Lieferantenmanagement (Übersicht)

  • Artikel

Microsoft arbeitet mit Drittanbietern zusammen, um die Anforderungen unserer Kunden zu erfüllen. Diese Drittunternehmen werden als Lieferanten bezeichnet. Die Sicherheit und der Datenschutz von Lieferanten bei Microsoft unterliegen unserem Programm für Lieferantensicherheit und Datenschutz (Supplier Security and Privacy Assurance, SSPA), einem unternehmensweiten Satz von Anforderungen für alle Lieferanten, die mit Microsoft zusammenarbeiten, um unsere Onlinedienste zu liefern. Während das SSPA-Programm eine umfassende Governance und Verwaltung unserer Lieferantenbasis bietet, können einzelne Geschäftseinheiten zusätzliche Anforderungen an ihre Lieferanten beibehalten.

Wie schützt das SSPA-Programm (Supplier Security and Privacy Assurance) von Microsoft Kundendaten?

SSPA ist eine Partnerschaft zwischen Microsoft Procurement, Corporate External and Legal Affairs und Corporate Security, um sicherzustellen, dass Lieferanten die Datenschutz- und Sicherheitsprinzipien von Microsoft einhalten. Der Umfang des SSPA umfasst alle Lieferanten, die personenbezogene Daten oder vertrauliche Microsoft-Daten verarbeiten. Die Registrierung des SSPA-Programms beinhaltet die Einhaltung der Datenschutzanforderungen (Data Protection Requirements, DPR) von Microsoft. Die DPR besteht aus Sicherheits- und Datenschutzkontrollen, die Lieferanten implementieren müssen, bevor sie mit der Vertragsarbeit mit Microsoft beginnen. Alle registrierten Lieferanten bestätigen jährlich die Einhaltung der DPR.

Die DPR-Anforderungen basieren auf sechs unterschiedlichen Datenverarbeitungskategorien, für die ein Lieferant im Rahmen seiner Registrierung beim SSPA zugelassen werden kann. Diese Kategorien werden verwendet, um das Risiko zu identifizieren, das mit den Diensten verbunden ist, die ein Lieferant für Microsoft bereitstellt. Das Datenverarbeitungsprofil des Lieferanten bestimmt, welche DpR-Kontrollen im Geltungsbereich betrachtet werden, um einen angemessenen Datenschutz zu gewährleisten. Lieferanten, die Daten verarbeiten, die als höheres Risiko gelten, müssen alle DPR-Anforderungen erfüllen und müssen möglicherweise auch eine unabhängige Überprüfung der Konformität durchführen. Microsoft-Einkaufstools überprüfen die SSPA-status aller Lieferanten, einschließlich der Einhaltung der geltenden Teile der DPR, bevor die Beschaffung dieses Lieferanten zugelassen wird.

Welche Arten von Unterauftragsverarbeitern bieten Dienste für Microsoft an?

Ein "Unterauftragsverarbeiter" ist ein Von Microsoft beauftragter Dritter, dessen Aufgaben die Verarbeitung personenbezogener Microsoft-Daten umfassen, für die Microsoft ein Auftragsverarbeiter ist. Die Unterauftragsverarbeiter von Microsoft fallen in drei Kategorien. Jede muss die Konformität mit dem SSPA nachweisen, bevor sie Kundendaten im Namen von Microsoft verarbeiten können.

  • Technologieunterauftragsverarbeiter, die Technologien unterstützen, die nahtlos in Microsoft Onlinedienste integriert sind und teilweise die Microsoft-Cloudfunktionen unterstützen. Wenn ein Kunde einen dieser Dienste bereitstellt, können die für diesen Dienst identifizierten Unterauftragsverarbeiter Kundendaten oder personenbezogene Daten verarbeiten, speichern oder anderweitig darauf zugreifen, während sie dabei helfen, diesen Dienst bereitzustellen.
  • Zusätzliche Unterauftragsverarbeiter, die Dienste bereitstellen, um Onlinedienste zu unterstützen, zu betreiben und zu verwalten. In solchen Fällen können die identifizierten Unterauftragsverarbeiter Kundendaten und personenbezogene Daten (bestehend aus pseudonymisierten persönlichen Kennungen) verarbeiten, speichern oder anderweitig darauf zugreifen, während sie ihre nebenstehenden Dienstleistungen erbringen.
  • Vertragsmitarbeiterorganisationen stellen Vertragsmitarbeiter bereit, die seite an Seite mit Vollzeitmitarbeitern von Microsoft arbeiten, um Microsoft Online Services zu betreiben, bereitzustellen und zu warten. In all diesen Fällen befinden sich Kundendaten oder personenbezogene Daten nur auf Microsoft-Systemen und unterliegen microsoft-Richtlinien und -Aufsicht.

