Fortlaufende Datenübertragungen, die für alle EU-Datenbegrenzungsdienste gelten

Es gibt Szenarien, in denen Microsoft weiterhin Daten aus der EU-Datengrenze überträgt, um die betrieblichen Anforderungen des Clouddiensts zu erfüllen, bei denen in der EU-Datengrenze gespeicherte Daten von Mitarbeitern außerhalb der EU-Datengrenze remote zugegriffen wird und bei denen die Nutzung von EU Data Boundary Services durch einen Kunden zu einer Datenübertragung aus der EU-Datengrenze führt, um die gewünschten Ergebnisse des Kunden zu erzielen. Microsoft stellt sicher, dass alle Datenübertragungen von Kundendaten außerhalb der EU-Datengrenze durch Sicherheitsvorkehrungen geschützt werden, die in unseren Servicevereinbarungen beschrieben sind.

Remotezugriff auf in der EU-Datengrenze gespeicherte und verarbeitete Daten

Microsoft-Clouddienste werden von Expertenteams aus der ganzen Welt erstellt, betrieben, geschützt und gewartet, um Kunden ein Höchstmaß an Servicequalität, Support, Sicherheit und Zuverlässigkeit zu bieten. Dieses Modell (bekannt als Microsoft DevOps-Modell) bringt Entwickler und Betriebsmitarbeiter zusammen, um die Dienste kontinuierlich zu erstellen, zu verwalten und bereitzustellen. Wir entwerfen unsere Dienste und Prozesse, um die Fähigkeit dieser Teams zu maximieren, Dienste über Grenzen hinweg zu betreiben, ohne direkten Zugriff auf Kundendaten zu benötigen, und verwenden automatisierte Tools, um Probleme zu identifizieren und zu beheben. In seltenen Fällen, in denen ein Dienst ausgefallen ist oder eine Reparatur benötigt, die nicht mit automatisierten Tools ausgeführt werden kann, benötigen autorisierte Microsoft-Mitarbeiter möglicherweise Remotezugriff auf Daten, die innerhalb der EU-Datengrenze gespeichert sind, einschließlich Kundendaten. In diesem Abschnitt wird beschrieben, wie Microsoft sowohl den Remotezugriff auf Kundendaten minimiert als auch diesen Zugriff einschränkt, wenn dies erforderlich ist.

Microsoft verwendet einen mehrschichtigen Ansatz, um Kundendaten vor unbefugtem Zugriff durch Microsoft-Mitarbeiter zu schützen, der sowohl aus Mitarbeitern von Microsoft und seinen Tochtergesellschaften als auch aus Vertragsmitarbeitern von Drittanbietern besteht, die Microsoft-Mitarbeiter unterstützen. Es gibt keinen Standardzugriff auf Kundendaten. Der Zugriff wird für Microsoft-Mitarbeiter nur bereitgestellt, wenn eine Aufgabe dies erfordert. Der Zugriff auf Kundendaten muss einem geeigneten Zweck dienen, auf die Menge und Art der Kundendaten beschränkt sein, die zur Erreichung des entsprechenden Zwecks erforderlich sind, und wenn der Zweck nur durch diese Zugriffsebene erreicht werden kann. Microsoft verwendet JIT-Zugriffsgenehmigungen (Just-In-Time), die nur so lange erteilt werden, wie dies zur Erreichung dieses Zwecks erforderlich ist. Microsoft setzt auch auf die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), bei der der individuelle Zugriff strengen Anforderungen unterliegt, z. B. dem "Need-to-Know"-Prinzip, obligatorischen kontinuierlichen Schulungen und der Beaufsichtigung durch einen oder mehrere Manager. Um auf Kundendaten zugreifen zu können, muss das Microsoft-Personal über eine hintergrundbezogene Prüfung verfügen, die einwandfrei ist, zusätzlich zur Verwendung der mehrstufigen Authentifizierung als Teil der Standardsicherheitsanforderungen von Microsoft.

Microsoft-Mitarbeiter, die Zugriff auf Kundendaten haben, arbeiten von sicheren Administratorarbeitsstationen (SAWs) aus. SAWs sind Computer mit eingeschränkter Funktion, die neben anderen Sicherheitsrisiken das Risiko der Kompromittierung durch Schadsoftware, Phishingangriffe, gefälschte Websites und Pass-the-Hash-Angriffe (PtH) verringern und mit Gegenmaßnahmen aktiviert sind, die die Datenexfiltration erschweren sollen. Beispielsweise haben Microsoft-Mitarbeiter, die an SAWs arbeiten, den Zugriff auf das Internet auf solchen Geräten eingeschränkt und können nicht auf externe oder Wechselmedien zugreifen, da diese Funktionen in der SAW-Implementierung blockiert sind. Das Microsoft SAW- und High-Risk Environment-Programm gewann 2020 und 2019 CSO50-Auszeichnungen von csoonline.com.

