Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Datenschutz-Grundverordnung (DSGVO) führt neue Regeln für Organisationen ein, die Waren und Dienstleistungen in der Europäischen Union (EU) anbieten oder Daten von in der EU ansässigen natürlichen Personen erfassen und analysieren, unabhängig von deren Wohnsitz und Unternehmenssitz. Weitere Informationen finden Sie im Thema DSGVO-Zusammenfassung.
Prüflisten zu den Verantwortlichkeiten
Prüflisten zur Verantwortlichkeitsbereitschaft helfen Ihnen beim bequemen Zugriff auf Informationen, die Sie zur Unterstützung der DSGVO benötigen, wenn Sie Microsoft-Produkte und -Dienste verwenden. Die Checkliste listet potenzielle Verpflichtungen auf, die Sie möglicherweise im Rahmen der DSGVO haben, und verweist Sie auf Informationen, die Sie verwenden können, um die Konformität Ihrer organization zu unterstützen.
Es gibt einen spezifischen Leitfaden für die folgenden Microsoft-Produkt- und -Dienstfamilien:
Sie können die Elemente in dieser Checkliste verwalten, indem Sie den Compliance-Manager verwenden und auf der DSGVO-Kachel unter Kundenseitig verwaltete Steuerelemente auf die Kontroll-ID und den Kontrolltitel verweisen.
Die Checklisten enthalten die vier grundlegenden Kategorien von Überlegungen für ein Datenschutzprogramm, das die DSGVO unterstützt, zusammen mit Beispielanforderungen.
Bedingungen für die Datenerhebung und -verarbeitung:
- Wann wird Zustimmung eingeholt?
- Identifizieren und Dokumentieren des Zwecks
- Datenschutz-Folgenabschätzung
Rechte betroffener Personen
- Ermitteln von Informationen für PII-Prinzipale (Betroffene)
- Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung
Datenschutz nach Design und Standard
- Sammlung einschränken
- Einhalten von Identifizierungsebenen
- Temporäre Dateien
Datenschutz und Sicherheit
- Grundlegendes zur Organisation und zum Kontext
- Planung
- Informationssicherheitsrichtlinien
Kundenvereinbarungen
- Nutzungsbedingungen für Onlinedienste: Die vertraglichen Verpflichtungen von Microsoft in Bezug auf die DSGVO finden Sie in den Nutzungsbedingungen für Onlinedienste.
- Microsoft-Produktbestimmungen: Microsoft weitet die aus den DSGVO-Vertragsbedingungen folgenden Verpflichtungen auf alle Volumenlizenzierungskunden aus.
- Nachtrag zum Datenschutz: Die Microsoft-Dienste erweitern die Verpflichtungen für Consulting Service-Kunden und andere.
DSGVO-Compliance-Steuerelemente
- Verwenden des Compliance-Managers: Überprüfen und verwenden Sie Steuerelemente, mit deren Hilfe Microsoft DSGVO-Verpflichtungen mit dem Compliance-Manager unterstützt.
- DSGVO-Steuerelementzuordnung: Greifen Sie auf eine umfassende Zuordnung von Microsoft-Steuerelementen zu DSGVO-Verpflichtungen zu.
Aufzeichnungen der Verarbeitung für Verarbeiter
Aufgrund des Umfangs und der Breite der Onlinedienste Microsoft als Verarbeiter für seine Controller-Kunden bereitstellt, erwartet Microsoft, dass Kunden die Dienste identifizieren, für die sie die Aufzeichnungen zur Verarbeitung suchen, und die relevanten Protokolle in den von Microsoft bereitgestellten Onlinetools abrufen. Ein Beispiel sind die Datensätze der Verarbeitung für Azure, in denen Kunden identifizieren, welche Arten von Verarbeitungsaktivitäten sie suchen.
Azure-Protokolle
In der Regel sind Kunden an den Aktivitätsprotokollen und möglicherweise an den Diagnoseprotokollen interessiert:
- Aktivitätsprotokolle: Aktivitätsprotokolle bieten Einblicke in die Vorgänge, die in Ressourcen in einem Abonnement ausgeführt wurden. Aktivitätsprotokolle helfen beim Ermitteln des Initiators, des Zeitpunkts und des Status eines Vorgangs.
- Diagnoseprotokolle: Diagnoseprotokolle sind von den einzelnen Ressourcen ausgegebene Protokolle. Diese Protokolle umfassen Windows-Ereignissystemprotokolle, Azure-Speicherprotokolle, Key Vault-Überwachungsprotokolle sowie Anwendungsgateway- und Firewall-Protokolle.
- Protokollarchivierung: Alle Diagnoseprotokolle schreiben in ein zentrales und verschlüsseltes Azure-Speicherkonto für die Archivierung. Die Aufbewahrung kann vom Benutzer auf bis zu 730 Tage festgelegt werden, um organisationsspezifische Aufbewahrungsanforderungen zu erfüllen. Diese Protokolle stellen eine Verbindung mit Azure Monitor-Protokollen für die Verarbeitung, Speicherung und Dashboard-Berichterstellung her.
