Übersicht über die Datenschutz- und Datenverwaltung
Wie geht Microsoft mit dem Datenschutz für Kunden um?
Microsoft verpflichtet sich zum Schutz von Kundendaten, wie in den Produktbedingungen und dem Datenschutz-Nachtrag (Data Protection Addendum, DPA) beschrieben. Die Grundlage des Microsoft-Ansatzes für den Datenschutz für gewerbliche Kunden basiert auf den folgenden Prinzipien: Sie steuern Ihre Daten, wissen, wo sich Ihre Daten befinden und wie sie verwendet werden, Sicherheit Ihrer ruhenden und während der Übertragung befindlichen Daten und Schützen von Daten vor dem Zugriff durch Dritte.
Wie setzt Microsoft seine Datenschutzverpflichtungen um?
Microsoft hält seine Datenschutzverpflichtungen durch die Microsoft-Unternehmensdatenschutzrichtlinie und den Microsoft-Datenschutzstandard ein. Um eine konsistente und konforme Umsetzung dieser Anforderungen sicherzustellen, hat Microsoft Governance-Räte, Boards und Ausschüsse eingerichtet. Unser Datenschutzprogramm verwendet ein "Hub-and-Spoke"-Governancemodell, bei dem die Compliance-Verantwortlichkeiten unternehmensweit verteilt sind. Der "Hub" ist die CELA-Gruppe (Corporate, External, and Legal Affairs), zu der der Chief Privacy Officer gehört, der für die Datenschutzkontrolle verantwortlich ist. Darüber hinaus verfügen wir über einen benannten Datenschutzbeauftragten der Europäischen Union (EU ), der die EU-spezifischen Datenschutzanforderungen erfüllt. Die "Spokes" gehören zu unseren Engineering- und Funktionsgruppen und sind für die Umsetzung der Datenschutzanforderungen verantwortlich.
Microsoft erfüllt seine Datenschutzanforderungen durch Audits und Zertifizierungen von Drittanbietern, z. B. ISO 27018 und ISO 27701.
Wie sammelt und verarbeitet Microsoft Kundendaten?
Der DPA definiert drei Datenkategorien: Kundendaten, personenbezogene Daten und Professional Services-Daten.
Microsoft verarbeitet Daten aus diesen Kategorien, um Produkte und Dienste gemäß den dokumentierten Anweisungen des Kunden bereitzustellen und für Geschäftsvorgänge. Einfach ausgedrückt verarbeitet Microsoft Daten für die Dienstbereitstellung, Problembehandlung, Wartung und Verbesserung. Die Daten werden nicht für die Profilerstellung, Werbung oder Marktforschung von Benutzern verwendet.
Ausführliche Beschreibungen dieser Aktivitäten finden Sie in den DPA-Abschnitten "Verarbeitung, um dem Kunden die Produkte und Dienstleistungen bereitzustellen" und "Verarbeitung für Geschäftsbetriebsvorfälle zur Bereitstellung der Produkte und Dienstleistungen für den Kunden".
Wie stellt Microsoft die Vertraulichkeit von Kundendaten sicher?
Das Datenschutzgovernancemodell von Microsoft stellt sicher, dass Datenschutzkontrollen die Vertraulichkeit von Kundendaten schützen. Diese Kontrollen werden in unseren Berichten von Drittanbietern wie ISO 27001 und 27701 ausführlich erläutert, auf die über das Service Trust Portal zugegriffen werden kann. Diese Berichte umfassen u. a. Kontrollen zur Datenminimierung, Aufbewahrung/Löschung, Speicherort und Übertragung sowie Freigabe.
Einige wichtige Maßnahmen, die Sie beachten sollten, sind:
- Zugriff auf Daten: Microsoft geht davon aus, dass alle Kundendaten personenbezogene Daten enthalten und geeignete Sicherheitsvorkehrungen anwenden, ohne auf die Daten zuzugreifen, um deren Inhalt zu überprüfen.
- Datenverarbeitung: Microsoft pseudonymisiert und aggregiert Daten, um die Vertraulichkeit zu schützen. Weitere Informationen finden Sie im DPA .
