Datenspeicherorte für die Europäische UnionData locations for the European Union

Ihre Daten sind Ihr GeschäftYour data is your business

Microsoft ist sich der Wichtigkeit der Wahrung des Datenschutzes und der Vertraulichkeit Ihrer Geschäftsdaten bewusst.Microsoft recognizes the importance of maintaining the privacy and confidentiality of your business data. Ihre Daten gehören Ihnen, und Sie können jederzeit darauf zugreifen, sie ändern oder löschen.Your data belongs to you, and you can access, modify, or delete it at any time. Microsoft wird Ihre Daten nie ohne Ihre Zustimmung verwenden, und wenn wir Ihr Einverständnis haben, dann verwenden wir Ihre Daten nur zur Bereitstellung der von Ihnen ausgewählten Dienste.Microsoft will not use your data without your consent and, when we have your consent, we use your data to provide only the services you have chosen. Wenn Sie einen unserer Dienste nicht mehr verwenden, stellen wir sicher, dass Sie weiterhin Eigentümer Ihrer Daten sind, und wir folgen strengen Standards und Prozessen, um Ihre Daten aus unseren Systemen zu entfernen.If you leave one of our services, we ensure your continued ownership of your data, following strict standards and processes to remove the data from our systems.

Hinweis

Kundendaten (auch als „Ihre Daten“ oder „Ihre Geschäftsdaten“ bezeichnet) sind alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien und Software, die Sie Microsoft zur Verfügung stellen oder die in Ihrem Namen durch Ihre Nutzung von Microsoft-Onlinediensten für Unternehmen bereitgestellt werden, mit Ausnahme von Microsoft Professional Services.Customer data (also referred to as “your data” or “your business data”) means all data, including text, sound, video or image files, and software that you provide to Microsoft or that’s provided on your behalf through your use of Microsoft enterprise online services, excluding Microsoft Professional Services. Es enthält Kundeninhalte, d. h. die Daten, die Sie zur Speicherung oder Verarbeitung hochladen, sowie Apps, die Sie zur Verteilung über einen Microsoft Enterprise Cloud-Dienst hochladen.It includes customer content, which is the data you upload for storage or processing and apps you upload for distribution through a Microsoft enterprise cloud service. Zu den Kundeninhalten gehören beispielsweise Exchange Online E-Mails und Anhänge, SharePoint Online-Websiteinhalte oder Chat-Unterhaltungen.For example, customer content includes Exchange Online email and attachments, SharePoint Online site content, or instant messaging conversations.

Datenspeicherung und -VerarbeitungData storage and processing

Wenn Sie Microsoft 365-Dienste verwenden, gehen wir davon aus, dass unsere Unternehmenskunden ihre Geschäftsdaten in der Nähe des Geschäftssitzes gespeichert und verarbeitet haben möchten.When you use Microsoft 365 services, we start with the assumption that our enterprise customers would like to have their business data stored and processed close to home. Wo immer dies möglich ist, tun wir genau dies.Wherever possible, we do just that. Um Ihre Daten in Rechenzentren in Ihrer Nähe zu behalten, speichern wir Ihre Daten basierend auf dem Unternehmensstandort, den Sie beim Erstellen Ihres Mandanten angeben.To keep your data in datacenters nearest to you, we store your data based on the business location you provide when you create your tenant. Um Speicherorte auszuwählen, die für die Geschäftstätigkeit Ihres Unternehmens von Bedeutung sind, können Sie beliebig viele Mandanten für Ihr Unternehmen erstellen.To choose storage locations that are meaningful to your organization’s businesses, you may create as many tenants for your organization as you would like.

Datenspeicherorte in der Europäischen UnionWhere EU data is stored

Wir haben Rechenzentrum in Deutschland und Frankreich eingerichtet, was Ihnen erlaubt, Daten in diesen beiden Ländern zu speichern, wenn sich Ihr Unternehmen dort befindet.We have datacenter geos in Germany and France that allow you to store data in your country if your business is located there. Unsere regionalen Rechenzentren in der Europäischen Union befinden sich in Österreich, Finnland, Frankreich, Irland und den Niederlanden.Our regional European Union data centers are located in Austria, Finland, France, Ireland, and the Netherlands. Ihre Daten für die nachstehenden Dienste werden an den folgenden Standorten gehostet, basierend auf der von Ihnen ausgewählten Rechnungsadresse:Your data for the following services will be hosted in the following locations based on which billing address you choose:

