Microsoft-Anforderungen für Unterauftragsverarbeiter verstehen
Microsoft verarbeitet viele Arten von Daten als Teil der Bereitstellung von Clouddiensten für unsere Kunden. Die von uns verarbeiteten Daten kategorisieren wir, um sicherzustellen, dass sie mit angemessenen Sicherheits- und Datenschutzvorkehrungen behandelt werden. Kategorien von Daten, die von Microsoft verarbeitet werden, sind im Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten (DPA) definiert.
Wenn Microsoft einen Lieferanten verwendet, um einen Aspekt unserer Onlinedienste bereitzustellen, der den Lieferanten möglicherweise zur Verarbeitung dieser Daten auffordern kann, wird der Lieferant als "Unterauftragsverarbeiter" (gemäß der DSGVO-Terminologie) identifiziert. Alle Unterauftragsverarbeiter, die "personenbezogene Daten" und "Vertrauliche Microsoft-Daten" verarbeiten, müssen sich an das Microsoft Supplier Security and Privacy Assurance (SSPA)-Programm halten, bevor sie daten im Auftrag von Microsoft verarbeiten dürfen.
Datenarten, die in Microsoft freigegeben werden
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die auch als betroffene Person bezeichnet wird. Personenbezogene Daten können in vier separate und unterschiedliche Datenkategorien unterteilt werden:
- Kundendaten sind alle Daten, einschließlich aller Text-, Ton-, Video- oder Bilddateien und Softwaredateien, die Microsoft durch oder im Namen des Kunden durch die Nutzung des Onlinediensts zur Verfügung gestellt werden, mit Ausnahme von Microsoft Professional Services-Daten.
- Vom Dienst generierte Daten umfassen alle Daten, die von Microsoft über die Verwendung eines Onlinediensts „generiert“ oder „abgeleitet“ werden. Microsoft fasst diese Daten aus unseren Onlinediensten zusammen und verwendet sie, um sicherzustellen, dass Leistung, Sicherheit, Skalierung und andere Dienste, die sich auf die Kundenerfahrung auswirken, auf dem von unseren Kunden gewünschten Niveau betrieben werden.
- Diagnosedaten umfasst alle Daten, die von Anwendungen „gesammelt“ oder „abgerufen“ werden, die lokal zur Verwendung in Verbindung mit dem Microsoft-Onlinedienst für Unternehmen installiert sind. Sie werden verwendet, um Microsoft dabei zu helfen, die Sicherheit und ordnungsgemäße Ausführung der Client-Software zu gewährleisten.
- Professional Services-Daten sind alle Daten, einschließlich aller Text-, Ton-, Video-, Bilddateien oder Software, die Microsoft von einem Kunden oder im Auftrag eines Kunden bereitgestellt werden (oder den der Kunde Microsoft autorisiert, von einem Produkt zu beziehen) oder anderweitig von Oder im Auftrag von Microsoft im Rahmen einer Zusammenarbeit mit Microsoft erhalten oder verarbeitet werden, um Professional Services zu erhalten. Professional Services-Daten umfassen Supportdaten, die Microsoft während des technischen Supports für einen Onlinedienst bereitstellt.
- Microsoft Confidential Data bezieht sich auf alle Informationen, die, wenn sie durch Vertraulichkeit oder Integrität kompromittiert werden, zu erheblichen Reputations- oder finanziellen Verlusten für Microsoft führen können. Dies kann Informationen zur Entwicklung, Zum Testen oder zur Herstellung von Microsoft-Produkten, Lizenzschlüsseln und Vorabversions-Marketingmaterialien umfassen.
| Datentypen | Definition |
|---|---|
| Kundendaten | Vom Kunden bereitgestellt |
| Diagnosedaten | Gesammelte oder erhaltene Software, die vom Kunden installiert wurde |
| Vom Dienst generierte Daten | Generiert oder abgeleitet von Microsoft |
| Daten zu professionelle Dienstleistungen Supportdaten |
Vom Kunden im Zusammenhang mit Professional Services bereitgestellt Eine Teilmenge der vom Kunden im Zusammenhang mit dem technischen Support bereitgestellten Daten für professionelle Dienstleistungen |
| Personenbezogene Daten | Jeder der oben definierten Datentypen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen |
SSPA-Programm (Microsoft Supplier Security and Privacy Assurance)
Das SSPA-Programm (Supplier Security and Privacy Assurance) von Microsoft ist ein Unternehmensprogramm, das darauf abzielt, die Datenverarbeitungspraktiken zu standardisieren und zu stärken, indem Datenschutz- und Sicherheitsanforderungen für Microsoft-Lieferanten festgelegt werden. Das SSPA-Programm verlangt von Lieferanten, dass sie die Einhaltung der strengen Datenschutz- und Sicherheitsrichtlinien von Microsoft, der gesetzlichen Verpflichtungen und der Kundenerwartungen nachweisen. Zum Schutz der Daten, die unseren Lieferanten anvertraut werden, fordert Microsoft von allen Unterauftragsverarbeitern, die personenbezogene Daten oder vertrauliche Microsoft-Daten verarbeiten, die Einhaltung des SSPA-Programms.
Das SSPA-Programm umfasst eine Reihe von Sicherheits- und Datenschutzkontrollen, die von Unterauftragsverarbeiter vor der Verarbeitung von Daten im Auftrag von Microsoft implementiert werden müssen. Wir definieren diese Kontrollen in den Datenschutzanforderungen (Data Protection Requirements, DPR). Alle Unterauftragsverarbeiter, die in das SSPA-Programm angemeldet sind, müssen ihre Übereinstimmung mit den anwendbaren DPR-Kontrollen überprüfen und bescheinigen, bevor sie mit der vertraglich vereinbarten Arbeit beginnen. Darüber hinaus müssen die Unterauftragsverarbeiter jährlich eine Selbstbescheinigung über die Einhaltung der DPR ausfüllen. Abhängig von der Risikostufe, die mit den verarbeiteten Daten und den vom Unterauftragsverarbeiter bereitgestellten Diensten verbunden ist, können zusätzliche Anforderungen erforderlich sein. Diese zusätzlichen Anforderungen werden später in diesem Modul behandelt.
Die Einhaltung der Anforderungen des SSPA-Programms durch die Unterauftragsverarbeiter wird in den Einkaufstools von Microsoft nachverfolgt. Einkaufstools erlauben es nicht, Engagements mit Unterauftragsverarbeitern voranzutreiben, bis alle Anforderungen erfüllt sind. Die Nichteinhaltung der Anforderungen des SSPA führt dazu, dass der Unterauftragsverarbeiter daran gehindert wird, im Namen von Microsoft auf Daten zuzugreifen oder sie zu verarbeiten.