Wenn Microsoft-Mitarbeiter von außerhalb der Grenze auf Kundendaten zugreifen müssen, die auf Microsoft-Systemen innerhalb der EU-Datengrenze gespeichert sind (die Daten werden nach dem europäischen Datenschutzrecht als Übertragung betrachtet, obwohl die Daten innerhalb der Microsoft-Rechenzentrumsinfrastruktur in der EU-Datengrenze verbleiben), verlassen wir uns auf Technologien, mit denen sichergestellt wird, dass diese Art der Übertragung sicher ist, mit kontrolliertem Zugriff und ohne permanenten Speicher am Remotezugriffspunkt. Wenn eine solche Datenübertragung erforderlich ist , verwendet Microsoft die moderne Verschlüsselung, um ruhende und übertragene Kundendaten zu schützen. Weitere Informationen finden Sie unter Verschlüsselung und Schlüsselverwaltung (Übersicht).

Zusätzlich zu den zuvor beschriebenen Kontrollen können Kunden zusätzliche Zugriffssteuerungen für viele Microsoft-Clouddienste einrichten, indem sie die Kunden-Lockbox aktivieren. Die Implementierung des Kunden-Lockbox-Features variiert geringfügig je nach Dienst, aber Kunden-Lockbox stellt im Allgemeinen sicher, dass Microsoft-Mitarbeiter nicht auf Kundendaten zugreifen können, um Dienstvorgänge ohne die ausdrückliche Genehmigung des Kunden auszuführen. Unter Kunden-Lockbox in Office 365, Kunden-Lockbox für Microsoft Azure und Kunden-Lockbox in Power Platform (Vorschau) finden Sie Beispiele für Kunden-Lockbox in Aktion.

Der Zugriff auf Kundendaten wird ebenfalls von Microsoft protokolliert und überwacht. Microsoft führt regelmäßige Audits durch, um zu überprüfen und zu bestätigen, dass Zugriffsverwaltungsmaßnahmen in Übereinstimmung mit den Richtlinienanforderungen funktionieren, einschließlich der vertraglichen Verpflichtungen von Microsoft.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Vom Kunden initiierte Datenübertragungen

Übertragungen, die Kunden als Teil der Dienstfunktionen initiieren

Die EU-Datengrenze ist nicht dazu gedacht, die von Kunden bei der Nutzung unserer Dienste beabsichtigten Serviceergebnisse zu beeinträchtigen oder einzuschränken. Wenn also ein Kundenadministrator oder Benutzer eine Aktion in den Diensten ausführt, die eine Datenübertragung aus der EU-Datengrenze initiiert, schränkt Microsoft solche vom Kunden initiierten Übertragungen nicht ein. Dies würde den normalen Geschäftsbetrieb für Kunden stören. Benutzerinitiierte Datenübertragungen außerhalb der EU-Datengrenze können aus verschiedenen Gründen erfolgen, z. B.:

