Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft 365
1. Einführung
Diese Prüfliste zu den Verantwortlichkeiten ist eine bequeme Möglichkeit, um auf Informationen zuzugreifen, die Sie bei Verwendung von Microsoft Office 365 zur Unterstützung der DSGVO unter Umständen benötigen.
Sie können die Elemente in dieser Checkliste mit dem Compliance-Managerverwalten, indem Sie auf die Kontroll-ID und den Kontrolltitel unter Vom Kunden verwaltete Steuerelemente in der DSGVO-Kachel verweisen.
Außerdem enthalten die Punkte in dieser Checkliste unter 5.Datenschutz und Sicherheit Verweise auf Kontrollen, die unter Microsoft Managed Controls in der DSGVO-Kachel im Compliance Manager aufgeführt sind. Die Durchsicht der Microsoft-Implementierungsdetails für diese Kontrollen liefert zusätzliche Erläuterungen zu Microsofts Ansatz zur Erfüllung der Kundenerwägungen im Checklistenpunkt.
Die Prüfliste und der Compliance-Manager wurden basierend auf den Titeln und der Referenznummer (für jedes Prüflistenthema in Klammern) einer Gruppe von Datenschutz- und Sicherheitskontrollen für Verarbeiter von personenbezogenen Daten aufgebaut gemäß:
- ISO/IEC 27701 für Techniken und Anforderungen im Zusammenhang mit dem Datenschutzinformationsmanagement.
- ISO/IEC 27001 für Anforderungen an die Sicherheitstechnik.
Diese Steuerelementstruktur wird auch verwendet, um die Darstellung der internen Steuerelemente zu organisieren, die Microsoft 365 zur Unterstützung der DSGVO implementiert. Diese können Sie vom Service Trust Center herunterladen.
2. Bedingungen für Sammlung und Verarbeitung
Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
---|---|---|---|
Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) | Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung. | Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. | (6)(1)(a), (8)(1), (8)(2) |
Identifizieren und Dokumentieren des Zwecks (7.2.1) | Der Kunde sollte den Zweck dokumentieren, zu dem personenbezogene Daten verarbeitet werden. | Eine Beschreibung der Verarbeitung, die von Microsoft für Sie durchgeführt wird, und der Zweck dieser Verarbeitung zum Einfügen in Ihre Dokumentation zur Verantwortlichkeit. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] |
(5)(1)(b), (32)(4) |
Identifizieren der rechtmäßigen Grundlage (7.2.2) | Der Kunde sollte sich mit allen Anforderungen in Bezug auf die rechtmäßige Grundlage der Verarbeitung vertraut machen, z.B. eine ggf. erforderliche Erteilung der Zustimmung. | Eine Beschreibung der Verarbeitung personenbezogener Daten durch Microsoft-Dienste zur Aufnahme in Ihre Verantwortlichkeitsdokumentation.
- Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)()(6)(4)() c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c)), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
Ermitteln, wann eine Einholung der Zustimmung erforderlich ist (7.2.3) | Der Kunde sollte die rechtlichen bzw. gesetzlichen Vorschriften zur Einholung der Zustimmung von Einzelpersonen kennen, bevor er personenbezogene Daten verarbeitet (wenn dies erforderlich ist, wenn die Art der Verarbeitung aus der Anforderung ausgeschlossen ist usw.), z.B. das Einholen der Zustimmung. | Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. | (6)(1)(a), (8)(1), (8)(2) |
Einholen und Aufzeichnen der Zustimmung (7.2.4) | Wenn festgestellt wird, dass dies erforderlich ist, sollte der Kunde die Einwilligung entsprechend einholen. Außerdem sollte der Kunde mit allen Anforderungen vertraut sein, die für das Anzeigen und Erfassen eines Ersuchens um Einwilligung gelten. | Von Office 365 wird kein direkter Support zur Einholung der Zustimmung durch den Benutzer bereitgestellt. | (7)(1), (7)(2), (9)(2)(a) |
Datenschutz-Folgenabschätzung (7.2.5) | Der Kunde sollte die Anforderungen zur Durchführung von Datenschutz-Folgenabschätzungen kennen (wann diese durchgeführt werden sollten, ggf. relevante Datenkategorien, Zeitpunkt der Folgenabschätzung). | Informationen dazu, wie Microsoft-Dienste ermitteln, wann eine Datenschutz-Folgenabschätzung durchgeführt werden sollte, und eine Übersicht über das entsprechende Programm von Microsoft, einschließlich DPO-Beteiligung, finden Sie auf der Service Trust Portal-Seite zu Datenschutz-Folgenabschätzungen. Unterstützung für Ihre Datenschutz-Folgenabschätzungen finden Sie unter: - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(35) |
Verträge mit Verarbeitern von personenbezogenen Informationen (7.2.6) | Der Kunde sollte sicherstellen, dass seine Verträge mit Verarbeitern Anforderungen zur Hilfestellung in Bezug auf alle relevanten rechtlichen oder gesetzlichen Verpflichtungen enthalten, die sich auf die Verarbeitung und den Schutz von personenbezogenen Daten beziehen. | Die Microsoft-Verträge, die uns verpflichten, Ihnen bei der Erfüllung Ihrer Verpflichtungen im Rahmen der DSGVO zu helfen, einschließlich der Unterstützung für die Rechte des Betroffenen. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] |
(5)(2), (28)(3)(e), (28)(9) |
Aufzeichnungen zur Verarbeitung von personenbezogenen Informationen (7.2.7) | Der Kunde sollte alle benötigten und erforderlichen Aufzeichnungen, die mit der Verarbeitung von personenbezogenen Daten verbunden sind, pflegen und aufbewahren (z. B. Zweck, Sicherheitsmaßnahmen usw.). Falls einige dieser Aufzeichnungen von einem Unterverarbeiter bereitgestellt werden müssen, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen abrufen kann. | Die von den Microsoft-Diensten zur Verfügung gestellten Tools, die Ihnen helfen, die erforderlichen Aufzeichnungen aufzubewahren, belegen die Einhaltung und Unterstützung der Rechenschaftspflicht im Rahmen der DSGVO. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Rechte von Betroffenen
Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
---|---|---|---|
Ermitteln der Rechte von PII-Prinzipalen und Aktivierungsvorgang (7.3.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte von Einzelpersonen vertraut sein, die sich auf die Verarbeitung ihrer persönlichen Daten beziehen. Diese Rechte können etwa Zugriff, Berichtigung und Löschung umfassen. Wenn der Kunde ein Drittanbietersystem nutzt, sollte er ermitteln, welche Teile des Systems (falls zutreffend) über Tools verfügen, die Einzelpersonen die Ausübung ihrer Rechte ermöglichen (z. B. den Zugriff auf ihre Daten). Wenn diese Funktionen vom System bereitgestellt werden, sollte der Kunde sie je nach Bedarf einsetzen. | Die von Microsoft bereitgestellten Funktionen, die Ihnen beim Unterstützen der Rechte von Betroffenen als Hilfe dienen. - Office 365 – Anträge betroffener Personen gemäß DSGVO [8] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe ISO, IEC 27018, 2014 control A.1.1 |
(12)(2) |
Ermitteln von Informationen für PII-Prinzipale (betroffene Personen) (7.3.2) | Der Kunde sollte mit den Anforderungen an die Arten von Informationen über die Verarbeitung personenbezogener Daten vertraut sein, die zur Bereitstellung für die Einzelperson verfügbar sein müssen. Dies kann z. B. Folgendes umfassen: - Kontaktdetails zum Controller oder seinem Vertreter; - Informationen zur Verarbeitung (Zweck, internationale Übertragung und dazugehörige Schutzmaßnahmen, Aufbewahrungszeitraum usw.); - Informationen dazu, wie der Prinzipal auf personenbezogene Daten zugreifen bzw. diese ändern kann; Anfrage zu Löschung oder Einschränkung der Verarbeitung; Empfang einer Kopie seiner personenbezogenen Daten und Portabilität seiner personenbezogenen Daten; - Vorgehensweise und Quelle in Bezug auf die personenbezogenen Daten (falls der Abruf nicht direkt vom Prinzipal erfolgt); - Informationen zum Recht auf Einreichung einer Beschwerde und zum Empfänger; - Informationen zu Korrekturen an personenbezogenen Daten; - Benachrichtigung, dass die Organisation den Betroffenen (PII-Prinzipal) nicht mehr identifizieren kann, wenn für die Verarbeitung keine Identifizierung des Betroffenen mehr erforderlich ist; - Übertragungen bzw. Offenlegungen von personenbezogenen Daten; - Vorhandensein einer automatisierten Entscheidungsfindung, die allein auf der automatisierten Verarbeitung von personenbezogenen Daten basiert; - Informationen zur Häufigkeit, mit der Informationen für den Betroffenen aktualisiert und bereitgestellt werden (z. B. per „Just-in-Time“-Benachrichtigung, von der Organisation festgelegter Häufigkeit usw.). Wenn der Kunde Drittanbietersysteme oder -verarbeiter nutzt, sollte er ermitteln, welche Informationen (falls zutreffend) ggf. bereitgestellt werden müssen, und sicherstellen, dass die erforderlichen Informationen vom Drittanbieter beschafft werden können. |
Informationen zu Microsoft-Diensten, die Sie in die für Betroffene bereitgestellten Daten einbeziehen können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
Bereitstellen von Informationen für PII-Prinzipale (7.3.3) | Der Kunde sollte alle Anforderungen erfüllen, die sich darauf beziehen, wie, wann und in welcher Form die erforderlichen Informationen für eine Einzelperson in Bezug auf die Verarbeitung ihrer personenbezogenen Daten bereitgestellt werden. In Fällen, in denen ein Drittanbieter ggf. erforderliche Informationen bereitstellt, sollte der Kunde sicherstellen, dass sich dieser Vorgang innerhalb der durch die DSGVO vorgegebenen Parameter vollzieht. | Informationen zu Microsoft-Diensten als Vorlagen, die Sie in die für Datensubjekte bereitgestellten Daten einbeziehen können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
Bereitstellen eines Mechanismus zum Ändern oder Widerrufen der Zustimmung (7.3.4) | Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen. | Informationen zu den Funktionen von Microsoft-Diensten, die Sie beim Definieren der zum Anfordern der Zustimmung für Betroffene bereitgestellten Informationen nutzen können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
Bereitstellen eines Mechanismus, mit dem der Verarbeitung widersprochen werden kann (7.3.5) | Der Kunde sollte mit den Anforderungen in Bezug auf die Rechte betroffener Personen vertraut sein. Wenn eine Einzelperson das Recht hat, der Verarbeitung zu widersprechen, sollten der Kunde sie darüber informieren und eine Möglichkeit bieten, mit der die Einzelperson den Widerspruch registrieren kann. | Informationen zu Microsoft-Diensten, die sich auf den Widerspruch der Verarbeitung beziehen und die Sie in für Betroffene bereitgestellte Daten einbinden können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 4: Einschränkung |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
Gemeinsame Nutzung der Ausübung der Rechte von PII-Prinzipalen (7.3.6) | Der Kunde sollte mit den Anforderungen in Bezug auf die Benachrichtigung von Drittanbietern, mit denen personenbezogene Daten gemeinsam genutzt wurden, über Fälle von Datenänderungen basierend auf der Ausübung der Rechte von Einzelpersonen vertraut sein (z. B. eine Einzelperson, die eine Löschung oder Änderung anfordert, usw.) | Informationen zu Funktionen von Microsoft-Diensten, die Ihnen das Ermitteln von personenbezogenen Daten ermöglichen, für die eine gemeinsame Nutzung mit Drittanbietern erfolgt ist. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] |
