Anfragen bezüglich den Rechten betroffener Personen bei Microsoft Dynamics 365 Project Operations beantworten

Dieser Leitfaden enthält Ressourcen dazu, wie Sie als Verantwortlicher Produkte, Dienste und Verwaltungstools von Microsoft nutzen können, um personenbezogene Daten zu suchen und zu verarbeiten, um Anträge betroffener Personen bezüglich ihrer Rechte bei Microsoft Dynamics 365 Project Operations zu beantworten. Insbesondere erfahren Sie hier, wie Sie personenbezogene Daten oder Informationen, die sich in der Microsoft Cloud befinden, finden, darauf zugreifen und verarbeiten. Dieser Leitfaden hilft Ihnen bei folgendem Prozess:

• Entdecken: Verwenden Sie Such- und Ermittlungstools, um Kundendaten, die möglicherweise von einem Antrag einer betroffener Person bezüglich ihrer Rechte betroffen sind, einfacher zu finden. Nachdem potenziell für die Antwort erforderliche Dokumente erfasst wurden, können Sie eine oder mehrere der in den folgenden Schritten beschriebenen Aktionen für den Antrag einer betroffenen Person ausführen, um den Antrag zu bearbeiten. Es ist aber auch möglich, dass Sie feststellen, dass der Antrag nicht den Richtlinien Ihrer Organisation für die Beantwortung von Anträgen betroffener Personen entspricht.
• Zugriff: Rufen Sie personenbezogene Daten aus Microsoft Cloud ab, und fertigen Sie gegebenenfalls eine Kopie an, die Sie der betroffenen Person zur Verfügung stellen.
• Korrigieren: Nehmen Sie gegebenenfalls Änderungen an den personenbezogenen Daten vor oder führen Sie andere angeforderte Maßnahmen durch.
• Einschränken: Schränken Sie die Verarbeitung personenbezogener Daten ein, entweder durch Entfernen von Lizenzen für verschiedene Onlinedienste oder – falls möglich – Deaktivieren der gewünschten Dienste.
• Löschen: Entfernen Sie personenbezogene Daten dauerhaft, die sich in Microsoft Cloud befinden.
• Exportieren/Empfangen (Übertragbarkeit): Stellen Sie der betroffenen Person eine elektronische Kopie (in einem maschinenlesbaren Format) der personenbezogenen Daten oder Informationen bereit.

Dieser Leitfadens beschreibt die technischen Abläufe, die Ihre Organisation als Verantwortlicher ergreifen kann, um auf einen Antrag einer betroffener Person bezüglich personenbezogener Daten in Microsoft Cloud zu reagieren.

Weitere Einzelheiten zu den Rechten betroffener Personen gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und dem California Consumer Privacy Act (CCPA) finden Sie hier.

Wie dieser Leitfaden Ihnen helfen kann, Ihre Controller-Verantwortlichkeiten zu erfüllen

Das in zwei Teile gegliederte Handbuch beschreibt die Verwendung von Microsoft-Produkten, -Diensten und -Administrationstools, mit denen Sie Daten in der Microsoft Cloud als Antwort auf Anfragen von betroffenen Personen, die ihre Rechte gemäß der DSGVO ausüben, finden und bearbeiten können. Der erste Teil befasst sich mit personenbezogenen Daten, die in den Kundendaten enthalten sind. Darauf folgt ein Teil, der sich mit anderen pseudonymisierten personenbezogenen Daten befasst, die in vom System generierten Protokollen erfasst werden.