  • Ein Benutzer greift auf Daten zu, die innerhalb der EU-Datengrenze gespeichert sind, während er außerhalb des EU-Datenbegrenzungsbereichs unterwegs ist.
  • Ein Benutzer entscheidet sich für die Kommunikation mit anderen Benutzern, die sich außerhalb der EU-Datengrenze befinden. Beispiele hierfür sind das Senden einer E-Mail, das Initiieren eines Teams-Chats oder einer Sprachkommunikation, Voicemail, geoübergreifende Besprechungen usw.
  • Ein Benutzer konfiguriert einen Dienst so, dass Daten aus der EU-Datengrenze verschoben werden.
  • Ein Benutzer entscheidet sich dafür, EU-Datenbegrenzungsdienste mit anderen Angeboten von Microsoft oder Drittanbietern oder verbundenen Erfahrungen zu kombinieren, die separaten Bedingungen unterliegen, die für die EU-Datenbegrenzungsdienste gelten (z. B. durch Nutzung einer optionalen Bing-gestützten Erfahrung, die über die Microsoft 365-Anwendungen verfügbar ist, oder durch Verwendung eines verfügbaren Connectors, um Daten aus einem EU-Datenbegrenzungsdienst mit einem Konto zu synchronisieren, das der Benutzer möglicherweise bei einem anderen Anbieter als Microsoft hat).
  • Ein Kundenadministrator entscheidet sich für die Verbindung von EU Data Boundary Services mit anderen Diensten, die von Microsoft oder einem Drittanbieter angeboten werden, wobei diese anderen Dienste separaten Bedingungen unterliegen, die für die EU-Datenbegrenzungsdienste gelten (z. B. durch Konfigurieren eines EU-Datenbegrenzungsdiensts für das Senden von Abfragen an Bing oder durch Herstellen einer Verbindung zwischen einem EU-Datenbegrenzungsdienst und einem Dienst, der bei einem anderen Anbieter als Microsoft gehostet wird, mit die der Kunde auch über ein Konto verfügt).
  • Ein Benutzer erwirbt und verwendet eine App aus einem App Store, der in einem EU-Datenbegrenzungsdienst (z. B. im Teams-Store) präsentiert wird, wobei die App von den für den EU-Datenbegrenzungsdienst geltenden Bedingungen unterliegt, z. B. dem Endbenutzer-Lizenzvertrag des App-Anbieters.
  • Eine Organisation fordert professionelle Sicherheitsdienste an oder abonniert diese, bei denen Microsoft in einer Remote-Security Operation Center-Kapazität agiert oder forensische Analysen im Namen (und als Teil) der Sicherheitsgruppe der Organisation durchführt.

Erfüllung von Dsgvo-Anträgen betroffener Personen weltweit

Microsoft hat Systeme implementiert, die es unseren Kunden ermöglichen, auf Anträge betroffener Personen gemäß der Datenschutz-Grundverordnung (DSGVO) zu reagieren (z. B. um personenbezogene Daten als Reaktion auf eine Anfrage gemäß Artikel 17 der DSGVO zu löschen), wie kunden es für angemessen halten, und diese Systeme stehen Kunden weltweit zur Verfügung. Um unseren Kunden die Einhaltung der DSGVO zu ermöglichen, müssen Signale betroffener Personen, die Benutzer-IDs enthalten, global verarbeitet werden, um sicherzustellen, dass alle Daten, die sich auf eine betroffene Person beziehen, wie angefordert gelöscht oder exportiert werden. Wenn unser Kunde der Ansicht ist, dass die Löschung von Daten angemessen ist, wenn eine betroffene Person die Löschung ihrer personenbezogenen Daten anfordert, müssen alle personenbezogenen Daten, die sich auf diese betroffene Person beziehen, in allen Datenspeichern von Microsoft gefunden und gelöscht werden, sowohl innerhalb der EU/EFTA als auch außerhalb der EU-Datengrenze. Ebenso muss Microsoft, wenn eine Exportanforderung von einem Kundenadministrator übermittelt wird, alle personenbezogenen Daten über diese betroffene Person an den vom Kundenadministrator angegebenen Speicherort exportieren, auch wenn sie sich außerhalb der EU-Datengrenze befinden. Weitere Informationen finden Sie unter DSGVO: Anträge betroffener Personen (DSRs).

Pseudonymisierte personenbezogene Daten in systemgenerierten Protokollen

Microsoft Onlinedienste im Rahmen des regulären Dienstbetriebs vom System generierte Protokolle erstellen. Derzeit werden alle vom System generierten Protokolle global im USA aggregiert. Diese vom System generierten Protokolle können pseudonymisierte personenbezogene Daten enthalten. Beispiele für vom System generierte Protokolle, die pseudonymisierte personenbezogene Daten enthalten können, sind:

  • Daten zu Produkt- und Dienstnutzung, z. B. Aktivitätsprotokolle
  • Daten, die speziell durch die Interaktion von Benutzern mit anderen Systemen generiert werden

Pseudonymisierung im Sinne von Art. 4 Abs. 5 DSGVO ist die Verarbeitung personenbezogener Daten, sodass sie ohne weitere Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Mit anderen Worten, es nimmt personenbezogene Informationen innerhalb eines Datensatzes und ersetzt diese durch eine oder mehrere künstliche Kennungen oder Pseudonyme, wodurch die Identität der betroffenen Person geschützt wird.