- Datenisolation: Microsoft verwendet Datenisolationstechniken, um Cloudmandanten zu trennen und sicherzustellen, dass Kunden nur auf ihre eigenen Daten zugreifen können. Informationen dazu, wie Kundeninhalte isoliert oder getrennt werden, finden Sie im Artikel Übersicht über die Architektur . Darüber hinaus untersagt Microsoft die Verwendung von Kundendaten in Testumgebungen.
Was tut Microsoft, um Kundendaten zu schützen?
Wie im DPA beschrieben, verfügt Microsoft über Sicherheitsvorkehrungen zum Schutz von Kundendaten. Mehrere Artikel in Service Assurance bieten einen Überblick über diese Sicherheitsvorkehrungen. Weitere Informationen finden Sie in den Abschnitten Verschlüsselung, Zugriffsverwaltung, Rechenzentrums - und Netzwerksicherheit , Personal - und Lieferantenverwaltung und Sicherheitsrisikomanagement.
Wie geht Microsoft mit der Freigabe von Daten durch Drittanbieter um?
Die Freigabe von Drittanbietern ist die Freigabe oder Weitergabe von Daten an Drittanbieter. Microsoft gibt Daten nur dann weiter, wenn dies vom Kunden autorisiert oder nach geltendem Recht dazu erforderlich ist. Microsoft gewährt keiner Regierung (einschließlich Strafverfolgungs- oder anderer Regierungsbehörden) direkten oder ungehinderten Zugriff auf Kundendaten. Weitere Informationen finden Sie im Bericht zur Anforderung von Strafverfolgungsbehörden und im Bericht zur nationalen Sicherheitsordnung der USA , um zu erfahren, wie Microsoft auf Anfragen von Behörden zum Zugriff auf Daten reagiert.
Verwendet Microsoft Unterauftragsverarbeiter oder Subunternehmer?
Informationen zur Verwaltung von Lieferanten durch Microsoft finden Sie auf der Seite Lieferantenverwaltung .
Wer hat Zugriff auf Kundendaten in Microsoft?
Informationen dazu, wie Microsoft den Zugriff auf Kundendaten verwaltet, finden Sie auf der Seite Identitäts- und Zugriffsverwaltung .
Wo befinden sich Kundendaten?
Informationen zu den wichtigsten Onlinediensten finden Sie in unseren Verpflichtungen, die in den Produktbedingungen und im DPA beschrieben sind, um die aktuellsten Informationen zum Standort der Kundendaten zu finden.
Wie im DPA für die Kern-Onlinedienste beschrieben, speichert Microsoft ruhende Kundendaten in bestimmten wichtigen geografischen Gebieten (jeweils einem geografischen Raum), wie in den Produktbedingungen festgelegt. Für kommerzielle Dienste im Geltungsbereich der Microsoft EU-Datengrenze speichert und verarbeitet Microsoft Kundendaten innerhalb der Europäischen Union, wie in den Produktbedingungen festgelegt. Microsoft kontrolliert oder beschränkt nicht die Regionen, aus denen Kunden oder Endbenutzer des Kunden auf Kundendaten zugreifen oder diese verschieben können.
Weitere Informationen finden Sie unter Microsoft-Datenschutz – Wo befinden sich Ihre Daten ?
Informationen zu Azure- und M365-Diensten finden Sie unter Azure Data Residency und M365-Datenspeicherorte.
Datenspeicherorte für andere Dienste:
- Azure DevOps Services
- Microsoft Entra-ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity-Richtlinie für personenbezogene Daten
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft Professional Services
- Microsoft Threat Protection
Was ist die Microsoft EU-Datengrenze?
Die EU-Datengrenze ist eine Verpflichtung von Microsoft Online Services, die Kunden in der EU und efta eine bessere Kontrolle und Transparenz darüber bietet, wo ihre Daten gespeichert und verarbeitet werden. Ab dem 1. Januar 2023 bietet Microsoft Kunden die Möglichkeit, ihre Kundendaten innerhalb der EU-Datengrenze für Microsoft 365-, Azure-, Power Platform- und Dynamics 365-Dienste zu speichern und zu verarbeiten. Mit diesem Release baut Microsoft bestehende lokale Speicher- und Verarbeitungsverpflichtungen aus, reduziert die Datenflüsse aus Europa erheblich und baut auf unseren branchenführenden Data Residency-Lösungen auf.