(19) |
Korrektur oder Löschung (7.3.7) | Der Kunde sollte mit den Anforderungen in Bezug auf das Informieren von Benutzern über ihr Recht zum Zugreifen auf, Korrigieren oder Löschen ihrer personenbezogenen Daten und das Bereitstellen eines entsprechenden Mechanismus vertraut sein. Wenn ein Drittanbietersystem genutzt und dieser Mechanismus als Teil der Funktionalität bereitgestellt wird, sollte der Kunde diese Funktionalität je nach Bedarf nutzen. | Informationen zu Microsoft-Diensten als Vorlagen, die sich auf ihre Fähigkeit beziehen, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie in für Betroffene bereitgestellte Daten einbinden können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 5: Löschung |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
Bereitstellen einer Kopie der personenbezogenen Informationen (7.3.8) | Der Kunde sollte mit den Anforderungen in Bezug auf die Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten für die Einzelperson vertraut sein. Hierzu können auch Anforderungen an das Format der Kopie (z. B. Maschinenlesbarkeit), die Übertragung der Kopie usw. gehören. Wenn der Kunde ein Drittanbietersystem verwendet, das über die Funktionalität zur Bereitstellung von Kopien verfügt, sollte diese Funktionalität je nach Bedarf genutzt werden. | Informationen zu Fähigkeiten Microsoft-Diensten, die es Ihnen erlauben, eine Kopie ihrer personenbezogenen Daten zu erhalten, die Sie in für Betroffene bereitgestellte Daten einbinden können. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 6: Export |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
Antragsverwaltung (7.3.9) | Der Kunde sollte mit den Anforderungen für die Annahme und Reaktion auf legitime Anträge von Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten vertraut sein. Wenn der Kunde ein Drittanbietersystem verwendet, sollte er wissen, ob dieses System die Funktionen für eine solche Bearbeitung von Anträgen umfasst. Wenn ja, sollte der Kunde solche Mechanismen nutzen, um Anträge nach Bedarf zu verarbeiten. | Informationen zu den Funktionen von Microsoft-Diensten zum Definieren der Informationen, die Sie beim Verwalten der Anforderungen von Datensubjekten für diese bereitstellen. - Office 365-Anträge betroffener Personen gemäß DSGVO [8]: Der Kunde sollte mit den Anforderungen in Bezug auf die automatisierte Verarbeitung personenbezogener Daten und die Art und Weise, wie Entscheidungen durch diese Automatisierung getroffen werden, vertraut sein. Dies kann das Bereitstellen von Informationen zur Verarbeitung für eine Einzelperson, das Widersprechen dieser Verarbeitung oder das Erlangen eines Eingriffs durch Menschen umfassen. Wenn diese Features von einem Drittanbietersystem bereitgestellt werden, sollte der Kunde sicherstellen, dass der Drittanbieter alle erforderlichen Informationen bzw. den entsprechenden Support bereitstellt. Informationen zu allen Funktionen von Microsoft-Diensten, die ggf. die automatisierte Entscheidungsfindung unterstützen und die Sie in Ihrer Dokumentation zu den Verantwortlichkeiten verwenden können, sowie Informationen zu diesen Funktionen als Vorlagen für Datensubjekte. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Datenschutz als Konzept und Standard
Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
---|---|---|---|
Beschränken der Datensammlung (7.4.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Erfassung von personenbezogenen Daten vertraut sein (z. B. die Beschränkung der Erfassung auf die Daten, die für den angegebenen Zweck erforderlich sind). | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(5)(1)(b), (5)(1)(c) |
Beschränken der Verarbeitung (7.4.2) | Der Kunde ist dafür verantwortlich, die Verarbeitung von personenbezogenen Daten zu beschränken, damit nur die Daten gesammelt werden, die für den angegebenen Zweck benötigt werden. | Eine Beschreibung der Daten, die von Microsoft-Diensten erfasst werden. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(25)(2) |
Definieren und Dokumentieren der PII-Minimierung und von Zielen zur Deidentifizierung (7.4.3) | Der Kunde sollte mit den Anforderungen in Bezug auf die Deidentifizierung von personenbezogenen Daten vertraut sein. Hierzu können der Zeitpunkt der Nutzung, das Ausmaß der Deidentifizierung und Fälle gehören, in denen die Nutzung nicht möglich ist. | Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
Einhalten von Identifizierungsebenen (7.4.4) | Der Kunde sollte die Ziele und Methoden für die Deidentifizierung nutzen und einhalten, die von seiner Organisation vorgegeben werden. | Microsoft wendet die Deidentifizierung und Pseudonymisierung intern an, wenn diese Vorgehensweisen angebracht sind, um einen zusätzlichen Schutz für personenbezogene Daten einzubauen. | (5)(1)(c) |
Anonymisierung und Löschung personenbezogener Daten (7.4.5) | Der Kunde sollte mit den Anforderungen in Bezug auf die Aufbewahrung von personenbezogenen Daten über die Nutzung für den angegebenen Zweck hinaus vertraut sein. Wenn vom System entsprechende Tools bereitgestellt werden, sollte der Kunde diese Tools nutzen, um je nach Bedarf Löschvorgänge durchzuführen. | Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenaufbewahrung. - Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 5: Löschung |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
