Grundlegendes zum Kundenbenachrichtigungsprozess
Das folgende Diagramm veranschaulicht den Benachrichtigungsprozess des Kunden nach einem bestätigten Sicherheitsvorfall.
Die Reaktion auf Vorfälle und der Prozess der Kundenbenachrichtigungen sieht wie folgt aus: Ereignisstart, Ereignis erkannt, Bereitschaftstechniker eingebunden, Sicherheitsreaktionsteam eingeschaltet, Sicherheitsvorfall bestätigt, Kundenwirkung bestimmt, Betroffene Kunden bestimmt und schließlich Betroffene Kunden benachrichtigt.
Zuständigkeit von Microsoft
Wenn das Security Response-Team zu irgendeinem Zeitpunkt bei der Untersuchung eines Sicherheits- oder Datenschutzvorfalls feststellt, dass Kundendaten versehentlich oder unrechtmäßig zerstört, verloren oder geändert wurden, nicht autorisierte Offenlegung oder nicht autorisierter Zugriff waren, wird das Ereignis als Verletzung von Kundendaten deklariert, und der Prozess zur Benachrichtigung über Kundenvorfälle wird eingeleitet. Microsoft identifiziert und benachrichtigt betroffene Mandanten innerhalb von 72 Stunden in Übereinstimmung mit den Richtlinien vieler gesetzlicher Rahmenbedingungen.
Die Verpflichtung zur Benachrichtigung auf der Zeitachse beginnt mit dem Eintreten der offiziellen Deklaration des Sicherheitsvorfalls. Wenn ein Sicherheitsvorfall gemeldet wird, erfolgt die Benachrichtigung so schnell wie möglich und ohne unangemessene Verzögerung.
Die Kundenbenachrichtigung bei Sicherheitsvorfällen erfolgt je nach Art und Umfang des Vorfalls über geeignete Kanäle. Diese Kanäle können eine oder mehrere der folgenden Benachrichtigungen umfassen:
- Benachrichtigung im Nachrichtencenter des Microsoft 365 Admin Center
- Senden einer E-Mail an den Mandantenadministrator des Kunden
- Email an den vom Kunden festgelegten globalen Datenschutzkontakt (sofern der Mandant Admin diesen im Microsoft Entra Admin Center definiert hat)
- Direkter telefonischer Kontakt mit dem Mandantenadministrator des Kunden durch ein speziell geschultes Mitglied des Support-Teams
Die Kundenbenachrichtigungsverpflichtungen von Microsoft sind in zwei Abschnitten des Nachtrags zum Datenschutz von Microsoft-Produkten und -Diensten beschrieben.
Benachrichtigung bei Sicherheitsvorfällen
Benachrichtigungen über Sicherheitsvorfälle werden auf beliebige Weise an einen oder mehrere Administratoren des Kunden übermittelt, die Microsoft auswählt, einschließlich per E-Mail. Es liegt in der alleinigen Verantwortung des Kunden, sicherzustellen, dass die Administratoren des Kunden genaue Kontaktinformationen auf jedem anwendbaren Onlinedienste Portal verwalten. Der Kunde ist allein verantwortlich für die Erfüllung seiner Verpflichtungen aus den für den Kunden geltenden Gesetzen zur Benachrichtigung von Vorfällen und die Erfüllung aller Benachrichtigungspflichten dritter Parteien im Zusammenhang mit sicherheitsrelevanten Vorfällen.
Microsoft unternimmt angemessene Anstrengungen, um den Kunden bei der Erfüllung seiner Verpflichtung gemäß Artikel 33 DSGVO oder anderen anwendbaren Gesetzen oder Vorschriften zu unterstützen, die zuständige Aufsichtsbehörde und die betroffenen Personen über einen solchen Sicherheitsvorfall zu informieren.
Die Benachrichtigung von Microsoft über einen Sicherheitsvorfall oder die Reaktion auf einen Sicherheitsvorfall gemäß diesem Abschnitt ist keine Anerkennung eines Verschuldens oder einer Haftung von Microsoft in Bezug auf den Sicherheitsvorfall.
Kunden müssen Microsoft unverzüglich über einen möglichen Missbrauch seiner Konten oder Authentifizierungsanmeldeinformationen oder über sicherheitsrelevante Vorfälle im Zusammenhang mit einem Onlinedienst benachrichtigen.
Anhang A – Sicherheitsmaßnahmen
Verfahren zur Reaktion auf Vorfälle
Für jeden Sicherheitsvorfall, bei dem es sich um eine Verletzung von Kundendaten handelt, erfolgt die Benachrichtigung durch Microsoft (wie im Abschnitt "Benachrichtigung zu Sicherheitsvorfällen" beschrieben) ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden.
Verantwortlichkeit des Kunden
Um sicherzustellen, dass Benachrichtigungen umgehend bei den richtigen Kundenkontakten eingehen, müssen die Kunden in ihren Mandantenprofilen genaue Kontaktinformationen pflegen.
Kunden sollten sicherstellen, dass ihre Kontaktinformationen im Microsoft 365 Admin Center auf dem neuesten Stand sind.
Kundenadministratoren sollten die Optionen für die Anzeige von Datenschutznachrichten im Nachrichtenzentrum konfigurieren, um sicherzustellen, dass die zuständigen Kundenadministratoren auf Vorfallbenachrichtigungen aufmerksam gemacht werden.
Bei Bedarf können globale Administratoren weitere Rollen mit Zugriff auf Nachrichtencenterinhalte konfigurieren, um zu vermeiden, dass Nichtadministratoren, die Zugriff auf Incidentbenachrichtigungen benötigen, unnötige Administratorrechte gewährt werden.
Kunden sind gemeinsam mit Microsoft für die Meldung von Sicherheitsvorfällen verantwortlich. Im Zusammenhang mit den kommerziellen Diensten von Microsoft (im Gegensatz zu den Verbraucherdiensten) ist Microsoft der Datenverarbeiter, während der Kunde der Datencontroller ist. Bei einem Sicherheitsvorfall, bei dem Microsoft als Datenverarbeiter fungiert, benachrichtigt Microsoft die betroffenen Kunden, die dann dafür verantwortlich sind, ihre Datenschutzbehörden, Regulierungsbehörden und betroffenen Benutzer gemäß den einschlägigen Vorschriften oder Gesetzen zu benachrichtigen. Wenn ein Kunde von einem Sicherheitsvorfall im Zusammenhang mit seinen eigenen Benutzerkonten oder einem Microsoft-Onlinedienst Kenntnis erlangt, muss der Kunde Microsoft darüber hinaus unverzüglich benachrichtigen, wie im Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten beschrieben.