Microsoft verlangt, dass alle personenbezogenen Daten in vom System generierten Protokollen pseudonymisiert werden. Microsoft verwendet verschiedene Techniken, um personenbezogene Daten in vom System generierten Protokollen zu pseudonymisieren, einschließlich Verschlüsselung, Maskierung, Tokenisierung und Unschärfe von Daten. Unabhängig von der spezifischen Methode der Pseudonymisierung schützt dies die Privatsphäre der Benutzer, indem autorisierten Microsoft-Mitarbeitern die Verwendung von Systemprotokollen ermöglicht wird, die nur personenbezogene Daten enthalten, die dem Sicherheitsschritt der Pseudonymisierung unterzogen wurden. Dies ermöglicht es unseren Mitarbeitern, die Qualität, Sicherheit und Zuverlässigkeit unserer Onlinedienste zu gewährleisten, ohne Benutzer zu identifizieren oder neu zu identifizieren. So können DevOps-Mitarbeiter beispielsweise das Ausmaß eines Dienstproblems regionsübergreifend identifizieren, einschließlich der Anzahl betroffener Benutzer in einer bestimmten Region, ohne dass diese Mitarbeiter in der Lage sind, bestimmte Personen zu identifizieren oder neu zu identifizieren. Im Falle eines nicht autorisierten Zugriffs auf vom System generierte Protokolle trägt die Pseudonymisierung zum Schutz der Privatsphäre der Benutzer bei.

Im Gegensatz dazu würden andere Methoden zum Schutz der Privatsphäre von Benutzern, die personenbezogene Daten ausschließen, wie z. B. die Anonymisierung, die Daten dauerhaft so verändern, dass sie nicht verwendet werden könnten, um eine eindeutige Anzahl von Ereignissen oder Vorkommen zu identifizieren, und die Möglichkeit zur erneuten Identifizierung von Personen entfällt. Steuerelemente für die Neuidentifizierung von Personen aus pseudonymisierten Protokollen sind identisch mit Den Kontrollen, die auf Kundendaten angewendet werden. Da vom System generierte Protokolle Informationen zu tatsächlichen Aktionen enthalten, z. B. Art, Inhalt oder Uhrzeit von Transaktionen, die in der Microsoft-Cloud durchgeführt werden, würde die Anonymisierung die historische Aufzeichnung von Aktionen gefährden und dadurch Betrugs- und Sicherheitsrisiken erhöhen.

Microsoft unternimmt mehrere Schritte, um den Zugriff auf und die Verwendung von vom System generierten Protokollen zu beschränken. Zu den Sicherheitskontrollen gehören:

  • Datenminimierung durch Implementierung von Aufbewahrungsrichtlinien, die für jeden Protokolltyp auf die mindeste Aufbewahrungszeit festgelegt sind.
  • Regelmäßige Überprüfungen und Bereinigen von vom System generierten Protokollen, um Fehler oder Nichtkonformität von Richtlinien zu erkennen.
  • Eingeschränkte Nutzung ausschließlich für Zwecke im Zusammenhang mit Dienstvorgängen.
  • Richtlinien, die von Zugriffssteuerungen unterstützt werden, um die Aktivierung oder Neuidentifizierung personenbezogener Daten so zu beschränken, dass sie in ihre ursprüngliche Form zurückgesendet werden.

Professional Services-Daten

Wenn Kunden Microsoft-Daten im Rahmen der Zusammenarbeit mit Microsoft für Support- oder kostenpflichtige Beratungsdienste bereitstellen, handelt es sich bei diesen Daten um Professional Services-Daten, wie im Datenschutz-Nachtrag zu Microsoft-Produkten und -Diensten (DPA) definiert. Professional Services-Daten werden derzeit in Microsoft USA-basierten Rechenzentren gespeichert.

Der Zugriff auf Professional Services-Daten während eines Support-Engagements ist auf genehmigte Supportverwaltungssysteme beschränkt, die sicherheits- und Authentifizierungskontrollen nutzen, einschließlich der zweistufigen Authentifizierung und virtualisierter Umgebungen. Andere Microsoft-Mitarbeiter können nur auf Professional Services-Daten zugreifen, die mit einem bestimmten Engagement verbunden sind, indem sie die erforderliche geschäftliche Begründung und die Genehmigung des Managers bereitstellen. Die Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt.

Professional Services Die während eines kostenpflichtigen Beratungsauftrags bereitgestellten, erhaltenen und verarbeiteten Professional Services-Daten werden vom Team abgerufen, das der Kunde beauftragt, um die erworbenen Dienstleistungen bereitzustellen. Derzeit wird daran gearbeitet, dass EU-Kunden angeben können, dass ihre Professional Services-Daten in der EU-Datengrenze gespeichert und verarbeitet werden sollen.