Temporäre Dateien (7.4.6) | Der Kunde sollte sich über temporäre Dateien bewusst sein, die möglicherweise vom System erstellt werden, die zu einer Nichteinhaltung von Richtlinien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten führen können (beispielsweise könnten personenbezogene Daten möglicherweise länger als erforderlich oder zulässig in einer temporären Datei aufbewahrt werden). Wenn vom System Tools zum Löschen oder Überprüfen von temporären Dateien bereitgestellt werden, sollte der Kunde diese Tools nutzen, um die Anforderungen zu erfüllen. | Eine Beschreibung von Funktionen, die vom Dienst zum Identifizieren von personenbezogenen Daten bereitgestellt werden, um Ihre Richtlinien zu temporären Dateien zu unterstützen. - Office 365-Anträge betroffener Personen gemäß DSGVO [8], siehe Schritt 1: Ermittlung |
(5)(1)(c) |
Aufbewahrung (7.4.7) | Der Kunde sollte ermitteln, wie lange Daten aufbewahrt werden sollten, und dabei den angegebenen Zweck berücksichtigen. | Informationen zur Aufbewahrung von personenbezogenen Daten durch Microsoft-Dienste, die Sie in für Datensubjekte bereitgestellte Dokumentation einbinden können. - Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Aufbewahrung [1] |
(13)(2)(a), (14)(2)(a) |
Löschung (7.4.8) | Der Kunde sollte die vom System bereitgestellten Lösch- oder Entsorgungsmechanismen nutzen, um personenbezogene Daten zu löschen. | Von Microsoft-Clouddiensten bereitgestellte Funktionen zur Unterstützung Ihrer Richtlinien zur Datenlöschung. -* Office 365-Anforderungen betroffener Personen für die DSGVO* [8] siehe Schritt 5: Löschung |
(5)(1)(f) |
Sammlungsverfahren (7.4.9) | Der Kunde sollte mit den Anforderungen in Bezug auf die Genauigkeit von personenbezogenen Daten (z. B. Genauigkeit bei der Erfassung, Halten von Daten auf dem aktuellen Stand usw.) vertraut sein und die Mechanismen nutzen, die vom System zu diesem Zweck bereitgestellt werden. | Wie Microsoft-Dienste die Genauigkeit von personenbezogenen Daten unterstützen, und zu allen bereitgestellten Funktionen zur Unterstützung Ihrer Richtlinie zur Datengenauigkeit. - Office 365-Anforderungen betroffener Personen für die DSGVO [8] siehe Schritt 3: Korrektur |
(5)(1)(d) |
Kontrolle der Übertragung (7.4.10) | Der Kunde sollte mit den Anforderungen in Bezug auf den Schutz der Übertragung personenbezogener Daten vertraut sein, z.B. Personen, die Zugriff auf Übertragungsmechanismen haben, Aufzeichnungen der Übertragung usw. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
Identifizieren der Grundlage für die Übertragung personenbezogener Daten (7.5.1) | Der Kunde sollte mit den Anforderungen in Bezug auf das Übertragen von personenbezogenen Daten (PII) an einen anderen geografischen Ort und das Dokumentieren der vorhandenen Maßnahmen zur Erfüllung dieser Anforderungen vertraut sein. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
Artikel (44), (45), (46), (47), (48) und (49) |
Länder und Organisationen als Ziel der Übertragung personenbezogener Daten (7.5.2) | Der Kunde sollte die Länder/Regionen, in die personenbezogene Daten ggf. übertragen werden, kennen und diese den Person mitteilen können. Wenn ein Dritter/Auftragsverarbeiter diese Übertragung durchführt, sollte der Kunde diese Informationen vom Auftragsverarbeiter einholen. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(30)(1)(e) |
Aufzeichnungen zu Übertragungen personenbezogener Daten (7.5.3) | Der Kunde sollte alle notwendigen und erforderlichen Aufzeichnungen über die Übermittlung personenbezogener Daten aufbewahren. Wenn ein Dritter/Auftragsverarbeiter die Übertragung durchführt, sollte der Kunde sicherstellen, dass er die entsprechenden Aufzeichnungen aufbewahrt, und diese bei Bedarf verschaffen. | Eine Beschreibung der Arten von personenbezogenen Daten, die von Microsoft-Diensten übertragen werden, der Standorte, zwischen denen die Übertragung erfolgt, und des rechtlichen Schutzes für die Übertragung. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] |
(30)(1)(e) |
Aufzeichnungen der Offenlegung personenbezogener Daten für Dritte (7.5.4) | Der Kunde sollte mit den Anforderungen in Bezug auf die Aufzeichnungen vertraut sein, die darüber angefertigt werden, für wen personenbezogene Daten offengelegt wurden. Dies kann auch Offenlegungen für Strafverfolgungsbehörden usw. umfassen. Wenn die Daten von einem Drittanbieter bzw. Auftragsverarbeiter offengelegt werden, sollte der Kunde sicherstellen, dass dieser die entsprechenden Aufzeichnungen verwaltet, und diese je nach Bedarf beschaffen. | Bereitgestellte Dokumentation zu den Kategorien von Empfängern der Offenlegungen personenbezogener Daten, einschließlich der verfügbaren Aufzeichnungen zur Offenlegung. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] |
(30)(1)(d) |
Gemeinsam Verantwortlicher (7.5.5) | Der Kunde sollte ermitteln, ob er zusammen mit einer anderen Organisation als gemeinsamer Controller fungiert, und die Zuständigkeiten auf geeignete Weise dokumentieren und zuordnen. | Dokumentation von Microsoft-Diensten, die als Controller von persönlichen Informationen dienen, einschließlich Informationen als Vorlagen, die in Dokumentation für Datensubjekte eingefügt werden können. - Microsoft Online Services Sinn Data Protection Begriffe, siehe Verarbeitung personenbezogener Daten; [1] |
5. Datenschutz und -sicherheit
Kategorie | Zu berücksichtigende Aspekte für Kunden | Unterstützende Microsoft-Dokumentation | Bezieht sich auf folgende DSGVO-Artikel |
---|---|---|---|