DienstnameService name Standort für Mandanten, die mit einer Rechnungsadresse in Frankreich erstellt wurdenLocation for tenants created with a billing address in France Standort für Mandanten, die mit einer Rechnungsadresse in Deutschland erstellt wurdenLocation for tenants created with a billing address in Germany Standort für Mandanten, die mit einer Rechnungsadresse in einem der anderen Länder der EU erstellt wurdenLocation for tenants created with a billing address in all other EU countries
Exchange OnlineExchange Online FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
OneDrive for BusinessOneDrive for Business FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
Microsoft Office SharePoint OnlineSharePoint Online FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
Skype for BusinessSkype for Business Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union
Microsoft TeamsMicrosoft Teams FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
Office Online und MobilOffice Online & Mobile FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
Exchange Online ProtectionExchange Online Protection FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
IntuneIntune Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union
MyAnalyticsMyAnalytics FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
PlannerPlanner Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union
YammerYammer Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union
OneNote ServicesOneNote Services FrankreichFrance DeutschlandGermany Europäische UnionEuropean Union
StreamStream Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union
WhiteboardWhiteboard Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union
FormulareForms Europäische UnionEuropean Union Europäische UnionEuropean Union Europäische UnionEuropean Union

Hinweis

Wenn Sie über ein Office 365 Education-Abonnement mit einer Rechnungsadresse in Frankreich oder Deutschland verfügen, können Ihre Daten in unseren regionalen Rechenzentren in der Europäischen Union gespeichert werden.If you have an Office 365 Education subscription with a billing address in France or Germany, your data may be stored in our regional European Union datacenters. Informationen über die Speicherorte Ihrer Mandantendaten außerhalb der EU finden sie unter Wo werden Ihre Microsoft 365-Kundendaten gespeichert.For the locations of tenant data outside of the EU, see Where your Microsoft 365 customer data is stored.

Datenverarbeitungsorte in der Europäischen UnionWhere EU data is computed

Wenn Sie die Nutzung eines der oben genannten Dienste beginnen, findet die Verarbeitung, die zur Bereitstellung des Dienstes für Ihre in einem unserer regionalen europäischen Rechenzentren (oder in Ihrem Land) gespeicherten Daten erforderlich ist, innerhalb derselben geografischen Grenze statt, sofern keine vorübergehende Datenübertragung erforderlich ist, um die Verarbeitung in einem weiter entfernten Microsoft-Rechenzentrum durchzuführen.When you initiate the use of any of the above services, the computations needed to provide the service for your data stored in one of our regional European datacenters (or in your country) will take place within that same geographic boundary unless a temporary data transfer is needed to perform the computation in a Microsoft datacenter located further away.

Wenn eine vorübergehende Übertragung erforderlich ist, verwenden wir bei der Übertragung stets eine dem letzten Stand der Technik entsprechende Verschlüsselung, und wir werden Ihre Daten immer unmittelbar nach der Verarbeitung an den von Ihnen ausgewählten Datenspeicherort zurücksenden.If a temporary transfer is required, we will always employ state of the art encryption in the transfer and we will always return your data to your chosen data storage location immediately thereafter. Wir setzen bei diesen vorübergehenden Übertragungen auf unsere Einhaltung europäischer Gesetze durch die Standardvertragsklauseln (SCCs – Standard Contractual Clauses) sowie unsere ergänzenden Maßnahmen zum Schutz der Daten.We rely on our compliance with European law through the Standard Contractual Clauses (SCCs) for these temporary transfers, along with our supplemental measures to ensure the data is protected.

Weitere Informationen finden Sie in den Standardvertragsklauseln der Europäischen Union.To learn more, see European Union Model Clauses.

Hinweis

Kundendaten für Sway und Workplace Analytics werden in den USA gespeichert und verarbeitet, wenn Sie diese Dienste nutzen.Customer data for Sway and Workplace Analytics will be stored and computed in the United States if you elect to use these services.

