Einführung in die Verwaltung von Subprozessoren unter Microsoft 365
Microsoft arbeitet mit anderen Unternehmen zusammen, um unsere Onlinedienste zu unterstützen und innovative Lösungen bereitzustellen, die den Anforderungen unserer Kunden entsprechen. Wir beziehen uns auf Drittanbieter, die Microsoft Online Services abhängig von der von ihnen erbrachten Arbeit als Lieferanten oder Unterauftragsverarbeiter unterstützen. Die Sicherheitsrichtlinien von Microsoft umfassen die Überwachung von Lieferanten, um die personenbezogenen Daten von Kunden und vertrauliche Microsoft-Daten vor unbefugtem Zugriff, Änderung oder Zerstörung zu schützen.
Die Sicherheit und der Datenschutz von Lieferanten bei Microsoft unterliegen unserem Programm für Lieferantensicherheit und Datenschutz (Supplier Security and Privacy Assurance, SSPA), einem unternehmensweiten Programm, das grundlegende Datenverarbeitungsanweisungen für alle Lieferanten bereitstellt, die mit Microsoft zusammenarbeiten und personenbezogene oder Kundendaten verarbeiten können, um die von Microsoft aufbewahrten Dienste zu erbringen. Das SSPA-Programm standardisiert lieferantenanforderungen und stellt sicher, dass alle Unterauftragsverarbeiter unsere Datenschutzanforderungen (DATA Protection Requirements, DPR) erfüllen oder übertreffen, ein Rahmen für Sicherheits- und Datenschutzkontrollen, die zum Schutz der von ihnen verarbeiteten Daten entwickelt wurden. Die Anforderungen des SSPA-Programms werden durch einen strengen Onboardingprozess erzwungen, um zu überprüfen, ob alle anwendbaren Anforderungen für neue Lieferanten erfüllt wurden, bevor sie mit der Vertragsarbeit beginnen. Die Lieferanten müssen jährlich eine zusätzliche Überprüfung der Einhaltung der DPR durchführen. Wenn Lieferanten keinen Zugriff mehr auf Daten benötigen, schützen strenge Offboarding-Prozesse die Kundendaten vor unbefugtem Zugriff oder Verlust.
Zusätzlich zum SSPA-Programm implementieren einzelne Microsoft-Einheiten zusätzliche Anforderungen, um die Anzahl der autorisierten Unterauftragsverarbeiter zu begrenzen. Zusammen mit dem SSPA-Programm mindern Microsoft Online Services die Risiken, die normalerweise mit der Unterverarbeitung verbunden sind, indem strenge Sicherheits- und Datenschutzkontrollen erforderlich sind, während gleichzeitig single points of Failure minimiert werden, die durch zu starke Abhängigkeit von einem einzelnen Anbieter verursacht werden.