Grundlegendes zur Organisation und zum Kontext (5.2.1) | Kunden sollten ihre Rolle bei der Verarbeitung von personenbezogenen Daten (z. B. Controller, Verarbeiter, Co-Controller) ermitteln, um die entsprechenden Anforderungen (gesetzlich usw.) an die Verarbeitung von personenbezogenen Daten zu identifizieren. | Beschreibung, wie Microsoft jeden Dienst entweder als Verarbeiter oder Controller einstuft, wenn personenbezogene Daten verarbeitet werden. - Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter und Controller – Rollen und Verantwortlichkeiten, siehe Verarbeitung von personenbezogenen Daten; DSGVO, Verarbeiter, und Controller – Rollen und Verantwortlichkeiten [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
Grundlegendes zu den Anforderungen und Erwartungen von interessierten Parteien (5.2.2) | Kunden sollten Parteien identifizieren, die bei der Verarbeitung von personenbezogenen Daten ggf. eine Rolle innehaben oder ein Interesse daran haben (z. B. Regulatoren, Auditoren, Datensubjekte, unter Vertrag stehende Verarbeiter personenbezogener Daten), und mit den Anforderungen vertraut sein, die mit der Einbindung dieser Parteien je nach Bedarf verbunden sind. | Beschreibung, wie Microsoft die Sichtweisen aller Beteiligten in Bezug auf die mit der Verarbeitung von personenbezogenen Daten verbundenen Risiken berücksichtigt. - Wichtige Informationen aus Office 365 für die Datenschutz-Folgenabschätzung in Bezug auf Kundendaten [10] - Office 365 ISMS Manual [14] siehe 4.2. GRUNDLEGENDES ZU DEN ANFORDERUNGEN UND ERWARTUNGEN VON INTERESSENTEN - Grundlegendes zu den Anforderungen und Erwartungen von Interessenten (5.2.2) im Compliance-Manager |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit (5.2.3, 5.2.4) | Ein allgemeines Sicherheits- oder Datenschutzprogramm, über das ein Kunde ggf. verfügt, sollte die Verarbeitung von personenbezogenen Daten und der dazugehörigen Anforderungen umfassen. | Beschreibung, wie Microsoft-Dienste die Verarbeitung personenbezogener Daten in Informationssicherheitsverwaltungs- und Datenschutzprogrammen einschließen. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19 - SOC 2 Type 2 Audit Report [11] - Office 365 ISMS Manual [14] siehe 4. Kontext der Organisation - 5.2.3 Ermitteln des Umfangs des Verwaltungssystems für die Informationssicherheit - 5.2.4 Verwaltungssystems für die Informationssicherheit im Compliance-Manager |
(32)(2) |
Planung (5.3) | Kunden sollten die Verarbeitung von personenbezogenen Daten im Rahmen aller durchgeführten Risikobewertungen berücksichtigen und angemessene Kontrollen einbauen, um das Risiko für unter der Kontrolle des Kunden befindliche personenbezogene Daten zu mindern. | Beschreibung, wie für Microsoft-Dienste die spezifischen Risiken der Verarbeitung von personenbezogenen Daten im Rahmen des allgemeinen Sicherheits- und Datenschutzprogramms berücksichtigt werden. - Office 365 ISMS Manual [14] siehe 5.2 Richtlinie - 5.3 Planung im Compliance-Manager |
(32)(1)(b), (32)(2) |
Richtlinien zur Informationssicherheit (6.2) | Der Kunde sollte alle vorhandenen Richtlinien zur Informationssicherheit um den Schutz personenbezogener Daten erweitern, z.B. mit Richtlinien, die zur Einhaltung geltender Gesetze erforderlich sind. | Microsoft-Richtlinien zur Informationssicherheit und spezifische Maßnahmen zum Schutz personenbezogener Informationen. - Microsoft Office 365 (gesamt) ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.19 - SOC 2 Type 2 Audit Report [11] - 6.2 Richtlinien für die Informationssicherheit im Compliance-Manager |
24(2) |
Organisation der Informationssicherheit für Kunden (6.3) | Der Kunde sollte innerhalb seiner Organisation die Verantwortlichkeiten für die Sicherheit und den Schutz personenbezogener Daten definieren. Dazu gehört ggf. das Einrichten spezifischer Rollen zur Beaufsichtigung von datenschutzrelevanten Fragen, einschließlich einer DSB. Zur Unterstützung dieser Rollen sollten geeignete Schulungs- und Verwaltungsunterstützung bereitgestellt werden. | Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen. - Datenschutzbeauftragter von Microsoft [18] - Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN - 6.3 Organisation der Informationssicherheit im [Compliance-Manager] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
Personal – Sicherheit (6.4) | Der Kunde sollte die Verantwortlichkeiten zur Bereitstellung von relevanten Schulungen in Bezug auf den Schutz von personenbezogenen Daten ermitteln und zuweisen. | Eine Übersicht über die Rolle des Data Protection Officer von Microsoft, seine Pflichten, die Berichtsstruktur und die Kontaktinformationen. - Datenschutzbeauftragter von Microsoft [18] - Office 365 ISMS Manual [14] siehe 5.3 ROLLEN UND VERANTWORTLICHKEITEN IN DER ORGANISATION UND ZUSTÄNDIGKEITEN - 6.4 Sicherheit im Personalwesen im Compliance-Manager |
(39)(1)(b) |
Klassifizierung von Informationen (6.5.1) | Der Kunde sollte personenbezogene Daten explizit als Teil eines Schemas zur Datenklassifizierung ansehen. | Funktionen in Office 365 zur Unterstützung der Klassifizierung personenbezogener Daten. - Schutz von Informationen in Office 365 für die DSGVO [5] siehe „Entwerfen eines Klassifikationsschemas für personenbezogene Daten“ - 6.5.1 Klassifizierung von Informationen im Compliance-Manager |
(39)(1)(b) |
Verwaltung von Wechselmedien (6.5.2) | Der Kunde sollte interne Richtlinien für die Verwendung von Wechselmedien in Bezug auf den Schutz von personenbezogenen Daten ermitteln (z. B. Verschlüsselung von Geräten). | Beschreibung, wie Microsoft-Dienste für die Sicherheit von personenbezogenen Informationen auf Wechselmedien sorgen. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - Verwaltung von Wechselmedien im Compliance-Manager |
(32)(1)(a), (5)(1)(f) |