Hinweis

Microsoft 365-Dienste können Teile von Informationen zu Mandantenverzeichnissen / Identitätsdaten in anderen Regionen als der EU abfragen und speichern, um bestimmte Szenarien zu vereinfachen.Microsoft 365 services may query and store portions of tenant directory/identity data information in regions other than the EU where necessary to facilitate certain scenarios. In Szenarien mit überregionalen e-Mail-Routing, Anrufweiterleitung und Authentifizierung benötigen Microsoft 365-Systeme möglicherweise einige Informationen zu EU-Empfängern, um diese Anforderungen ordnungsgemäß weiterzuleiten.For example, in scenarios of cross regional e-mail routing, call routing and authentication, Microsoft 365 systems may need some information about EU recipients to route these requests properly. Microsoft 365-Systeme sind für Identitäts- und Authentifizierungsfunktionen auch von Azure Active Directory abhängig.Microsoft 365 systems also depend on Azure Active Directory for identity and authentication functions. Weitere Informationen finden Sie unter Identitätsdatenspeicherung für europäische Kunden in Azure Active Directory.To learn more, see Identity data storage for European customers in Azure Active Directory.

So schützt Microsoft Ihre DatenHow Microsoft protects your data

SicherheitsmaßnahmenSecurity measures

Microsoft schützt Ihre Daten mithilfe mehrerer Ebenen von Sicherheits- und Verschlüsselungsprotokollen.Microsoft secures your data using multiple layers of security and encryption protocols. Erhalten Sie einen Überblick über die Microsoft-Datensicherheitsfunktionen im Artikel Microsoft 365-Verschlüsselung.Get an overview of Microsoft data security capabilities in the Microsoft 365 encryption article.

Standardmäßig schützen von Microsoft verwaltete Schlüssel Ihre Kundendaten.By default, Microsoft Managed Keys protect your customer data. Daten, die auf beliebigen physischen Medien persistiert sind, werden immer mit FIPS 140-2-kompatiblen Verschlüsselungsprotokollen verschlüsselt.Data that persists on any physical media is always encrypted using FIPS 140-2 compliant encryption protocols. Sie können auch selbst verwaltete Schlüssel (CMK – Customer Managed Keys), doppelte Verschlüsselung und/oder HSM (Hardware Security Modules) verwenden, um den Datenschutz zu erhöhen.You can also employ customer-managed keys (CMK), double encryption, and/or hardware security modules (HSMs) for increased data protection.

Der gesamte Datenverkehr zwischen Rechenzentren wird auch mithilfe von IEEE 802.1AE Mac-Sicherheitsstandards geschützt und verhindert so physische „Mann-in-der-Mitte“-Angriffe.All data traffic moving between datacenters is also protected using IEEE 802.1AE MAC Security Standards, preventing physical "man-in-the-middle" attacks.

Um unbefugten Zutritt in Rechenzentren zu verhindern, verwenden wir strenge Betriebskontrollen und Prozesse, die Videoüberwachung rund um die Uhr, geschultes Sicherheitspersonal und -Prozesse sowie Zugriffskontrollen mit Smartcards oder mehrfachen biometrischen Faktoren umfassen.To prevent unauthorized physical access to datacenters, we employ rigorous operational controls and processes that include 24×7 video monitoring, trained security personnel and processes, and smart card or biometric multifactor access controls. Nach Ende der Lebensdauer werden Datendisketten zerkleinert und vernichtet.Upon end of life, data disks are shredded and destroyed. Wenn ein für die Speicherung verwendetes Festplattenlaufwerk einen Hardwarefehler aufweist oder sein Lebensende erreicht, wird es sicher gelöscht oder vernichtet.If a disk drive used for storage suffers a hardware failure or reaches its end of life, it is securely erased or destroyed. Die Daten auf dem Laufwerk werden vollständig überschrieben, um sicherzustellen, dass die Daten auf keinen Fall wiederhergestellt werden können.The data on the drive is completely overwritten to ensure the data cannot be recovered by any means. Wenn solche Geräte außer Betrieb genommen werden, werden Sie gemäß NIST Special Publication 800-88 R1 (Richtlinien für die Medienbereinigung) zerkleinert und vernichtet.When such devices are decommissioned, they are shredded and destroyed in line with NIST SP 800-88 R1, Guidelines for Media Sanitization. Aufzeichnungen über die Vernichtung werden als Teil des Microsoft-Audit- und Compliance-Prozesses aufbewahrt und überprüft.Records of the destruction are retained and reviewed as part of the Microsoft audit and compliance process. Alle Microsoft 365-Dienste nutzen genehmigte Medienspeicher und Verwaltungsdienste für die Entsorgung.All Microsoft 365 services utilize approved media storage and disposal management services.