• Teil 1: Anträge betroffener Personen wegen der in Kundendaten enthaltenen personenbezogenen Daten: Teil 1 dieses Handbuchs erläutert, wie Sie auf personenbezogene Daten aus Dynamics 365 Project Operations (Software-as-a-Service) zugreifen, diese korrigieren, einschränken, löschen und exportieren, die als Teil der Kundendaten verarbeitet werden, die Sie dem Onlinedienst zur Verfügung gestellt haben.
• Teil 2: Beantworten von Anträgen betroffener Personen nach pseudonymisierten Daten: Wenn Sie Dynamics 365 Project Operations verwenden, generiert Microsoft einige Informationen (in diesem Dokument als vom System generierte Protokolle bezeichnet), um den Dienst bereitzustellen. Diese Informationen beschränken sich auf den Nutzungs-Footprint, den Endbenutzer hinterlassen, um ihre Aktionen im System zu identifizieren. Obwohl diese Daten ohne die Verwendung zusätzlicher Informationen nicht einer bestimmten betroffenen Person zugeordnet werden können, können einige davon nach der DSGVO als personenbezogen eingestuft sein. Teil 2 dieses Handbuchs erläutert, wie Sie auf von Dynamics 365 Project Operations erstellte systemgenerierte Protokolle zugreifen, diese löschen und exportieren.

Vorbereitung auf Untersuchungen zu Rechten betroffener Personen

Beachten Sie die folgenden Punkte, wenn betroffene Personen ihre Rechte ausüben und Anfragen stellen:

• Identifizieren Sie die Person und die Rolle (z. B. Mitarbeitender, Kunde oder Lieferant) richtig, indem Sie Informationen verwenden, die Ihnen die betroffene Person im Rahmen ihres Antrags gegeben hat. Bei diesen Informationen kann es sich um einen Name, eine Mitarbeiter-ID, eine Kundennummer oder eine andere Kennung handeln.
• Erfassen Sie Datum und Zeit des Antrags. (Sie haben 30 Tage Zeit, um die Anfrage abzuschließen.)
• Bestätigen Sie, dass der Antrag den Anforderungen Ihrer Organisation entspricht, um den Antrag einer betroffenen Person zu erfüllen oder abzulehnen. Sie müssen beispielsweise sicherstellen, dass die Ausführung der Anfrage nicht im Widerspruch zu anderen rechtlichen, finanziellen oder behördlichen Verpflichtungen steht, die Sie haben oder die Rechte und Freiheiten anderer verletzen.
• Stellen Sie sicher, dass Sie über die Informationen verfügen, die sich auf die Anforderung beziehen.

Teil 1: Anleitung bei Anträgen betroffener Personen wegen Kundendaten

Ausführen von Anträgen betroffener Personen für Kundendaten

Microsoft bietet die Möglichkeit, über das Azure-Portal sowie direkt über bereits vorhandene Anwendungsprogrammierschnittstellen (APIs) oder Benutzeroberflächen (UIs) für bestimmte Dienste (sogenannte Produkterfahrungen) auf bestimmte Kundendaten zuzugreifen, diese zu löschen und zu exportieren. Details zu solchen Produkterfahrungen für Dynamics 365 Project Operations werden in dieser Anleitung beschrieben.

Anmerkung

Dynamics 365 Project Operations verfügt über mehrere Bereitstellungstypen, zu denen der Einsatz der Dataverse Finanz- und/oder Betriebsarchitektur gehören kann. Je nach Bereitstellungstyp kann der Prozess für Anträge betroffener Personen variieren.

Erkunden

Der erste Schritt als Reaktion auf eine DSR-Anforderung ist es, persönliche Daten zu finden, die die Anforderung betreffen. Der erste Schritt – d. h. das Suchen und Überprüfen der betroffenen personenbezogenen Daten – hilft Ihnen dabei, festzustellen, ob ein Antrag einer betroffenen Person den Anforderungen der Organisation für das Berücksichtigen oder Ablehnen von Anträgen betroffener Personen erfüllt. Nach dem Suchen und Überprüfen der betroffenen personenbezogenen Daten stellen Sie vielleicht fest, dass der Antrag die Anforderungen Ihrer Organisation nicht erfüllt, da es sich nachteilig auf die Rechte und die Freiheiten anderer auswirken würde, wenn der Antrag erfüllt werden würde.

