Freigeben über


Datenschutz-Folgenabschätzung: Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden

Gemäß der Datenschutz-Grundverordnung (DSGVO) sind datenverantwortliche Personen verpflichtet, eine Datenschutz-Folgenabschätzung (DPIA) für Verarbeitungsvorgänge vorzubereiten, die "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen". In Microsoft Office 365 gibt es nichts, das notwendigerweise die Erstellung einer DPIA durch einen Datenverantwortlichen erfordern würde, der es verwendet. Ob eine DPIA erforderlich ist, hängt vielmehr davon ab, wie Sie office 365 als Datencontroller bereitstellen, konfigurieren und verwenden.

In Teil 1 dieses Dokuments finden Sie Informationen zu Office 365, die Ihnen helfen sollen, als Datenverantwortlicher zu ermitteln, ob eine DPIA erforderlich ist. Wenn die Antwort „Ja“ lautet, sind in den Teilen 2 und 3 dieses Dokuments wichtige Informationen von Microsoft bereitgestellt, die Ihnen beim Entwurf helfen können. Insbesondere Teil 2 enthält Antworten, die für alle Office 365-Dienste für jedes der erforderlichen Elemente einer DPIA gelten. Teil 3 enthält zusätzliche produktspezifische Informationen für eine Reihe der wichtigsten Informationsanforderungen unserer Kunden für die Erstellung ihrer eigenen DPIAs. Teil 3 enthält auch ein illustratives DPIA-Dokument, das Sie herunterladen und bearbeiten können, um Ihnen die Erstellung von DPIAs zu erleichtern.

Zu den Office 365-Anwendungen und -Diensten gehören unter anderem Exchange Online, SharePoint, OneDrive für Arbeit und Schule, Viva Engage und Microsoft Teams. Eine vollständigere Liste der Dienste, die über Office 365 verfügbar sind, finden Sie in den Tabellen 1 und 2 des Office 365-Leitfadens – Antrag einer betroffenen Person.

Teil 1: Ermitteln, ob eine Bewertung der Auswirkungen auf den Datenschutz (DPIA) erforderlich ist

Laut Artikel 35 der DSGVO muss ein Datenverantwortlicher eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment) durchführen, „wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.“ Darüber hinaus werden darin bestimmte Faktoren angegeben, die auf ein solches hohes Risiko hindeuten. Diese werden in der folgenden Tabelle beschrieben. Beim Bestimmen der Notwendigkeit einer DPIA sollten Sie als ein Datenverantwortlicher diese Faktoren zusammen mit allen anderen relevanten Faktoren im Hinblick auf die spezifischen Implementierung(en) des Datenverantwortlichen und die Verwendung(en) von Office 365 berücksichtigen.

Risikofaktor Wichtige Informationen zu Office 365
Eine systematische und umfassende Bewertung der persönlichen Aspekte im Zusammenhang mit natürlichen Personen basierend auf der automatisierten Datenverarbeitung, einschließlich Profiling, und auf der Entscheidungen basieren, die hinsichtlich der natürlichen Person rechtliche Wirkung erzeugen oder sie auf ähnliche Weise betreffen Abhängig von der Konfiguration des Datenverantwortlichen kann Office 365 bestimmte automatisierte Verarbeitungen von Daten durchführen, z. B. die von Viva Personal Insights durchgeführte Analyse, die es dem Datenverantwortlichen ermöglicht, Erkenntnisse darüber zu gewinnen, wie Personen innerhalb einer Organisation basierend auf E-Mail- und Kalenderkopfinformationen aus den Postfächern des Benutzers zusammenarbeiten.

