Übersicht über die Datenschutz- und Datenverwaltung
Wie geht Microsoft mit dem Datenschutz für Kunden um?
Die Verpflichtung von Microsoft zum Schutz von Kundendaten ist in den Produktbedingungen und dem Datenschutzzusatz (Data Protection Addendum, DPA) dargelegt. Die Grundlage des Microsoft-Ansatzes für den Datenschutz basiert auf den folgenden Prinzipien: Kundenkontrolle, Transparenz, Sicherheit, Schutz von Daten vor dem Zugriff durch Dritte, keine inhaltsbasierte Ausrichtung und Einhaltung relevanter Gesetze und Vorschriften. Weitere Informationen finden Sie unter Datenschutz bei Microsoft und im Microsoft-Datenschutzbericht , um mehr über den Ansatz von Microsoft zum Schutz der Privatsphäre zu erfahren.
Wie setzt Microsoft seine Datenschutzverpflichtungen um?
Microsoft hält die Microsoft-Unternehmensdatenschutzrichtlinie und den Microsoft-Datenschutzstandard ein, um sicherzustellen, dass wir unsere Datenschutzverpflichtungen im gesamten Unternehmen erfüllen. Microsoft verfügt über Governance-Räte, Boards und Ausschüsse, um die konsistente und konforme Einführung und Implementierung unserer Datenschutzanforderungen des Unternehmens zu unterstützen. Das Datenschutzprogramm von Microsoft beginnt mit einem "Hub-and-Spoke"-Governancemodell, bei dem die Verantwortung für die Compliance im gesamten Unternehmen geteilt wird, einige zentralisiert und andere verteilt werden. Der "Hub" des Datenschutzteams von Microsoft ist die CELA-Gruppe (Corporate, External, and Legal Affairs). Die "Spokes" befinden sich in den technischen und funktionalen Gruppen des Unternehmens.
Microsoft verfügt auch über Datenverarbeitungsstandards, die Anleitungen zum Verwalten der einzelnen Datenklassifizierungstypen innerhalb bestimmter Aktivitäten oder Szenarien bieten, einschließlich Anforderungen zur Erfüllung der in den Produktbedingungen und DPA beschriebenen Verpflichtungen.
Wie sammelt und verarbeitet Microsoft Kundendaten?
Der Datenlebenszyklus beschreibt, wie Microsoft Daten basierend auf kundenbezogenen Anleitungen und in Übereinstimmung mit den geltenden Sicherheits- und Datenschutzgesetzen verarbeitet, wie in den Produktbedingungen und DPA angegeben. Zu den Phasen des Datenlebenszyklus gehören Sammlung, Verarbeitung, Speicherung, Freigabe von Drittanbietern (falls zutreffend), Aufbewahrung, Übertragung und Löschung. Der Ansatz von Microsoft zum Datenschutz informiert jede Phase des Datenlebenszyklus, um die Privatsphäre unserer Kunden zu schützen.
Microsoft beschränkt die Erfassung von Kundendaten auf drei Datenkategorien: Kundendaten, Personenbezogene Daten und Professional Services-Daten gemäß der Definition in der DPA. Microsoft verwendet und verarbeitet Daten aus diesen Kategorien, um Produkte und Dienste in Übereinstimmung mit den dokumentierten Anweisungen seiner Kunden und für Geschäftsbetriebsvorfälle zur Bereitstellung der Produkte und Dienste bereitzustellen. Spezifische Beschreibungen dieser Nutzungs- und Verarbeitungsaktivitäten sind in der DPA in den Abschnitten "Verarbeitung zur Bereitstellung der Produkte und Dienstleistungen für den Kunden" bzw. "Verarbeitung für Geschäftsbetriebsvorfälle zur Bereitstellung der Produkte und Dienstleistungen für den Kunden" definiert.
Wie geht Microsoft mit der Freigabe von Drittanbietern um?
Die Freigabe von Drittanbietern ist die Freigabe oder Weitergabe von Daten an Drittanbieter. Microsoft gibt Daten nur dann weiter, wenn dies vom Kunden autorisiert oder nach geltendem Recht dazu erforderlich ist. Microsoft gewährt keiner Regierung (einschließlich Strafverfolgungs- oder anderer Regierungsbehörden) direkten oder ungehinderten Zugriff auf Kundendaten. Weitere Informationen finden Sie im Bericht zur Anforderung von Strafverfolgungsbehörden und im Bericht zur nationalen Sicherheitsordnung der USA , um zu erfahren, wie Microsoft auf Anfragen von Behörden zum Zugriff auf Daten reagiert.