Nachdem Sie die Daten gefunden haben, können Sie die jeweilige Aktion ausführen, um den Antrag der betroffenen Person zu erfüllen.

Dataverse bietet Ihnen mehrere Methoden zum Suchen nach personenbezogenen Daten in Datensätzen, z. B. die erweiterte Suche und die Suche nach Datensätzen. All diese Funktionen ermöglichen es Ihnen, personenbezogene Daten zu identifizieren (zu finden).

• Erweiterte Suche
• Suche nach Datensätzen über mehrere Datensatztypen hinweg

Die Finanz- und Betriebsarchitektur bietet Ihnen mehrere Möglichkeiten, nach Kundendaten zu suchen. Als Mandantenadministrator können Sie die folgenden Aktionen durchführen, um nach Kundendaten zu suchen:

• Organisieren Sie Ihre Kundendaten so, dass sie dem Zweck dienen, personenbezogene Daten schnell zu finden. Erfahren Sie, wie Sie zu diesem Zweck Daten im Bestand klassifizieren können.
• Verwenden Sie den Personensuchbericht, um personenbezogene Daten zu finden und zu sammeln. Erweitern Sie den Personensuchbericht, indem Sie eine neue Entität erstellen oder eine vorhandene erweitern.
• Verwenden Sie Such- und Filterfunktionen, um bestimmte personenbezogene Daten zu finden und diese Daten mithilfe der Microsoft Office Exportfunktion zu exportieren, oder drucken Sie diese Informationen mithilfe von Browsererweiterungen als PDF-Datei aus.
• Verfassen Sie ein benutzerdefiniertes Formular, das personenbezogene Daten sucht und exportiert.
• Verfassen Sie ein externes Portal oder eine externe Website, die es einer authentifizierten Kundschaft ermöglicht, ihre personenbezogenen Daten anzuzeigen.

Zugreifen

Nachdem Sie die Kundendaten gefunden haben, die personenbezogene Daten enthalten, die potenziell von einem Antrag einer betroffenen Person betroffen sind, müssen Sie und Ihre Organisation entscheiden, welche Daten der betroffenen Person zur Verfügung gestellt werden sollen. Sie können der Person eine Kopie des tatsächlichen Dokuments, eine entsprechend geschwärzte Version oder einen Screenshot der Teile zur Verfügung stellen, die Sie Ihrer Meinung nach weitergeben können. Für jede dieser Antworten auf einen Zugriffsantrag müssen Sie eine Kopie des Dokuments oder eines anderen Elements abrufen, welche die angeforderten Daten enthält. Wenn Sie der betroffenen Person eine Kopie zur Verfügung stellen, müssen Sie möglicherweise personenbezogene Daten über andere betroffene Personen und vertrauliche Informationen entfernen oder schwärzen.

Kundendaten in Dataverse können mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Kundendaten können zur Bearbeitung eines Antrags auf Datenübertragbarkeit als statische Excel-Datei exportiert werden. Mithilfe von Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Übertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format wie .csv oder .xml speichern. Datensätze können auch über die Microsoft Dataverse-Web-API exportiert werden.

Kundendaten in der Finanz- und Betriebsarchitektur können mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Datenverwaltungs- und -integrationsentitäten ermöglichen es der Mandantenadministration, bereitgestellte Entitäten zu verwenden, neue zu erstellen oder vorhandene zu erweitern, um einen wiederholbaren Export personenbezogener Daten als Excel-Datei oder in einer Reihe anderer gängiger Formate über Datenimport- und Datenexportaufträge durchzuführen. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, damit ein Antrag auf Datenübertragbarkeit erfüllt werden kann. Wenn Kundendaten nach Excel exportiert werden, können Sie die personenbezogenen Daten, die in den Antrag auf Übertragbarkeit aufgenommen werden sollen, bearbeiten und sie in einem gängigen, maschinenlesbaren Format wie .csv oder .xml speichern. Sie können auch den Personensuchbericht verwenden, um der betroffenen Person Daten zur Verfügung zu stellen, die Sie als personenbezogene Daten klassifiziert haben.