Übertragung physischer Medien (6.5.3) | Der Kunde sollte interne Richtlinien zum Schutz von personenbezogenen Daten bei der Übertragung von physischen Medien festlegen (z. B. Verschlüsselung). | Beschreibung, wie für Microsoft-Dienste personenbezogene Daten während einer Übertragung von physischen Medien geschützt werden. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - 6.5.3 Übertragung physischer Medien im Compliance-Manager |
(32)(1)(a), (5)(1)(f) |
Verwaltung des Benutzerzugriffs (6.6.1) | Der Kunde sollte damit vertraut sein, welche Verantwortlichkeiten für ihn in Bezug auf die Zugriffssteuerung im genutzten Dienst gelten, und diese Verantwortlichkeiten mit den verfügbaren Tools entsprechend verwalten. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - 6.6.1 im Compliance-Manager |
(5)(1)(f) |
Registrierung und Aufhebung der Registrierung für Benutzer (6.6.2) | Der Kunde sollte die Registrierung und Aufhebung der Registrierung für Benutzer im genutzten Dienst verwalten, indem er die verfügbaren Tools verwendet. | Die von Microsoft-Diensten bereitgestellten Tools, mit denen Sie die Zugriffssteuerung durchsetzen können. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - 6.6.2 Registrierung und Aufhebung der Registrierung für Benutzer im Compliance-Manager |
(5)(1)(f) |
Bereitstellung des Benutzerzugriffs (6.6.3) | Der Kunde sollte Benutzerprofile, vor allem für den berechtigten Zugriff auf personenbezogene Daten, innerhalb des genutzten Diensts verwalten, indem er die verfügbaren Tools verwendet. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen, Zugriff auf Anwendungen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15] - Benutzerzugriffsbereitstellung im Compliance-Manager |
(5)(1)(f) |
Verwaltung des privilegierten Zugriffs (6.6.4) | Kunden sollten Benutzer-IDs verwalten, um die Zugriffsverfolgung (insbesondere auf personenbezogene Daten) innerhalb des genutzten Diensts unter Verwendung der zur Verfügung stehenden Tools zu erleichtern. | Beschreibung, wie für Microsoft-Dienste die formelle Zugriffssteuerung für personenbezogene Daten unterstützt wird, z.B. Benutzer-IDs, Rollen und die Registrierung und Aufhebung der Registrierung von Benutzern. - Dokumentation zur Sicherheit in Office 365 [2] siehe Zugriffsschutz für Daten und Dienste in Office 365 - Verwenden von Mandanteneinschränkungen zur Verwaltung des Zugriffs auf SaaS-Anwendungen [15] -6.6.4 Verwaltung des privilegierten Zugriffs im Compliance-Manager |
(5)(1)(f) |
Sichere Anmeldeverfahren (6.6.5) | Der Kunde sollte die vom Dienst bereitgestellten Mechanismen nutzen, um sichere Anmeldefunktionen für seine Benutzer einzurichten, wo dies erforderlich ist. | Beschreibung, wie Microsoft-Dienste Richtlinien für die interne Zugriffssteuerung in Bezug auf personenbezogene Daten unterstützen. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] - 6.6.5 Sichere Anmeldeverfahren im Compliance-Manager |
(5)(1)(f) |
Kryptografie (6.7) | Der Kunde sollte ermitteln, welche Daten ggf. verschlüsselt werden müssen und ob der genutzte Dienst über eine entsprechende Funktion verfügt. Der Kunde sollte die Verschlüsselung nach Bedarf mit den verfügbaren Tools einsetzen. | Beschreibung, wie Microsoft-Dienste die Verschlüsselung und Pseudonymisierung unterstützen, um das Risiko der Verarbeitung personenbezogener Daten zu mindern. - FedRAMP Moderate – FedRAMP-System-Sicherheitsplan (SSP) siehe Cosmos ab S. 29 - 6.7 Kryptographie im Compliance-Manager |
(32)(1)(a) |
Sichere Entsorgung oder Wiederverwendung von Ausrüstung (6.8.1) | Bei Verwendung von Cloud Computing-Diensten (PaaS, SaaS, IaaS) sollte der Kunde damit vertraut sein, wie der Cloudanbieter sicherstellt, dass personenbezogene Daten aus dem Speicherbereich gelöscht werden, bevor dieser Bereich einem anderen Kunden zugewiesen wird. | Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass persönliche Daten von Speicherausrüstung gelöscht werden, bevor diese Ausrüstung übertragen oder wiederverwendet wird. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - 6.8.1 Sichere Entsorgung oder Wiederverwendung von Ausrüstung im Compliance-Manager |
(5)(1)(f) |
Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm (6.8.2) | Der Kunde sollte Risiken im Zusammenhang mit Papiermaterial, das personenbezogene Daten anzeigt, berücksichtigen und die Erstellung dieses Materials unter Umständen einschränken. Wenn das verwendete System die Möglichkeit bietet, dies einzuschränken (z. B. Einstellungen zum Verhindern des Ausdrucks oder Kopierens/Einfügens vertraulicher Daten), sollte der Kunde die Notwendigkeit in Betracht ziehen, diese Funktionen zu nutzen. | Beschreibung, was bei Microsoft zur Verwaltung von Hardcopy-Material implementiert wird. Interne Verwaltung von Kontrollmechanismen bei Microsoft, siehe Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] A.10.2, A.10.7, und A.4.1 - 6.8.2 Richtlinie zu aufgeräumtem Schreibtisch und Bildschirm im Compliance-Manager |
(5)(1)(f) |
Trennung von Umgebungen für Entwicklung, Tests und Betrieb (6.9.1) | Der Kunde sollte die Auswirkungen berücksichtigen, die mit der Verwendung von personenbezogenen Daten in Entwicklungs- und Testumgebungen in seiner Organisation verbunden sind. | Beschreibung, wie bei Microsoft sichergestellt wird, dass personenbezogene Daten in Entwicklungs- und Testumgebungen geschützt sind. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.12.1.4 - 6.9.1 Trennung von Umgebungen für Entwicklung, Tests und Betrieb im Compliance-Manager |
5(1)(f) |