Schützen von Kunden

Der Schutz von Kunden vor immer anspruchsvolleren Angriffen durch Nationalstaaten und kriminelle Akteure hat für Microsoft oberste Priorität. Kunden, die die Hyperscale-Clouddienste von Microsoft nutzen, profitieren von der umfassenden Expertise von Microsoft und den umfangreichen und kontinuierlichen Investitionen in die Cloudsicherheit. Microsoft näherte sich der EU-Datengrenze mit dem Gebot, dass es seine Fähigkeit, kunden weiterhin branchenführende Sicherheit zu bieten, nicht gefährdet, aber Microsoft versucht weiterhin, die Daten zu minimieren, auf die es außerhalb der EU-Datengrenze zugreifen oder übertragen muss, um diese wichtige Arbeit zu erledigen. In diesem Abschnitt werden die Verfahren zur Datenminimierung, die Microsoft befolgt, und einige der Herausforderungen beschrieben, denen Microsoft beim Schutz von Kunden gegenüber steht.

Bedrohungserkennung

Böswillige Akteure, einschließlich nationalstaatlicher und fortgeschrittener krimineller Gruppen, zielen regelmäßig auf Organisationen im gesamten Computerökosystem ab, um Zugriff auf Daten zu erhalten, Ransomware einzuführen oder anderen Schaden zu verursachen. Diese böswilligen Akteure sind global tätig und starten geografisch verteilte Angriffe, um die Erkennung zu umgehen. Aufgrund der Raffinesse und Kreativität dieser Angreifer kann Microsoft diese Bedrohungen nur erkennen, indem kontextbezogene Bedrohungsdaten über geografische Grenzen hinweg analysiert werden. Microsoft-Sicherheitsteams verwenden eine Vielzahl von Strategien, um schädliche Aktivitäten zu erkennen und zu blockieren. Dazu gehören spezialisierte Machine Learning-Modelle, die optimiert werden müssen, um anomales und schädliches Verhalten zu erkennen, das für die Onlinedienste-Infrastruktur von Microsoft spezifisch ist. Microsoft-Sicherheitsteams trainieren diese Modelle zentral im USA und stellen die Machine Learning-Modelle dann lokal für unsere Kunden auf der ganzen Welt als Teil des Erkennungsnetzwerks von Microsoft bereit. Da böswillige Akteure häufig viele Kunden gleichzeitig angreifen, suchen Microsoft-Sicherheitsteams nach gängigen Angriffsmustern für mehrere Mandanten und verknüpfen diese Muster mit bestimmten böswilligen Akteuren.

Um die Auswirkungen dieser Arbeit auf den Datenschutz zu minimieren, beschränken die Sicherheitsteams von Microsoft laufende Übertragungen auf die vom Dienst generierten Protokolle und Dienstkonfigurationsinformationen, die erforderlich sind, um frühe Anzeichen für schädliche Aktivitäten oder Sicherheitsverletzungen zu erkennen. Die in diesen Protokollen enthaltenen personenbezogenen Daten bestehen aus bestimmten Unternehmensauthentifizierungsdaten, die aus Azure Active Directory-Protokollen stammen, und pseudonymisierten personenbezogenen Daten aus anderen Systemen, die erforderlich sind, um Aktivitätsmuster im Zusammenhang mit Bedrohungsakteuren zu identifizieren. Diese Informationen werden konsolidiert und im USA für die zuvor beschriebene Bedrohungserkennung gespeichert. Alle personenbezogenen Daten werden in Übereinstimmung mit dem DPA und allen anderen anwendbaren vertraglichen Verpflichtungen übertragen und geschützt.

Bedrohungsuntersuchung

Microsoft verwendet ein Follow-the-Sun-Betriebsmodell mit Teams von Sicherheitsbedrohungsanalysten auf der ganzen Welt, die während eines potenziellen Sicherheitsvorfalls kontinuierlich untersuchen können. Viele sind Spezialisten mit jahrelanger spezifischer Expertise in regionalen Angreifern, die entscheidend für die effektive Reaktion auf eine identifizierte Bedrohung ist und nicht einfach auf Mitarbeiter an anderen Standorten dupliziert werden kann. Durch das Betreiben eines globalen Expertenteams stellt Microsoft sicher, dass es über das erforderliche Fachwissen verfügt, um selbst die komplexesten Angriffe zu jeder Tageszeit von überall auf der Welt zu verfolgen und darauf zu reagieren.