Technische KontrollenTechnical controls

Zusätzlich zu den physischen und technologischen Schutzmaßnahmen hat Microsoft strenge Maßnahmen ergriffen, um Ihre Kundendaten vor unbefugtem Zugriff durch Microsoft-Mitarbeiter und -Subunternehmer zu schützen.In addition to the physical and technological protections, Microsoft takes strong measures to help protect your customer data from unauthorized access by Microsoft personnel and subcontractors. Der Zugriff auf Kundendaten durch Microsoft-Betriebs- und Supportmitarbeiter wird standardmäßig verweigert.Access to customer data by Microsoft operations and support personnel is denied by default. Fast alle von Microsoft durchgeführten Servicevorgänge sind vollständig automatisiert, und menschliche Eingriffe werden stark kontrolliert und von den Kundendaten abstrahiert.Nearly all service operations performed by Microsoft are fully automated and human involvement is highly controlled and abstracted away from customer data.

Nur in seltenen Fällen benötigt ein Microsoft-Techniker Zugriff auf Kundendaten.Only in rare cases does a Microsoft engineer need access to customer data. Dies ist normalerweise nur notwendig, wenn Sie von Microsoft Hilfe zur Behebung eines Kundenproblems anfordern.Typically this is only necessary if you request Microsoft’s assistance to resolve a customer issue. Der Zugriff auf Kundendaten wird durch rollenbasierte Zugriffskontrollen, Multifaktorauthentifizierung, Datenminimierung und andere Kontrollen eingeschränkt.Access to customer data is highly restricted by role-based access controls, multifactor authentication, data minimization and other controls. Der gesamte Zugriff auf Kundendaten wird streng protokolliert, und sowohl Microsoft als auch Dritte führen regelmäßige Audits (und auch Stichprobenaudits) durch, um zu belegen, dass der Zugriff angemessen ist.All access to customer data is strictly logged, and both Microsoft and third parties perform regular audits (as well as sample audits) to attest that any access is appropriate.

Kunden können selbst verwaltete Schlüssel verwenden, um zu verhindern, dass Ihre Daten im Falle eines nicht autorisierten Zugriffs lesbar sind.Customers can use customer-managed keys to further prevent their data from being readable in case of unauthorized access. Sowohl die serverseitige als auch die clientseitige Verschlüsselung kann auf vom Kunden verwalteten oder vom Kunden bereitgestellten Schlüsseln basieren.Both server-side and client-side encryption can rely on customer-managed keys or customer-provided keys. In beiden Fällen hätte Microsoft keinen Zugriff auf die Verschlüsselungsschlüssel und könnte die Daten nicht entschlüsseln.In either case, Microsoft would not have access to encryption keys and cannot decrypt the data. Eine SOC-Prüfung durch einen von der AICPA (American Institute of Certified Public Accountants) akkreditierten Auditor überprüft zweimal im Jahr ebenfalls die Wirksamkeit unserer Sicherheitskontrollen im Prüfungsumfang.A SOC audit by an AICPA-accredited auditor twice a year to verifies the effectiveness of our security controls in audit scope. Der vom Auditor veröffentlichte Bericht „SOC 2-Typ-2-Bescheinigung“ erläutert, unter welchen Umständen und wie der Zugang zu Kundendaten stattfinden kann.The SOC 2 Type 2 attestation report published by the auditor explains under what circumstances access to customer data can occur and how.

Zusätzlich zum Speichern und Verarbeiten Ihrer Daten bei der Nutzung der Onlinedienste generiert Microsoft Servicedaten, um die Systemintegrität zu überwachen und Servicevorgänge wie die Problembehandlung durchzuführen.In addition to storing and processing your data when you use the online services, Microsoft generates service data to monitor system health and to perform service operations such as troubleshooting. Als Datenschutzmaßnahme generiert und verwendet Microsoft pseudonyme Bezeichnungen in diesem Dienst, um Daten zu generieren, die einen Benutzer von einem anderen unterscheiden, ohne die tatsächlichen Benutzer zu identifizieren.As a privacy protective measure, Microsoft generates and relies upon pseudonymous identifiers in this service generated data to be able to distinguish one user from another without identifying the actual users. Pseudonyme Bezeichner identifizieren nicht direkt eine Person, und die Informationen, die das Zuordnen von pseudonymen Bezeichnern zu tatsächlichen Benutzern ermöglichen, sind als Teil Ihrer Daten geschützt.Pseudonymous identifiers do not directly identify a person, and the information that enables mapping pseudonymous identifiers to actual users is protected as part of your data.