Informationssicherung (6.9.2) | Der Kunde sollte sicherstellen, dass er vom System bereitgestellte Funktionen nutzt, um Redundanzen für seine Daten zu erstellen und je nach Bedarf Tests durchzuführen. | Beschreibung, wie bei Microsoft die Verfügbarkeit der Daten sichergestellt wird, in denen personenbezogene Daten enthalten sein können, wie für die Genauigkeit von wiederhergestellten Daten gesorgt wird und welche Tools und Verfahren von den Microsoft-Diensten bereitgestellt werden, um Ihnen das Sichern und Wiederherstellen von Daten zu ermöglichen. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 10.9 Verfügbarkeit - 6.9.2 Informationssicherung im Compliance-Manager |
(32)(1)(c), (5)(1)(f) |
Ereignisprotokollierung (6.9.3) | Der Kunde sollte mit den Funktionen für die Protokollierung vertraut sein, die vom System bereitgestellt werden. Er sollte mit diesen Funktionen sicherstellen, dass Aktionen, für die dies erforderlich ist, für personenbezogene Daten protokolliert werden können. | Die Daten, die vom Microsoft-Dienst für Sie aufgezeichnet werden, z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse in Bezug auf die Informationssicherheit, und die Vorgehensweise zum Zugreifen auf diese Protokolle zur Verwendung im Rahmen der Aufzeichnungen. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] - 6.9.3 Ereignisprotokollierung im Compliance-Manager |
(5)(1)(f) |
Schutz von Protokollinformationen (6.9.4) | Der Kunde sollte die Anforderungen in Bezug auf den Schutz von Protokollinformationen kennen, die ggf. personenbezogene Daten oder Aufzeichnungen zur Verarbeitung von personenbezogenen Daten enthalten. Wenn vom genutzten System Funktionen zum Schützen von Protokollen bereitgestellt werden, sollte der Kunde diese Funktionen bei Bedarf verwenden. | Beschreibung, wie bei Microsoft Protokolle geschützt werden, die ggf. personenbezogene Daten enthalten. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] - 6.9.4 Schutz von Protokollinformationen im Compliance Manager |
(5)(1)(f) |
Informationsübertragung – Richtlinien und Verfahren (6.10.1) | Der Kunde sollte Verfahren für Fälle eingerichtet haben, in denen personenbezogene Daten auf physischen Medien übertragen werden (z.B. auf einer Festplatte, die in anderen Servern eingebaut oder in anderen Gebäuden genutzt wird). Dazu können Protokolle, Autorisierungen und Nachverfolgung gehören. Wenn Dritte oder andere Auftragsverarbeiter physische Medien übertragen, sollte der Kunde sicherstellen, dass diese Organisation Verfahren eingerichtet hat, mit denen die Sicherheit der personenbezogenen Daten gewährleistet wird. | Beschreibung, wie für Microsoft-Dienste physische Medien übertragen werden, die ggf. personenbezogene Daten enthalten, einschließlich der Umstände einer Übertragung, und der getroffenen Maßnahmen zum Schützen der Daten. - FedRAMP Moderate – FedRAMP-System – Sicherheitsplan [3], siehe 13.10 Medienschutz - 6.10.1 Informationsübertragung – Richtlinien und Verfahren Compliance-Manager |
(5)(1)(f) |
Vertraulichkeits- bzw. Geheimhaltungsverträge (6.10.2) | Der Kunde sollte ermitteln, ob Geheimhaltungsverträge oder entsprechende Vereinbarungen für Einzelpersonen, die Zugriff auf personenbezogene Daten haben oder über entsprechende Verantwortlichkeiten verfügen, erforderlich sind. | Beschreibung, wie für Microsoft-Dienste sichergestellt wird, dass sich Einzelpersonen mit autorisiertem Zugriff auf personenbezogene Daten zur Vertraulichkeit verpflichtet haben. - SOC 2 Typ 2 Überwachungsbericht [11], siehe CC1.4 ab S. 33 - 6.10.2 Vertraulichkeits- bzw. Geheimhaltungsverträge im Compliance-Manager |
(5)(1)(f), (28)(3)(b), (38)(5) |
Schützen von Anwendungsdiensten in öffentlichen Netzwerken (6.11.1) | Der Kunde sollte mit den Anforderungen in Bezug auf die Verschlüsselung von personenbezogenen Daten vertraut sein, vor allem bei deren Übermittlung über öffentliche Netzwerke. Wenn vom System Mechanismen zur Verschlüsselung von Daten bereitgestellt werden, sollte der Kunde diese Mechanismen verwenden, wenn dies erforderlich ist. | Beschreibungen der Maßnahmen, die für Microsoft-Dienste unternommen werden, um Daten während der Übertragung zu schützen, einschließlich Verschlüsselung der Daten. Es wird auch beschrieben, wie für Microsoft-Dienste Daten geschützt werden, die ggf. personenbezogene Daten enthalten, wenn diese über öffentliche Datennetzwerke übertragen werden, einschließlich Verschlüsselungsmaßnahmen. - Verschlüsselung in der Microsoft-Cloud [17] siehe Verschlüsselung von Kundendaten bei der Übertragung - 6.11.1 Schützen von Anwendungsdiensten in öffentlichen Netzwerken Compliance-Manager |
(5)(1)(f), (32)(1)(a) |
Prinzipien sicherer Systeme (6.11.2) | Der Kunde sollte sich darüber im klaren sein, wie Systeme für den Schutz personenbezogener Daten konzipiert und entwickelt sind. Wenn ein Kunde ein von einem Drittanbieter entwickeltes System verwendet, liegt es in seiner Verantwortung, sicherzustellen, dass dieser Datenschutz berücksichtigt wurde. | Beschreibung, wie bei Microsoft-Diensten Prinzipien des Schutzes von personenbezogenen Daten ein obligatorischer Teil der Prinzipien für den sicheren Entwurf und die sichere Erstellung sind. - SOC 2 Typ 2 Überwachungsbericht [11], siehe Security Development Lifecycle ab. S. 23, CC7.1 ab S. 45. - Sichere System-Engineering-Prinzipien im Compliance-Manager |
(25)(1) |