Office 365 ist nicht dazu bestimmt, eine automatisierte Verarbeitung durchzuführen, auf deren Grundlage Entscheidungen getroffen werden, die rechtliche oder ähnlich bedeutende Auswirkungen auf natürliche Personen haben. Da Office 365 jedoch ein hochgradig anpassbarer Dienst ist, kann er von einem Datenverantwortlichen potenziell zu einer solchen Verarbeitung verwendet werden.
Die umfassende Verarbeitung1 von Daten besonderer Kategorien (personenbezogene Daten, welche die ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft offenlegen sowie die Verarbeitung von genetischen bzw. biometrischen Daten für Zwecke der zweifelsfreien Identifikation einer natürlichen Person, Daten zu Gesundheit, Sexualleben oder sexueller Orientierung einer natürlichen Person) oder von personenbezogenen Daten bezüglich Begehung von Straftaten und strafrechtlicher Verurteilungen Office 365 ist nicht für die Verarbeitung spezieller Kategorien personenbezogener Daten in großem Umfang konzipiert.

Ein Datenverantwortlicher könnte jedoch Office 365 verwenden, um die aufgezählten speziellen Datenkategorien zu verarbeiten. Office 365 ein hochgradig anpassbarer Dienst, der es dem Kunden ermöglicht, jede Art von personenbezogenen Daten zu verfolgen oder anderweitig zu verarbeiten, einschließlich spezieller Kategorien von personenbezogenen Daten. Eine solche Verwendung ist für die Einschätzung eines Datenverantwortlichen relevant, ob ein DPIA erforderlich ist. Aber als Datenverarbeiter hat Microsoft keine Kontrolle über diese Nutzung und hat in der Regel wenig oder gar keinen Einblick in diese Nutzung.
Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang Office 365 wurde nicht konzipiert, um eine solche Überwachung durchzuführen oder zu ermöglichen.

Jedoch kann ein Datenverantwortlicher es verwenden, um die durch eine solche Überwachung gesammelten Daten zu verarbeiten.

Hinweis

1 Bezüglich der Kriterien der "umfangreichen" Verarbeitung von Daten wird in Absatz 91 der DSGVO Folgendes klar gestellt: "Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein."

Teil 2: Inhalte einer Bewertung der Auswirkungen auf den Datenschutz (DPIA)

DSGVO Artikel 35 Absatz 7 schreibt vor, dass eine Bewertung der Auswirkungen auf den Datenschutz die Zwecke der Verarbeitung und eine systematische Beschreibung der vorgesehenen Verarbeitung beschreibt. In den Bewertungen der Auswirkungen auf den Datenschutz (DPIA) von Microsoft beinhaltet eine solche systematische Beschreibung Faktoren wie die Art der verarbeiteten Daten, die Dauer der Datenspeicherung, den Ort der Datenspeicherung und -übertragung und die Möglichkeit des Zugriffs Dritter auf die Daten. Außerdem muss die DPIA Folgendes umfassen:

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck;
  • eine Bewertung der Risiken für die Rechte und Grundfreiheiten natürlicher Personen
  • die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der Datenschutz-Grundverordnung unter Berücksichtigung der Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden.

Die nachstehende Tabelle enthält wichtige Informationen von Microsoft, die Ihnen bei der Erstellung Ihres DPIA-Entwurfs helfen können. Sie enthält Informationen über Office 365, die für jedes der erforderlichen Elemente einer DPIA relevant sind. Wie in Teil 1 müssen Datenverantwortliche die folgenden Details sowie die Einzelheiten ihrer eigenen spezifischen Implementierung(en) und Verwendung(en) von Office 365 berücksichtigen.

Risikofaktoren Relevante Informationen zu Office 365
Zweck(e) der Verarbeitung Die Zwecke der Verarbeitung von Daten mithilfe von Office 365 werden vom Datenverantwortlichen bestimmt, der die Anwendung implementiert, konfiguriert und verwendet.

Wie in den Produktbedingungen und dem Datenschutzzutrag für Microsoft-Produkte und -Dienste (DPA) angegeben, verarbeitet Microsoft als Datenverarbeiter Kundendaten, um dem Kunden die Onlinedienste in Übereinstimmung mit den dokumentierten Anweisungen des Kunden bereitzustellen.