In den kommenden Phasen der EU-Datengrenze wird Microsoft die EU-Datenbegrenzungslösung erweitern, um die Speicherung und Verarbeitung zusätzlicher Kategorien personenbezogener Daten, einschließlich der Daten, die beim Erhalt von technischem Support bereitgestellt werden, einzuschließen.
Weitere Informationen finden Sie unter:
Wie löscht Microsoft Kundendaten, wenn ein Kunde den Dienst verlässt?
Wenn ein Kunde sein Abonnement beendet, speichert Microsoft Kundendaten 90 Tage lang in einem eingeschränkten Funktionskonto, sodass der Kunde die Daten extrahieren kann. Nach Ablauf dieses Zeitraums löscht Microsoft die Daten, es sei denn, die Aufbewahrung ist gesetzlich autorisiert oder vorgeschrieben. Nicht mehr als 180 Tage nach Ablauf eines Abonnements deaktiviert Microsoft das Konto und löscht alle Daten, sodass es nicht wiederhergestellt werden kann.
Microsoft löscht auch personenbezogene Daten in vom System generierten Protokollen. Für jedes Abonnement kann ein Abonnent den Microsoft-Support kontaktieren und eine beschleunigte Deaktivierung anfordern. Wenn ein Kunde diesen Prozess verwendet, werden alle Benutzerdaten 3 Tage nach Eingabe des von Microsoft bereitgestellten Sperrcodes vom Administrator gelöscht. Diese Löschung schließt Daten in SharePoint Online und Exchange Online ein, die in inaktiven Postfächern gespeichert oder gespeichert sind.
Microsoft befolgt die Richtlinien von NIST SP-800-88 für die Zerstörung von Geräten, die Daten speichern können, wie im Artikel Zerstörung von Datenträgern beschrieben.
Bietet Microsoft Kunden Anleitungen zur Einhaltung der DSGVO?
Microsoft verwaltet eine Leitdokumentation, um Kunden in ihrer Rolle als Datenverantwortlicher zu unterstützen. Einige wichtige DSGVO-Ressourcen, die Sie beachten müssen, finden Sie unten. Kunden sollten jedoch ihre eigenen Rechts- und Complianceexperten konsultieren, um ihre DSGVO-Verpflichtungen zu verstehen und umzusetzen.
- Übersicht über die Datenschutzgrundverordnung
- Datenschutz-Auswirkungsanalyse
- Anträge betroffener Personen
- Benachrichtigung über Sicherheitsverletzungen
- Datenschutz-Folgenabschätzung (DPIA)
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit dem Datenschutz finden Sie in der folgenden Tabelle.
Azure und Dynamics 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
|
ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A-2.1: Zweck des Öffentlichen Cloud-PII-Prozessors | 8. April 2024 |
|
ISO 27701 Erklärung der Anwendbarkeit Zertifikat |
Alle Steuerelemente | 8. April 2024 |
| SOC 1 | DS-15: Kündigung/Ablauf des Kundenabonnements SDL-1: Sdl-Methodik (Security Development Lifecycle) LA-4: Schutz vertraulicher Kundendaten |
20. Mai 2024 |
|
SOC 2 SOC 3 |
DS-15: Kündigung/Ablauf des Kundenabonnements SDL-1: Sdl-Methodik (Security Development Lifecycle) LA-4: Schutz vertraulicher Kundendaten SOC2-1: Asset-Klassifizierung SOC2-7: Veröffentlichte Vertraulichkeits- und Sicherheitsverpflichtungen |
20. Mai 2024 |
Microsoft 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
|
ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A-2.1: Zweck des Öffentlichen Cloud-PII-Prozessors | März 2024 |
|
ISO 27701 Erklärung der Anwendbarkeit Zertifikat |
Alle Steuerelemente | März 2024 |
| SOC 2 | CA-12: Vereinbarungen zum Servicelevel (SLAs) CA-17: Microsoft-Sicherheitsrichtlinie CA-25: Frameworkupdates steuern |
23. Januar 2024 |
Ressourcen
- Microsoft Trust Center: Datenschutzprinzipien: Datenschutzprinzipien
- Einhaltung der EU-Übertragungsanforderungen für personenbezogene Daten in der Microsoft Cloud
- Datenschutz- und Datenschutzinformationen von Microsoft Professional Services
- Häufig gestellte Fragen zur Folgenabschätzung für die Datenübertragung
- Datenresidenz, Datenhoheit und Compliance in der Microsoft-Cloud