Lieferantenbeziehungen (6.12) | Der Kunde sollte sicherstellen, dass alle Anforderungen in Bezug auf die Informationssicherheit und den Schutz von personenbezogenen Daten sowie die hiermit verbundenen Verantwortlichkeiten von Dritten vertraglich festgelegt bzw. Teil anderer Vereinbarungen sind. In den Vereinbarungen sollten außerdem die Anweisungen zur Verarbeitung enthalten sein. | Beschreibung, wie für Microsoft-Dienste die Sicherheit und der Datenschutz in den Vereinbarungen mit unseren Lieferanten geregelt ist und wie sichergestellt wird, dass diese Vereinbarungen auf effektive Weise umgesetzt werden. - Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann [6] - Verträge für Verarbeiter als Subunternehmer: Arbeiten als Vertragspartner von Microsoft [7] - 6.12 Lieferantenbeziehungen im Compliance-Manager |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit (6.13.1) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibung, wie für Microsoft-Dienste ermittelt wird, ob ein Sicherheitsvorfall eine Verletzung Ihrer personenbezogenen Daten darstellt, und wie wir Sie über die Verletzung informieren. - Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9] - 6.13.1 Verwaltung von Vorfällen und Verbesserungen für die Informationssicherheit im Compliance-Manager |
(33)(2) |
Verantwortlichkeiten und Verfahren (bei Vorfällen zur Informationssicherheit) (6.13.2) | Der Kunde sollte wissen, wofür er bei einer Datenpanne oder einem Sicherheitsincident in Bezug auf personenbezogene Daten verantwortlich ist, und dies entsprechend dokumentieren. Beispiele für Verantwortlichkeiten sind die Benachrichtigung der jeweiligen Parteien, die Kommunikation mit Auftragsverarbeitern oder anderen Drittparteien sowie Verantwortlichkeiten innerhalb der Organisation des Kunden. | Beschreibung, wie Sie Microsoft-Dienste informieren können, wenn Sie einen Sicherheitsvorfall oder eine Verletzung von personenbezogenen Daten erkennen. - Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9] - 6.13.2 Verantwortlichkeiten und Verfahren im Compliance-Manager |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
Antwort auf Vorfälle zur Informationssicherheit (6.13.3) | Der Kunde sollte über Prozesse verfügen, mit denen ermittelt werden kann, wann für personenbezogene Daten eine Verletzung vorliegt. | Beschreibungen der Informationen, die von Microsoft-Diensten bereitgestellt werden, damit Sie entscheiden können, ob für personenbezogene Daten eine Verletzung vorliegt. - Office 365 und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO [9] - 6.13.3 Antwort auf Vorfälle zur Informationssicherheit im Compliance-Manager |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
Schutz von Aufzeichnungen (6.15.1) | Der Kunde sollte mit den Anforderungen, die in Bezug auf die für personenbezogene Daten erforderlichen Aufzeichnungen und die damit verbundene Verwaltung gelten, vertraut sein. | Beschreibung, wie für Microsoft-Dienste Aufzeichnungen in Bezug auf die Verarbeitung von personenbezogenen Daten gespeichert werden. - Durchsuchen des Überwachungsprotokolls im Office 365 Security Compliance Center [16] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Statement of Applicability [12] siehe A.18.1.3 - Office 365 ISMS Handbuch [14] siehe 9. Leistungsbeurteilung |
(5)(2), (24)(2) |
Unabhängige Überprüfung der Informationssicherheit (6.15.2) | Der Kunde sollte sich der Anforderungen an die Bewertung der Sicherheit der Verarbeitung personenbezogener Daten bewusst sein. Dies kann interne oder externe Audits oder andere Maßnahmen zur Bewertung der Sicherheit der Verarbeitung umfassen. Wenn der Kunde für die gesamte oder einen Teil der Verarbeitung von einer anderen Organisation eines Drittanbieters abhängig ist, sollte er Informationen über diese von ihm durchgeführten Bewertungen sammeln. | Beschreibung, wie für Microsoft-Dienste die Effektivität von technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit getestet und bewertet wird, einschließlich Audits durch Dritte. - Microsoft Online Services-Nutzungsbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1] - Office 365 ISMS Manual [14] siehe 9. Leistungsbeurteilung - 6.15.2 Unabhängige Überprüfung der Informationssicherheit im Compliance-Manager |
(32)(1)(d), (32)(2) |
Überprüfung der technischen Compliance (6.15.3) | Der Kunde sollte die Anforderungen an die Prüfung und Bewertung der Sicherheit der Verarbeitung personenbezogener Daten kennen. Dies kann technische Prüfungen wie z. B. Penetrationstests umfassen. Wenn der Kunde ein Fremdsystem oder einen Prozessor verwendet, sollte er kennen, welche Verantwortung er für die Sicherung und das Testen der Sicherheit hat (z. B. Konfigurationen zur Datensicherung verwalten und dann diese Konfigurationseinstellungen testen). Wenn der Drittanbieter ganz oder teilweise für die Sicherheit der Verarbeitung verantwortlich ist, sollte der Kunde wissen, welche Test- oder Evaluierungsmaßnahmen der Drittanbieter durchführt, um die Sicherheit der Verarbeitung zu gewährleisten. | Beschreibung, wie die Sicherheit von Microsoft-Diensten basierend auf identifizierten Risiken getestet wird, z.B. Tests von Dritten, und welche Arten von technischen Tests und verfügbaren Berichte zu den Tests vorhanden sind. - Microsoft-Onlinedienstbedingungen, Datenschutzbedingungen, siehe Datensicherheit, Überwachung der Konformität [1] - Eine Liste mit externen Zertifizierungen finden Sie unter den Compliance-Angeboten im Microsoft Trust Center [13] - Weitere Informationen zu Penetrationstests für Ihre Anwendungen finden Sie im FedRAMP Moderate – FedRAMP-System – Sicherheitsplan (SSP)[3], CA-8 Penetration Testing (M) (H) ab S. 204 – 6.15.3 Überprüfung der technischen Konformität im Manager |
(32)(1)(d), (32)(2) |