Wie in den Standard-Produktbedingungen und microsoft Products and Services Data Protection Addendum (DPA) beschrieben, verwendet Microsoft personenbezogene Daten auch, um eine begrenzte Anzahl legitimer Geschäftsvorgänge zu unterstützen, die aus: (1) Abrechnung und Kontoverwaltung bestehen; (2) Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen); (3) interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie); (4) Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der Einschränkungen bei der Offenlegung von Kundendaten im Nachtrag zu Produktbedingungen und Datenschutz).

Microsoft akzeptiert die Verpflichtung eines Verantwortlichen für die Verarbeitung personenbezogener Daten, diese spezifischen legitimen Geschäftsvorgänge zu unterstützen. Microsoft aggregiert personenbezogene Daten, bevor sie für unsere legitimen Geschäftsvorgänge verwendet werden, entfällt die Fähigkeit von Microsoft, bestimmte Personen zu identifizieren, und verwendet personenbezogene Daten in der am wenigsten identifizierbaren Form, die die Verarbeitung unterstützt, die für legitime Geschäftsvorgänge erforderlich ist.

Microsoft verwendet Kundendaten oder daraus abgeleitete Informationen nicht für Profilerstellungs- oder Werbezwecke oder ähnliche kommerzielle Zwecke.
Kategorien verarbeiteter personenbezogener Daten Kundendaten: dabei handelt es sich um alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft von Kunden bereitgestellt werden oder die im Auftrag von Kunden durch deren Verwendung der Microsoft-Onlinedienste bereitgestellt wird. Darunter fallen auch Daten, die Kunden zum Speichern oder zur Verarbeitung hochladen, sowie auch Anpassungen. Beispiele für in Office 365 verarbeitete Kundendaten sind E-Mail-Inhalte in Exchange Online und Dokumente oder Dateien, die in SharePoint oder OneDrive für Arbeit und Schule gespeichert sind.

Vom Dienst generierte Daten: Dies sind Daten, die von Microsoft durch den Betrieb des Diensts generiert oder abgeleitet wurden, wie z. B. Nutzungs- oder Leistungsdaten. Die meisten dieser Daten enthalten pseudonyme Bezeichner, die von Microsoft generiert werden.

Diagnosedaten: Diese Daten werden von Microsoft gesammelt oder aus einer Software abgerufen, die vom Kunden in Verbindung mit dem Onlinedienst lokal installiert wurde. Diese Daten werden auch als Telemetriedaten bezeichnet. Diese Daten werden häufig durch Attribute der lokal installierten Software oder des Computers, auf dem die Software ausgeführt wird, identifiziert.

Unterstützungsdaten: Diese Daten sind von oder im Namen der Kunden an Microsoft bereitgestellt (oder der Kunde autorisiert Microsoft, diese von einem Onlinedienst zu erhalten) durch einen Kontakt mit Microsoft, um technischen Support für Onlinedienste zu erhalten.

Kundendaten, vom System generierte Protokolldaten und Unterstützungsdaten umfassen keine Administrator- und Abrechnungsdaten, z. B. Kontaktinformationen für den Kundenadministrator, Abonnementinformationen und Zahlungsdaten, die Microsoft in seiner Rolle als Datenverantwortlicher erfasst und verarbeitet und die nicht im Umfang dieses Dokuments enthalten sind.
Datenaufbewahrung Kundendaten: Wie in den Datenschutzbestimmungen in den Produktbedingungen und dem Nachtrag zum Datenschutz festgelegt, behält Microsoft Kundendaten für die Dauer des Rechts des Kunden, den Dienst zu nutzen, und bis alle Kundendaten gemäß den Anweisungen des Kunden oder den Bedingungen der Produktbedingungen und des Nachtrags zum Datenschutz gelöscht oder zurückgegeben werden.