Andere Protokolle
Installieren Sie außerdem die folgenden Überwachungslösungen als Teil dieser Architektur. Konfigurieren Sie diese Lösungen entsprechend den FedRAMP-Sicherheitskontrollen:
- AD-Bewertung: Die Active Directory-Integritätsprüfungslösung bewertet regelmäßig das Risiko und die Integrität von Serverumgebungen. Es enthält eine priorisierte Liste von Empfehlungen, die speziell für die bereitgestellte Serverinfrastruktur gelten.
- Antischadsoftware-Bewertung: Die Antischadsoftware-Lösung erstellt Berichte über Malware, Bedrohungen und den Sicherheitsstatus.
- Azure Automation: Die Azure Automation-Lösung speichert, führt und verwaltet Runbooks.
- Sicherheit und Überwachung: Die sicherheits- und überwachungsbasierte Dashboard bietet einen allgemeinen Einblick in den Sicherheitsstatus von Ressourcen. Es bietet Metriken zu Sicherheitsdomänen, wichtigen Problemen, Erkennungen, Threat Intelligence und allgemeinen Sicherheitsabfragen.
- SQL-Bewertung: Die SQL-Integritätsprüfungslösung bewertet regelmäßig das Risiko und die Integrität von Serverumgebungen. Es enthält eine priorisierte Liste von Empfehlungen, die speziell für die bereitgestellte Serverinfrastruktur gelten.
- Updateverwaltung: Die Updateverwaltungslösung ermöglicht kundenseitig die Verwaltung von Betriebssystemsicherheitsupdates. Es enthält eine status verfügbarer Updates und den Prozess der Installation erforderlicher Updates.
- Agent-Integrität: Die Agent-Integritätslösung meldet, wie viele Agents bereitgestellt werden und deren geografische Verteilung. Außerdem wird gemeldet, wie viele Agents nicht reagieren und wie viele Agents operative Daten übermitteln.
- Azure-Aktivitätsprotokolle: Die Lösung für die Analyse von Aktivitätsprotokollen hilft bei der Analyse der Azure-Aktivitätsprotokolle aller Azure-Abonnements eines Kunden.
- Änderungsnachverfolgung: Mit der Lösung zur Änderungsnachverfolgung können Kunden Änderungen in der Umgebung auf einfache Weise ermitteln.
Informationen zu den technischen und sicherheitstechnischen Maßnahmen für Azure finden datenverantwortliche Kunden unter Dokumentation zur Azure-Sicherheit. Da Microsoft nicht weiß, ob es sich bei Kundendaten um personenbezogene Daten handelt, verarbeitet Azure alle Kundendaten so, als ob es sich um personenbezogene Daten handeln würde, sodass ein Kunde wahrscheinlich alle Materialien als relevant betrachten würde.
Datenverarbeiterinformationen
Ein weiteres Produkt, das Kunden möglicherweise Aufzeichnungen von Verarbeitungsinformationen für Verarbeiter benötigen, ist Office 365. Informationen zum Anzeigen von Office 365-Informationen finden Sie im Artikel Durchsuchen des Überwachungsprotokolls im Security & Compliance Center.
Sie können die Informationen für Dynamics 365 auch im Security & Compliance Center anzeigen. Um die Seite Security & Compliance Center anzuzeigen, stellen Sie sicher, dass Sie über die richtige Lizenz verfügen. Weitere Informationen zur Lizenzierung finden Sie im Artikel Security & Compliance Center – Dienstbeschreibung. Nach Dynamics 365-Ereignissen können Sie im einheitlichen Überwachungsprotokoll im Security & Compliance Center suchen.
Informationen zu professionellen Dienstleistungen
Für Professional Services stellt der Vertreter des Kunden dem Supporttechniker Professional Services Support-Daten zur Verfügung. Dieser Datenaustausch kann auftreten, wenn ein Kunde eine Serviceanfrage entweder über das Onlineproduktportal, den Services Hub oder per Telefon sendet.
Die CRM-Systeme speichern diese Informationen und verwenden sie nur für folgende Zwecke:
- Bereitstellung der Professional Services, einschließlich der Bereitstellung von technischem Support, professioneller Planung, Beratung, Anleitung, Datenmigration, Bereitstellung und Lösungs- oder Softwareentwicklung.
- Problembehandlung, die das Verhindern, Erkennen, Untersuchen, Beheben und Beheben von Problemen, einschließlich Sicherheitsvorfällen, umfasst.
- Kontinuierliche Verbesserung, einschließlich der Wartung der Professional Services, der Installation der neuesten Updates und der Verbesserung der Zuverlässigkeit, Wirksamkeit, Qualität und Sicherheit.
Aufgrund des Umfangs der Supportvorgänge betreibt Microsoft ein produktgruppenbasiertes CRM-System. Aufzeichnungen der Verarbeitung befinden sich in diesen Systemen. Die in den CRM-Systemen verwalteten Datensätze spiegeln einen Verarbeitungsverlauf wider. In den meisten Fällen stellen die Portale oder der Service Hub den Dienstanforderungsverlauf bereit. Wenden Sie sich an Ihren Technical Account Manager oder an den technischen Support von Microsoft, um spezifische Details zu erhalten, die in den Portalen nicht verfügbar sind, oder andere Anfragen zur Verarbeitung Ihrer Daten.