeiter, an die Microsoft Kundendaten oder Unterstützungsdaten übermittelt, haben schriftliche Vereinbarungen mit Microsoft abgeschlossen, die das gleiche Schutzniveau bieten wie die Datenschutzbedingungen der Onlinedienstbedingungen. Alle dritten Unterauftragsverarbeiter, mit denen Kundendaten oder Unterstützungsdaten geteilt werden, sind in der Liste der Unterauftragnehmer für Onlinedienste zu finden. Alle dritten Unterauftragsverarbeiter, die auf Unterstützungsdaten zugreifen können (einschließlich Kundendaten, die Kunden während der Interaktionen mit dem Support freigeben), sind in der Liste der kommerziellen Supportanbieter von Microsoft enthalten.Microsoft shares data with third parties acting as our subprocessors to support functions such as customer and technical support, service maintenance, and other operations. Any subcontractors to which Microsoft transfers Customer Data or Support Data will have entered into written agreements with Microsoft that are no less protective than the Data Protection Terms of the Online Services Terms. All third-party subprocessors with which Customer Data from Microsoft’s Core Online Services is shared are included in the Online Services Subcontractor list. All third-party subprocessors that may access Support Data (including Customer Data that customers choose to share during their support interactions) are included in the Microsoft Commercial Support Contractors list.
Teilen von Daten mit unabhängigen DrittenData sharing with independent third-parties Einige Office 365-Produkte enthalten Erweiterbarkeitsoptionen, die, nach Ermessen des Datenverantwortlichen, das Teilen von Daten mit unabhängigen Dritten ermöglichen. Exchange Online ist beispielsweise eine erweiterbare Plattform, über die Add-Ins oder Connectors von Drittanbietern in Outlook integriert werden können und so die Featuregruppen von Outlook erweitern. Diese Drittanbieter von Add-Ins oder Connectors arbeiten unabhängig von Microsoft. Ihre Add-Ins und Connectors müssen von den Benutzern oder Unternehmensadministratoren aktiviert werden, die eine Authentifizierung mit dem Add-In- oder Connector-Konto vornehmen.Some Office 365 products include extensibility options that enable, at the controller’s election, sharing of data with independent third parties. For example, Exchange Online is an extensible platform that allows third-party add-ins or connectors to integrate with Outlook and extend Outlook’s feature sets. These third-party providers of add-ins or connectors act independently of Microsoft, and their add-ins or connectors must be enabled by the users or enterprise administrators, who authenticates with their add-in or connector account.

Microsoft legt keine Kundendaten oder Unterstützungsdaten gegenüber Strafvollzugsbehörden offen, es sei denn, wir sind rechtlich dazu verpflichtet. Wenn eine Strafvollzugsbehörde Microsoft mit einer Anfrage nach Kundendaten oder Unterstützungsdaten kontaktiert, wird Microsoft versuchen, die Strafvollzugsbehörde direkt an den Kunden weiterzuleiten. Wenn Microsoft verpflichtet ist, Kundendaten oder Unterstützungsdaten an die Strafvollzugsbehörde zu übergeben, wird Microsoft den Kunden umgehend benachrichtigen und eine Kopie der Anfrage bereitstellen, es sie denn, dies wird uns rechtlich untersagt.Microsoft will not disclose Customer Data or Support Data to law enforcement unless required by law. If law enforcement contacts Microsoft with a demand for Customer Data or Support Data, Microsoft will attempt to redirect the law enforcement agency to request that data directly from Customer. If compelled to disclose Customer Data or Support Data to law enforcement, Microsoft will promptly notify Customer and provide a copy of the demand unless legally prohibited from doing so.