Wie bei der Bedrohungserkennung führt Microsoft Sicherheitsuntersuchungen gemäß den Methoden zur Datenminimierung durch. Zunächst untersuchen Analystenteams dies, indem sie die begrenzten Daten analysieren, die für die Bedrohungserkennung verwendet werden (wie zuvor beschrieben). Wenn Zugriff auf zusätzliche Kundendaten erforderlich ist, verlassen sich Sicherheitsanalysten auf Remotezugriffsmechanismen, die mit der Beschreibung im Abschnitt Remotezugriff auf gespeicherte und verarbeitete Daten im Abschnitt EU-Datenbegrenzung in diesem Artikel übereinstimmen. Nur wenn die Untersuchung feststellt, dass die Bedrohung globaler Natur ist oder nur über ein globales Dataset hinweg verstanden werden kann, übertragen Sicherheitsteams begrenzte Kundendaten außerhalb des Geografischen Raums, in dem sie sich befinden, zur tieferen Analyse oder Korrelation mit ähnlichen Vorfällen. Solche Daten werden nur übertragen, wenn ein eindeutiger Hinweis auf böswillige Aktivitäten vorliegt, die Übertragung zum Schutz der Kunden und in Übereinstimmung mit den in der DPA und anderen vertraglichen Verpflichtungen beschriebenen Schutzmaßnahmen erforderlich ist. Daten, die für Sicherheitsuntersuchungen übermittelt werden, werden im USA, Im Vereinigten Königreich und/oder Indien gespeichert und der Zugriff wird ausschließlich aus Sicherheitsgründen eingeschränkt. Alle übermittelten Daten werden gelöscht, wenn sie nicht mehr zur Erreichung des Sicherheitszwecks erforderlich sind.

Dienste in der Vorschau/Testversion

Nur dienste, die allgemein verfügbar sind, sind in der EU-Datengrenze enthalten. Dienste, die sich in der Vorschau befinden oder als kostenlose Testversionen verfügbar gemacht werden, sind nicht enthalten.

Veraltete Dienste

Dienste, die Microsoft ab dem 31. Dezember 2022 als veraltet angekündigt hat, sind nicht in der EU-Datengrenze enthalten. Microsoft-Clouddienste folgen der Modern Lifecycle-Richtlinie, und in den meisten Fällen, in denen wir einen Dienst als veraltet angekündigt haben, haben wir auch ein alternatives oder Nachfolgeproduktangebot empfohlen, das für die EU-Datengrenze gilt. Beispielsweise ist Microsoft Stream (klassisch) ein Unternehmensvideodienst für Microsoft 365, der durch Stream (auf SharePoint) ersetzt wird. Während bestimmte Veraltetkeitstermine für Stream (klassisch) noch nicht angekündigt wurden, wurde den Kunden mitgeteilt, dass Stream (klassisch) im Jahr 2024 als veraltet markiert wird. Migrationsleitfäden und Tools für die öffentliche Vorschau stehen zur Verfügung, um Kunden bei der Migration zu Stream (auf SharePoint) zu unterstützen, das sich innerhalb der EU-Datengrenze befindet.

Lokale Software und Clientanwendungen

Daten, die in lokaler Software und Clientanwendungen gespeichert sind, sind nicht in der EU-Datengrenze enthalten, da Microsoft nicht steuert, was in den lokalen Umgebungen von Kunden geschieht. Diagnosedaten, die durch die Verwendung von lokaler Software und Clientanwendungen generiert werden, sind ebenfalls nicht in der EU-Datengrenze enthalten. Wenn Daten aus lokaler Software von Oder im Auftrag des Kunden durch die Nutzung eines EU-Datenbegrenzungsdiensts an Microsoft bereitgestellt werden, handelt es sich bei diesen Daten um Kundendaten im empfangenden EU-Datenbegrenzungsdienst, vorbehaltlich etwaiger Ausnahmen im Servicevertrag und in dieser Dokumentation beschrieben.

Verzeichnisdaten

EU Data Boundary Services können Verzeichnisdaten außerhalb der EU-Datengrenze aus Azure Active Directory replizieren, einschließlich Benutzername und E-Mail-Adresse, um die Authentifizierung bei einem EU-Datenbegrenzungsdienst zu ermöglichen und Berechtigungen für den Zugriff auf Daten innerhalb eines EU-Datenbegrenzungsdiensts zu erhalten.

Netzwerktransit

Um die Routinglatenz zu reduzieren und die Routingresilienz aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die gelegentlich zum Routing von Kundendatenverkehr außerhalb der EU-Datengrenze führen können.