Darüber hinaus stellen Infrastrukturentitäten des Microsoft-Rechenzentrums die Rechenzentrumsinfrastruktur bereit, in der die Microsoft Online Services ausgeführt werden. Die Daten in Rechenzentren werden verschlüsselt, und kein Personal innerhalb der Rechenzentren kann darauf zugreifen.

Technologie- und Hilfs-Drittanbieter sind verpflichtet, Zugriffssteuerungen in Übereinstimmung mit den Datenschutzanforderungen (Data Protection Requirements, DPR) von Microsoft zu implementieren. Diese Anforderungen erfüllen oder überschreiten die vertraglichen Verpflichtungen, die Microsoft seinen Kunden in den Produktbedingungen einnimmt. Lieferanten, die Vertragsmitarbeiterarbeiten ausführen, unterliegen den gleichen Zugriffskontrollen für Vollzeitmitarbeiter von Microsoft.

Wie führt Microsoft das Onboarding von Lieferanten durch?

Drittanbieter müssen im Rahmen des Onboardingprozesses einen Microsoft-Mastervertrag unterzeichnen. Diese Vereinbarung regelt die Beziehung zwischen Microsoft und seinen Lieferanten und stellt eine konsistente Verwaltung der Lieferantenbeziehungen sicher. Im Rahmen des Onboardings registrieren sich Lieferanten beim SSPA und müssen alle geltenden Anforderungen erfüllen, bevor sie für alle Datenverarbeitungskategorien genehmigt werden können. Microsoft-Geschäftseinheiten können nur Dann Engagements mit Lieferanten erstellen, wenn die Datenverarbeitungsaktivität für den Auftrag den Datenverarbeitungskategorien entspricht, für die der Lieferant genehmigt wurde.

Wie informiert Microsoft Kunden über Änderungen an Lieferanten, die ihre Daten verarbeiten?

Gemäß dem Datenschutzzusatz für Microsoft-Produkte und -Dienste (DPA) gibt Microsoft zusätzliche Verpflichtungen hinsichtlich der Kündigungsfristen für die Hinzufügung von Unterauftragsverarbeitern ab. Beachten Sie, dass Zeitrahmen von der Art der Daten abhängen, die der Unterauftragsverarbeiter im Auftrag von Microsoft verarbeitet. Wie in der DPA angegeben, verpflichtet sich Microsoft, Kunden mindestens sechs Monate vor jedem neuen Unterauftragsverarbeiter, der Kundendaten verarbeiten wird, zu informieren. Für alle anderen personenbezogenen Daten gibt Microsoft eine Frist von mindestens 30 Tagen an. Der Hinweis wird durch das Update der Microsoft Online Services-Unterauftragsverarbeiterliste bereitgestellt.

Verwandte externe Vorschriften & Zertifizierungen

Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Kontrollen im Zusammenhang mit der Lieferantenverwaltung finden Sie in der folgenden Tabelle.

Azure und Dynamics 365

Externe Überwachungen Section Datum des letzten Berichts
ISO 27001/27002

Erklärung der Anwendbarkeit
Zertifikat		 A.15.1: Informationssicherheit in Lieferantenbeziehungen 6. November 2023
ISO 27017

Erklärung der Anwendbarkeit
Zertifikat		 A.15.1: Informationssicherheit in Lieferantenbeziehungen 6. November 2023
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat		 A.8.1: Offenlegung der Verarbeitung von personenbezogenen Daten im Unterauftrag 6. November 2023
SOC 2
SOC 3		 SOC2-25: Lieferanten-Risikomanagement
C5-2: Überprüfung des Lieferantenrisikoprofils		 17. November 2023

Microsoft 365

Externe Überwachungen Section Datum des letzten Berichts
FedRAMP (Office 365) CA-3: Systemverbindungen
IA-4: Bezeichnerverwaltung
PS-6: Zugriffsvereinbarungen
PS-7: Personalsicherheit von Drittanbietern
SA-4: Erwerbsprozess
SA-9: Externe Informationssystemdienste
SA-12: Schutz der Lieferkette		 31. Juli 2023
ISO 27001/27002/27017

Erklärung der Anwendbarkeit
Zertifizierung (27001/27002)
Zertifizierung (27017)		 A.15.1: Informationssicherheit in Lieferantenbeziehungen März 2024
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat		 A.8.1: Offenlegung der Verarbeitung von personenbezogenen Daten im Unterauftrag März 2024
SOC 2 CA-53: Überwachung durch Drittanbieter 23. Januar 2024

Ressourcen