Während der Laufzeit des Kundenabonnements hat der Kunde jederzeit die Möglichkeit, auf im Dienst gespeicherte Kundendaten zuzugreifen, zu extrahieren und zu löschen. In einigen Fällen unterliegt er spezifischen Produktfunktionen, die das Risiko einer unbeabsichtigten Löschung (z. B. Exchange-Ordner für wiederhergestellte Elemente) verringern sollen, wie in der Produktdokumentation weiter beschrieben.

Mit Ausnahme von kostenlosen Testversionen und LinkedIn-Diensten speichert Microsoft Kundendaten, die in den Onlinediensten gespeichert sind, 90 Tage nach Ablauf oder Kündigung des Abonnements des Kunden auf einem eingeschränkten Konto, sodass der Kunde die Daten extrahieren kann. Nach Ablauf des 90-tägigen Aufbewahrungszeitraums wird Microsoft das Konto des Kunden deaktivieren und die Kundendaten löschen.

Vom System generierte Daten: Diese Daten werden standardmäßig bis zu 180 Tage nach Erfassung gespeichert; längere Aufbewahrungszeiträume sind möglich, wenn dies zur Sicherheit der Dienste oder zur Erfüllung rechtlicher oder behördlicher Vorschriften erforderlich ist.

Weitere Informationen zu Dienstfunktionen, mit denen der Kunde personenbezogene Daten, die in dem Dienst gespeichert sind, jederzeit löschen kann, finden Sie im Leitfaden zu den Office 365-Anforderungen betroffener Personen.
Speicherort und Übermittlung personenbezogener Daten Wie in Anlage 1 der Produktbedingungen beschrieben, speichert Microsoft die folgenden ruhenden Kundendaten nur an diesem Ort, wenn der Kunde seine Instanz von Office 365 in Australien, Kanada, der Europäischen Union, Frankreich, Indien, Japan, Südkorea, dem Vereinigten Königreich oder den USA bereitstellt: (1) Exchange Online-Postfachinhalte (E-Mail-Text, Kalendereinträge, und den Inhalt von E-Mail-Anlagen), (2) SharePoint-Websiteinhalte und die auf dieser Website gespeicherten Dateien, (3) Dateien, die auf OneDrive für Arbeit und Schule hochgeladen wurden, und (4) Projektinhalte, die in Project Online hochgeladen wurden.

Für personenbezogene Daten, die aus dem Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich übermittelt werden, stellt Microsoft sicher, dass die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation den in Artikel 46 der DSGVO beschriebenen angemessenen Garantien unterliegt. Zusätzlich zu den Verpflichtungen von Microsoft im Rahmen der Standardvertragsklauseln für Auftragsverarbeiter und anderer Modellverträge hält sich Microsoft an die Bestimmungen des Datenschutzframeworks.
Teilen von Daten mit Dritten Microsoft teilt Daten mit Drittanbietern, die als unsere Subprozessoren zur Unterstützung von Funktionen wie Kunden- und technischem Support, Wartung von Diensten und anderen Vorgängen agieren. Alle Subunternehmer, an die Microsoft Kundendaten, Supportdaten oder personenbezogene Daten übermittelt, haben schriftliche Vereinbarungen mit Microsoft getroffen, die nicht weniger schützen als die Datenschutzbedingungen der Produktbedingungen. Alle Unterauftragsverarbeiter von Drittanbietern, mit denen Kundendaten aus den Kern-Onlinediensten von Microsoft geteilt werden, sind in der Offenlegung des Unterauftragsverarbeiters für Onlinedienste enthalten. Alle Drittanbieter-Subunternehmer, die ggf. auf Supportdaten zugreifen (einschließlich Kundendaten, die Kunden während Ihrer Supportinteraktionen möglicherweise mitteilen), sind in der Liste der kommerziellen Supportvertragsnehmer von Microsoft enthalten.
Teilen von Daten mit unabhängigen Dritten Einige Office 365-Produkte umfassen Erweiterungsoptionen, mit denen (im Ermessen des Datenverantwortlichen) Daten mit unabhängigen Drittanbietern geteilt werden können. Bei Exchange Online handelt es sich beispielsweise um eine erweiterbare Plattform, die die Integration von Drittanbieter-Add-Ins oder -Connectors in Outlook und die Erweiterung der Funktionen von Outlook ermöglicht. Diese Drittanbieter von Add-Ins oder Connectors agieren unabhängig von Microsoft, und deren Add-Ins oder Connectors müssen von den Benutzern oder Unternehmensadministratoren, die sich bei ihrem Add-In- oder Connectorkonto authentifizieren, aktiviert werden.

