Anforderungen für Zugriffskontrollen von Unterauftragsverarbeitern kennenlernen
Wenn ein Unterauftragsverarbeiter "potenziell auf personenbezogene Daten" oder vertrauliche Microsoft-Daten zugreifen kann, bedeutet dies, dass er diese Daten jederzeit und wie gewünscht verarbeiten kann? Microsoft erlaubt Unterauftragsverarbeitern, Daten zu verarbeiten, nur um die Dienste zu erbringen, die Microsoft ihnen zur Verfügung gestellt hat, und sie dürfen die Daten nicht für andere Zwecke verwenden. Personenbezogene Daten, die von Unterauftragsverarbeitern verarbeitet werden, werden häufig pseudonymisiert oder deidentifiziert, sodass Unterauftragsverarbeiter ihre Aufgaben erfüllen können, ohne auf identifizierbare Attribute zuzugreifen. Microsoft verlangt, dass jeder Unterauftragsverarbeiter geeignete Zugriffssteuerungen verwendet, um die von ihnen verarbeiteten Daten zu schützen.
Typen von Unterauftragsverarbeitern
Microsoft hat drei Kategorien von Unterauftragsverarbeitern festgelegt:
- Technologie: Unterauftragsverarbeiter von Drittanbietern, die Technologien unterstützen, die nahtlos in Microsoft Online Services integriert sind und teilweise die Microsoft-Cloudfunktionen unterstützen. Wenn Sie einen dieser Dienste bereitstellen, können die für diesen Dienst identifizierten Unterauftragsverarbeiter Kundendaten oder personenbezogene Daten verarbeiten, speichern oder anderweitig darauf zugreifen, während sie dabei helfen, diesen Dienst bereitzustellen.
- Zusätzliche: Unterauftragsverarbeiter von Drittanbietern, die begleitende Dienste bereitstellen, die bei der Unterstützung, dem Betrieb und der Wartung der Onlinedienste helfen. In solchen Fällen können die für diesen Dienst benannten Unterauftragsverarbeiter begrenzte Kundendaten oder personenbezogenen Daten während der Bereitstellung ihrer zusätzlichen Dienste verarbeiten, speichern oder anderweitig darauf zugreifen.
- Vertragsmitarbeiter: Organisationen, die Vertragsmitarbeiter bereitstellen, die seite an Seite mit Vollzeitmitarbeitern von Microsoft arbeiten, um Microsoft Online Services zu unterstützen, zu betreiben und zu verwalten. In all diesen Fällen befinden sich Kundendaten oder personenbezogene Daten nur in Microsoft-Einrichtungen, auf Microsoft-Systemen und unterliegen microsoft-Richtlinien und -Aufsicht.
Darüber hinaus stellen Microsoft-Rechenzentrumsentitäten die Rechenzentrumsinfrastruktur bereit, in der Microsoft Online Services ausgeführt werden. Die Daten in Rechenzentren werden verschlüsselt, und kein Personal innerhalb der Rechenzentren kann darauf zugreifen.
Zugriffskontrollen von Unterauftragsverarbeitern
Jeder Typ von Unterauftragsverarbeiter bei Microsoft setzt geeignete Zugriffskontrollen zum Schutz von Kunden- und personenbezogenen Daten durch. Alle Unterauftragsverarbeiter müssen die Sicherheit und Vertraulichkeit von Kunden- und personenbezogenen Daten gewährleisten und sind vertraglich dazu verpflichtet, strenge Datenschutz- und Sicherheitsanforderungen zu erfüllen. Diese Anforderungen entsprechen oder sind stärker als die vertraglichen Verpflichtungen, die Microsoft seinen Kunden im Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten eingegangen ist.
Vertragsmitarbeiter unterliegen den gleichen Zugriffskontrollen für Vollzeitmitarbeiter von Microsoft, einschließlich Multi-Faktor-Authentifizierung (MFA), Zero Standing Access (ZSA) und Just-In-Time (JIT) mit Just-Enough-Access (JEA). Darüber hinaus sind Unterauftragsverarbeiter, die in von Microsoft kontrollierten Einrichtungen oder mit von Microsoft kontrollierten Geräte arbeiten, vertraglich verpflichtet, unsere Datenschutzstandards zu befolgen und an regelmäßigen Datenschutzschulungen teilzunehmen.
Technologie- und Nebenauftragsverarbeiter sind für die Implementierung von Zugriffskontrollen in Übereinstimmung mit den Microsoft-Datenschutzanforderungen (DATA Protection Requirements, DPR) verantwortlich. Diese Anforderungen erfüllen oder überschreiten die vertraglichen Verpflichtungen, die Microsoft seinen Kunden in unseren Produktbedingungen einnimmt. Diese Unterauftragsverarbeiter haben möglicherweise das Potenzial, auf bestimmte eingeschränkte Daten wie Kunden- oder personenbezogene Daten zuzugreifen, um Funktionen zur Unterstützung von Microsoft-Onlinediensten bereitzustellen. Unterauftragsverarbeiterverträge verbieten ausdrücklich die Verwendung personenbezogener Daten für andere Zwecke. Darüber hinaus tragen die anwendbaren Kontrollen des DPR dazu bei, Kunden- und personenbezogene Daten vor unbefugtem Zugriff oder unbefugter Verwendung zu schützen. In vielen Fällen können die Aufgaben von Unterauftragsverarbeitern mit pseudonymisierten oder anonymisierten Daten erfüllt werden.
Unterauftragsverarbeiter müssen außerdem Datenschutz- und Sicherheitsanforderungen erfüllen, einschließlich solcher, die sich auf die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten beziehen.