Korrigieren

Beim Antrag einer betroffenen Person bezüglich einer Berichtigung der von Ihrer Organisation gespeicherten personenbezogenen Daten müssen Sie entscheiden, ob der Antrag umgesetzt werden soll oder nicht. Zum Berichtigen von Daten kann es gehören, personenbezogene Daten aus einem Dokument oder einem anderen Element zu bearbeiten, zu redigieren oder zu entfernen.

Dataverse bietet Ihnen die folgenden Methoden zur Korrektur unrichtiger oder unvollständiger Kundendaten oder zum Löschen von Kundendaten:

• Suchen Sie nach Kundendaten, indem Sie die im Abschnitt „Entdecken“ genannten Funktionen verwenden, und bearbeiten Sie Daten unmittelbar in Dataverse. Bearbeitungen können auf einer einzelnen Zeilenebene vorgenommen werden, oder mehrere Zeilen können direkt geändert werden.
• Durch die Massenbearbeitung mehrerer Datensätze können Sie das Microsoft Office-Add-In verwenden, um Daten nach Excel zu exportieren, Ihre Änderungen vorzunehmen und die geänderten Daten dann aus Excel nach Dataverse zu importieren.

In der Finanz- und Betriebsarchitektur können Sie auch Anpassungstools verwenden, aber die Entscheidung und Implementierung liegt in Ihrer Verantwortung.

Kurzer Hinweis zur Änderung von Einträgen in Geschäftstransaktionen

Transaktionsdatensätze, z. B. allgemeine, Kunden- und Steuereinträge, sind für die Integrität eines Systems zur Unternehmensressourcenplanung (ERP) unerlässlich. Personenbezogene Daten, die Teil einer Finanz- oder anderen Transaktion sind, werden aus Gründen der Einhaltung von Finanzgesetzen (z. B. Steuergesetze), der Verhinderung von Betrug (z. B. Sicherheitsüberwachungspfade) oder der Einhaltung von Industriezertifizierungen wie vorliegend aufbewahrt. Dynamics 365 Project Operations schränkt die Änderung von Daten in solchen Datensätzen daher ein.

Einschränken

Betroffene Personen können beantragen, das Verarbeiten ihrer personenbezogenen Daten einzuschränken.

Wenn Sie von einer betroffenen Person einen Antrag auf Einschränkung der Verarbeitung von Kundendaten erhalten, können Sie die betroffenen Kundendaten einfach aus dem Onlinedienst extrahieren und in einem separaten Container (einem lokalen Speicher oder separaten Webdienst mit Datenisolationsfunktionen) speichern, der von den Verarbeitungsfunktionen jeder Cloudanwendung isoliert ist.

Delete

Das „Recht auf Vergessenwerden“ durch Entfernen personenbezogener Daten aus den Kundendaten einer Organisation ist in der DSGVO eine wesentliche Schutzmaßnahme. Das Entfernen personenbezogener Daten umfasst vom System generierte Protokolle, jedoch keine Überwachungsprotokollinformationen.

Wenn eine betroffene Person die Löschung ihrer Kundendaten beantragt, haben Sie mehrere Möglichkeiten, dies zu tun:

• Durch die Massenbearbeitung mehrerer Datensätze in Dataverse können Sie das Microsoft Office Add-In verwenden, um Daten nach Excel zu exportieren, Ihre Änderungen vorzunehmen und die geänderten Daten dann aus Excel wieder in den Onlinedienst zu importieren.
• Sie können Kundendaten, die in einem beliebigen Feld gespeichert sind, löschen, indem Sie die Daten suchen, die Sie löschen möchten, und dann das Datenelement, das die gewünschten Kundendaten enthält, manuell löschen. Sie können z. B. den Kontaktdatensatz, der für die betroffene Person steht, und andere Datensätze, die personenbezogene Daten enthalten, endgültig löschen.