Microsoft wird Kundendaten oder Supportdaten nicht an Strafverfolgungsbehörden weitergeben, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn sich die Strafverfolgungsbehörden mit einer Anforderung an Kunden- oder Supportdaten an Microsoft wenden, versucht Microsoft, die Strafverfolgungsbehörde umzuleiten, um diese Daten direkt vom Kunden anzufordern. Wenn Sie gezwungen sind, Kundendaten oder Supportdaten an Strafverfolgungsbehörden weiterzugeben, wird Microsoft den Kunden unverzüglich benachrichtigen und eine Kopie der Anforderung bereitstellen, sofern dies nicht gesetzlich verboten ist.

Nach Erhalt einer anderen Anfrage von Drittanbietern für Kundendaten oder Supportdaten wird Microsoft den Kunden unverzüglich benachrichtigen, sofern dies nicht gesetzlich verboten ist. Microsoft lehnt die Anforderung ab, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn die Anforderung gültig ist, versucht Microsoft, den Drittanbieter umzuleiten, um die Daten direkt vom Kunden anzufordern.
Rechte betroffener Personen Wenn Microsoft als Datenverarbeiter tätig ist, stellt das Unternehmen seinen Kunden (den Datenverantwortlichen) die personenbezogenen Daten der betroffenen Person sowie die Möglichkeit bereit, Anfragen von betroffenen Person zu erfüllen, wenn diese ihre Rechte unter der DSGVO ausüben. Wir tun dies in einer Weise, die mit der Funktionalität des Produkts und unserer Rolle als Verarbeiter vereinbar ist.  Erhält Microsoft eine Anfrage von betroffenen Personen des Kunden, eine oder mehrere ihrer Rechte unter der DSGVO auszuüben, wird die betroffene Person aufgefordert, ihre Anfrage direkt an den Datenverantwortlichen zu stellen. Der Leitfaden für Anträge betroffener Personen in Office 365 enthält eine Beschreibung für den Datenverantwortlichen, wie die Rechte der betroffenen Personen mithilfe der Funktionen in Office 365 unterstützt werden können.

Anträge einer betroffenen Person zur Ausübung von Rechten gemäß der DSGVO für personenbezogene Daten, die zur Unterstützung der legitimen Geschäftsprozesse verarbeitet werden, sollten an Microsoft gerichtet werden, wie in der Microsoft-Datenschutzerklärung erläutert.

Microsoft aggregiert im Allgemeinen personenbezogene Daten, bevor es für unsere legitimen Geschäftsvorgänge verwendet wird, und ist nicht in der Lage, personenbezogene Daten für eine bestimmte Person insgesamt zu identifizieren. Dies reduziert das Datenschutzrisiko für den Einzelnen erheblich. Wenn Microsoft nicht in der Lage ist, die Person zu identifizieren, kann es die Rechte der betroffenen Person auf Zugriff, Löschung, Übertragbarkeit oder die Einschränkung oder Ablehnung der Verarbeitung nicht unterstützen.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf ihren Zweck Eine solche Bewertung hängt von den Bedürfnissen und Zwecken der Verarbeitung des Verantwortlichen ab.

Die seitens Microsoft ausgeführte Datenverarbeitung dient dem Zweck, unsere Dienste dem Datenverantwortlichen des Kunden bereitzustellen. In diesem Zusammenhang ist sie notwendig und verhältnismäßig.
Eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen Die wichtigsten Risiken für die Rechte und Freiheiten der betroffenen Personen durch die Nutzung von Office 365 hängen davon ab, wie und in welchem Kontext der Datenverantwortliche es einsetzt, konfiguriert und verwendet.