Wenn wir von anderen Dritten aufgefordert werden, Kundendaten oder Unterstützungsdaten auszuhändigen, benachrichtig Microsoft umgehend den Kunden, es sei denn, dies wird uns rechtlich untersagt. Microsoft kommt dem Antrag nicht nach, es sie denn, wir sind rechtlich dazu verpflichtet. Wenn der Antrag rechtsgültig ist, versucht Microsoft, den Dritten an den Kunden zu verweisen, um die Daten direkt bei ihm anzufragen.Upon receipt of any other third-party request for Customer Data or Support Data, Microsoft will promptly notify Customer unless prohibited by law. Microsoft will reject the request unless required by law to comply. If the request is valid, Microsoft will attempt to redirect the third party to request the data directly from the customer.
Rechte betroffener PersonenData subject rights In unserer Rolle als Datenverarbeiter stellt Microsoft dem Kunden (dem Datenverantwortlichen) die personenbezogenen Daten der betroffenen Personen zur Verfügung und bietet die Möglichkeit, Anträgen betroffener Personen nachzukommen, wenn diese von ihren Rechten im Rahmen der DSGVO Gebrauch machen. Wir tun dies in Übereinstimmung mit der Funktionalität des Produkts und unserer Rolle als Datenverarbeiter. Wenn wir einen Antrag einer betroffenen Person des Kunden erhalten, die von einem oder mehreren ihrer Rechte Gebrauch machen möchte, bitten wir die betroffene Person, ihren Antrag direkt an den Datenverantwortlichen zu stellen. When operating as a processor, Microsoft makes available to customers (data controllers) the personal data of its data subjects and the ability to fulfill data subject requests when they exercise their rights under the GDPR. We do so in a manner consistent with the functionality of the product and our role as a processor.  If we receive a request from the customer’s data subjects to exercise one or more of its rights under the GDPR, we redirect the data subject to make its request directly to the data controller.

Der Leitfaden für Anträge betroffener Personen in Office 365 enthält eine Beschreibung für den Datenverantwortlichen, wie die Rechte der betroffenen Personen mithilfe der Funktionen in Office 365 unterstützt werden können.The Office 365 Data Subject Requests Guide provides a description to the data controller on how to support data subject rights using the capabilities in Office 365.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren ZweckAn assessment of the necessity and proportionality of the processing operations in relation to the purposes Eine solche Bewertung hängt davon ab, ob und wozu der Datenverantwortliche die Datenverarbeitung einsetzen möchte.Such an assessment will depend on the controller’s needs and purposes of processing.

Die seitens Microsoft ausgeführte Datenverarbeitung dient dem Zweck, unsere Dienste dem Datenverantwortlichen des Kunden bereitzustellen. In diesem Zusammenhang ist sie notwendig und verhältnismäßig.With regard to the processing carried out by Microsoft, such processing is necessary and proportional for the purpose of providing the services to the data controller.
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher PersonenAn assessment of the risks to the rights and freedoms of data subjects Die wichtigsten Risiken für die Rechte und Freiheiten der betroffenen Personen durch die Nutzung von Office 365 hängen davon ab, wie und in welchem Kontext der Datenverantwortliche es einsetzt, konfiguriert und verwendet.The key risks to the rights and freedoms of data subjects from the use of Office 365 will be a function of how and in what context the data controller implements, configures, and uses it.

Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Die Maßnahmen, die Microsoft ergreift, um solche Risiken zu steuern, werden weiter unten genauer erläutert.However, as with any service, personal data held in the service may be at risk of unauthorized access or inadvertent disclosure. Measures Microsoft takes to address such risks are discussed below.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werdenThe measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR taking into account the rights and legitimate interests of data subjects and other persons concerned Microsoft verpflichtet sich die Sicherheit der Kundendaten zu schützen.Microsoft is committed to helping protect the security of your information. Gemäß Artikel 32 der DSGVO hat Microsoft technische und organisatorische Maßnahmen eingeführt und erhält und befolgt diese zum Schutz der Kundendaten und Unterstützungsdaten gegen unbeabsichtigte/n, nicht autorisierte/n oder rechtswidrige/n Zugriff, Offenlegung, Abänderung, Verlust oder Zerstörung.Microsoft is committed to helping protect the security of Customer’s information. In compliance with the provisions of Article 32 of the GDPR, Microsoft has implemented and will maintain and follow appropriate technical and organizational measures intended to protect Customer Data and Support Data against accidental, unauthorized or unlawful access, disclosure, alteration, loss, or destruction.

Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung.Further, Microsoft complies with all other GDPR obligations that apply to data processors, including but not limited to, data protection impact assessments and record keeping.

Weitere InformationenLearn more