Weitere Informationen finden Sie unter Wer kann auf Ihre Daten zugreifen (und unter welchen Bedingungen) und Subunternehmen und Datenschutz.To learn more, see Who can access your data and on what terms and Subprocessors and Data Privacy.

Umgang von Microsoft mit BehördenanforderungenHow Microsoft handles government requests

Wenn eine Behörde Zugriff auf Kundendaten haben möchte, muss sie sich an die geltenden rechtlichen Verfahren halten.If a government wants customer data, it must follow applicable legal processes. Microsoft muss eine Ermächtigung oder eine gerichtliche Anordnung für Inhalte, oder eine Vorladung für Abonnenteninformationen oder andere nicht inhaltsbezogene Daten zugestellt werden.Microsoft must be served with a warrant or court order for content, or a subpoena for subscriber information or other non-content data.

  • Alle Anforderungen müssen sich auf spezifische Konten und Bezeichner beziehen.All requests must target specific accounts and identifiers.
  • Das Microsoft-Team für die Einhaltung gesetzlicher Vorschriften prüft alle Anforderungen, um sicherzustellen, dass sie gültig sind, lehnt diejenigen ab, die nicht gültig sind, und stellt nur die spezifizierten Daten zur Verfügung.Microsoft’s legal compliance team reviews all requests to ensure they are valid, rejects those that are not valid, and only provides the data specified.
  • Wenn Microsoft gesetzlich zur Offenlegung von Kundendaten verpflichtet ist, werden Sie umgehend benachrichtigt und erhalten eine Kopie der Anforderung, es sei denn, Microsoft ist dies gesetzlich untersagt.If Microsoft is compelled by law to disclose customer data, you will be promptly notified and provided with a copy of the request, unless Microsoft is legally prohibited from doing so.
  • Microsoft führt eine lokale rechtliche Überprüfung jeder eingegangenen Anforderung auf die Übereinstimmung mit lokalen Gesetzen und Standards durch.Microsoft conducts a local legal review of each request it receives against local laws and standards. Außerdem überprüft Microsoft regelmäßig seine Screening-Prozesse auf der ganzen Welt, um sicherzustellen, dass die lokalen Rechtsprozeduren eingehalten werden und seine globale Menschenrechtserklärung angewendet wird.Microsoft also periodically reviews its screening processes around the world to ensure local judicial procedures are being followed and its global human rights statement is being applied.

Weitere Informationen zu den Bemühungen von Microsoft, Anforderungen gemäß der EU-DSGVO anzufechten, finden Sie unter neue Schritte zur Verteidigung Ihrer Daten.For more information on Microsoft’s commitment to challenge orders in line with the EU’s GDPR, see New Steps to Defend Your Data.

Wenn Regierungen oder Strafverfolgungsbehörden rechtmäßig Kundendaten anfordern, verpflichtet sich Microsoft zur Transparenz und schränkt die offengelegten Daten ein.When governments or law enforcement agencies make a lawful request for customer data, Microsoft is committed to transparency and limits what it discloses. Zweimal im Jahr veröffentlichen wir die Anzahl der gesetzlichen Anforderungen für Kundendaten, die wir von Strafverfolgungsbehörden auf der ganzen Welt erhalten haben.Twice a year, we publish the number of legal demands for customer data that we receive from law enforcement agencies around the world. Weitere Informationen finden Sie unter Bericht über die Strafverfolgungsanforderungen.See Law Enforcement Requests Report. In diesem Bericht werden die Einzelheiten einer bestimmten Anforderung, einschließlich des betroffenen Kunden, nicht offengelegt.This report does not disclose the specifics of any particular demand, including the customer at issue. Zweimal im Jahr veröffentlichen wir auch Daten zu den rechtlichen Anforderungen, die wir von der US-Regierung erhalten haben.Twice a year, we also publish data about the legal demands we receive from the U.S. government. Den neuesten Bericht finden Sie unter Bericht über nationale Sicherheitsaufträge der USA.See US National Security Orders Report for the latest report.

Weitere Informationen betreffend Anforderungen von Regierungen und Strafverfolgungsbehörden finden Sie unter häufig gestellte Fragen, einschließlich Fragen zum CLOUD-Act (CLOUD – Clarifying Lawful Overseas Use of Data).To learn more, see Frequently Asked Questions regarding government and law enforcement requests, including questions about the CLOUD Act.

Weitere RessourcenAdditional resources