Microsoft trifft Maßnahmen, beispielsweise die Anonymisierung oder Aggregation personenbezogener Daten, die von Microsoft zur Unterstützung von legitimen Geschäftsvorgängen zur Unterstützung der Bereitstellung der Dienste verwendet werden, wodurch das Risiko einer solchen Verarbeitung für betroffene Personen, die diesen Dienst nutzen, minimiert wird.

Wie bei jedem Dienst unterliegen personenbezogene Daten, die im Dienst gespeichert werden, dem Risiko eines nicht autorisierten Zugriffs oder der nicht beabsichtigten Offenlegung. Maßnahmen, die Microsoft ergreift, um solche Risiken zu steuern, werden in den folgenden Abschnitten erläutert.
Die vorgesehenen Maßnahmen, um den Risiken entgegenzuwirken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO, wobei die Rechte und rechtmäßigen Interessen von betroffenen Personen und anderen beteiligten Personen berücksichtigt werden Microsoft setzt sich dafür ein, die Sicherheit der Kundendaten zu schützen. Gemäß Artikel 32 der DSGVO hat Microsoft technische und organisatorische Maßnahmen eingeführt und erhält und befolgt diese zum Schutz der Kundendaten und Unterstützungsdaten gegen unbeabsichtigte/n, nicht autorisierte/n oder rechtswidrige/n Zugriff, Offenlegung, Abänderung, Verlust oder Zerstörung.

Außerdem hält Microsoft alle sonstigen DSGVO-Vorschriften ein, die für Datenverarbeiter gelten, einschließlich unter anderem Datenschutz-Folgenabschätzungen und Buchführung.

Wenn Microsoft personenbezogene Daten für seine legitimen Geschäftsvorgänge verarbeitet, erfüllt es die Verpflichtungen unter der DSGVO, die für Datenverantwortliche gelten.

Teil 3: DPIAs sind schwer, aber das kann helfen

Wenn Sie festgestellt haben, dass Ihre Organisation eine DPIA erstellen muss, sollen die Informationen in diesem Abschnitt dazu beitragen, Ihnen diesen Prozess zu vereinfachen.

Dieser Abschnitt:

  • bietet Office 365 und produktspezifische Informationen relevante Dienstelemente und
  • bietet Ihnen eine Vorlage für ein leeres Modell, das Sie herunterladen, DPIA und verwenden können, um Ihre eigenen DPIAs zu entwerfen.

Matrix für DPIA-Dienstelemente

Die Matrix DPIA-Dienstelemente ist eine Organisation von Inhalten, die beim Starten der Dokumenterstellung in DPIA hilfreich sein können. Sie ist nach Dienststellen geordnet und bietet produktspezifische Informationen und Links zu Dokumentationen, die Ihnen helfen können, leichter Antworten auf die erforderlichen Elemente der DPIA zu entwerfen.

Anpassbares DPIA-Dokument

Wir sind uns bewusst, dass das Entwerfen von DPIAs sehr zeitaufwändig sein kann. Obwohl sich die DPIA jedes Kunden je nach Konfiguration und Nutzung von Office 365 durch die einzelnen Organisationen unterscheidet, kann Ihnen das folgende Dokument Zeit sparen. Sie können das Anpassbare DPIA-Dokument als modifizierbare illustrative Vorlage herunterladen, um schnell loslegen zu können. Die Nutzung und Anpassung an Ihre spezifische Implementierung des Dienstes ist für Sie kostenlos. Dieses Dokument ist nicht als Rechtsberatung durch Microsoft oder eines seiner verbundenen Unternehmen zu verstehen. Wenn Sie Fragen zum DPIA-Entwurf haben, bitten wir Sie, sich an Ihren Rechtsanwalt zu wenden.

Mehr erfahren