Alternativ können Sie in der Finanz- und Betriebsarchitektur Anpassungstools verwenden, um Kundendaten zu löschen/zu ändern.

Sie müssen eine Fachkraft für die Mandantenadministration sein, um Benutzende aus dem Mandanten löschen zu können.

Export

Das „Recht auf Datenübertragbarkeit“ gestattet einer betroffenen Person, eine Kopie ihrer personenbezogenen Daten in einem elektronischen Format (d. h. „einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format“) anzufordern, das an einen anderen Verantwortlichen übertragen werden kann.

Um einen Antrag auf Datenübertragbarkeit zu bearbeiten, können Kundendaten in Dataverse mithilfe der umfassenden Entitätsexportfunktionen exportiert werden. Kundendaten können zur Bearbeitung eines Antrags auf Datenübertragbarkeit als statische Excel-Datei exportiert werden. Mithilfe von Excel können Sie dann die personenbezogenen Daten, die in den Antrag auf Übertragbarkeit aufgenommen werden sollen, bearbeiten und in einem gängigen, maschinenlesbaren Format wie .csv oder .xml speichern.

Die Finanz- und Betriebsarchitektur bietet Datenverwaltungs- und -integrationsentitäten, die es ermöglichen, bereitgestellte, neue erstellte oder erweiterte Entitäten für einen wiederholbaren Export personenbezogener Daten als Excel-Datei oder in einer Reihe anderer gängiger Formate über Datenimport- und Datenexportaufträge zu verwenden. Alternativ können viele Listen in eine statische Excel-Datei exportiert werden, damit ein Antrag auf Datenübertragbarkeit erfüllt werden kann. Wenn Kundendaten auf diese Weise nach Excel exportiert werden, können Sie die personenbezogenen Daten, die in den Antrag auf Übertragbarkeit aufgenommen werden sollen, bearbeiten und die Datei in einem gängigen, maschinenlesbaren Format wie .csv oder .xml speichern.

Der Personensuchbericht kann verwendet werden, um der betroffenen Person Daten zur Verfügung zu stellen, die Sie als personenbezogene Daten klassifiziert haben.

Sie müssen ein Mandantenadministrator sein, um Benutzerdaten aus dem Mandanten exportieren zu können.

Teil 2: Vom System generierte Protokolle

Microsoft bietet Ihnen auch die Möglichkeit, auf vom System generierte Protokolle zuzugreifen, sie zu exportieren und zu löschen, die gemäß der weit gefassten Definition von „personenbezogene Daten“ der DSGVO als personenbezogen eingestuft werden könnten. Vom System generierte Protokolle, die im Sinne der DSGVO als personenbezogen eingestuft werden können, sind zum Beispiel:

• Produkt- und Service-Nutzungsdaten, wie Benutzeraktivitätsprotokolle
• Benutzersuchanfragen und -abfragedaten
• Daten, die von Produkten und Services als Produkt der Systemfunktionen und -interaktion von Benutzenden oder anderen Systemen generiert wurden

Wichtig

Die Möglichkeit, Daten in vom System generierten Protokollen einzuschränken oder zu ändern, wird nicht unterstützt. Daten in vom System generierten Protokollen stellen reale Aktionen dar, die in der Microsoft Cloud durchgeführt werden, und Diagnosedaten und Änderungen dieser Daten würden den Verlaufsdatensatz der Aktionen gefährden und Betrugs- und Sicherheitsrisiken erhöhen.

Anträge betroffener Personen für vom System generierte Protokolle ausführen

• Prozesse für Anträge betroffener Personen bezüglich vom System generierter Protokolle für Dynamics 365 Project Operations