Verwendet Microsoft Unterauftragsverarbeiter oder Subunternehmer?
Informationen zur Verwaltung von Lieferanten durch Microsoft finden Sie auf der Seite Lieferantenverwaltung .
Wer hat Zugriff auf Kundendaten in Microsoft?
Informationen dazu, wie Microsoft den Zugriff auf Kundendaten verwaltet, finden Sie auf der Seite Identitäts- und Zugriffsverwaltung .
Wo befinden sich Kundendaten?
Informationen zu den wichtigsten Onlinediensten finden Sie in unseren Verpflichtungen, die in den Produktbedingungen und im DPA beschrieben sind, um die aktuellsten Informationen zum Standort der Kundendaten zu finden.
Wie im DPA für die Kern-Onlinedienste beschrieben, speichert Microsoft ruhende Kundendaten in bestimmten wichtigen geografischen Gebieten (jeweils einem geografischen Raum), wie in den Produktbedingungen festgelegt. Für kommerzielle Dienste im Geltungsbereich der Microsoft EU-Datengrenze speichert und verarbeitet Microsoft Kundendaten innerhalb der Europäischen Union, wie in den Produktbedingungen festgelegt. Microsoft kontrolliert oder beschränkt nicht die Regionen, aus denen Kunden oder Endbenutzer des Kunden auf Kundendaten zugreifen oder diese verschieben können.
Weitere Informationen finden Sie unter Microsoft-Datenschutz – Wo befinden sich Ihre Daten ?
Informationen zu Azure- und M365-Diensten finden Sie unter Azure Data Residency und M365-Datenspeicherorte.
Datenspeicherorte für andere Dienste:
- Azure DevOps Services
- Microsoft Entra-ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity Richtlinie für personenbezogene Daten
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft Professional Services
- Microsoft Threat Protection
Microsoft EU-Datengrenze
Am 6. Mai 2021 kündigte Microsoft die EU-Datengrenze für die Microsoft-Cloud an, das neue Engagement von Microsoft für Kunden in Europa. Die EU-Datengrenze ist eine geografisch definierte Grenze, innerhalb derer Microsoft sich verpflichtet hat, Kundendaten für unsere wichtigsten Onlinedienste, einschließlich Azure, Dynamics 365, Power Platform und Microsoft 365, zu speichern und zu verarbeiten, sofern die Kundendaten weiterhin außerhalb der EU-Datengrenze übertragen werden.
Weitere Informationen finden Sie unter:
Wie löscht Microsoft Kundendaten, wenn ein Kunde den Dienst verlässt?
Der Microsoft Data Handling Standard gibt an, wie lange Kundendaten nach dem Löschen aufbewahrt werden. Wenn ein Kunde sein Abonnement beendet, bewahrt Microsoft die Kundendaten 90 Tage lang in einem Konto mit eingeschränkten Funktionen auf, damit der Kunde seine Daten extrahieren kann. Nach Beendigung des 90-tägigen Aufbewahrungszeitraums löscht Microsoft Kundendaten – außer wenn es zur Aufbewahrung berechtigt wurde oder dazu gesetzlich verpflichtet ist. Nicht mehr als 180 Tage nach Ablauf oder Kündigung eines Abonnements für Microsoft Onlinedienste deaktiviert Microsoft das Konto und löscht alle Kundendaten aus dem Konto. Sobald der maximale Aufbewahrungszeitraum für Daten abgelaufen ist, werden die Daten kommerziell nicht mehr wiederhergestellt.
Microsoft löscht auch alle vom Dienst generierten und Diagnosedaten im Rahmen des standardmäßigen Microsoft-Datenlebenszyklus, es sei denn, die Daten sind erforderlich, um die Sicherheit und Stabilität des Diensts aufrechtzuerhalten. Für jedes Abonnement kann ein Abonnent den Microsoft-Support kontaktieren und eine beschleunigte Deaktivierung anfordern. Wenn ein Kunde diesen Prozess verwendet, werden alle Benutzerdaten 3 Tage nach Eingabe des von Microsoft bereitgestellten Sperrcodes vom Administrator gelöscht. Diese Löschung umfasst Daten in SharePoint Online und Exchange Online, die in inaktiven Postfächern gespeichert oder gespeichert werden.
Microsoft befolgt die Richtlinien von NIST SP-800-88 für die Zerstörung von Geräten, die Daten speichern können, wie im Artikel Zerstörung von Datenträgern beschrieben.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit dem Datenschutz finden Sie in der folgenden Tabelle.
Azure und Dynamics 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A-2.1: Zweck des Öffentlichen Cloud-PII-Prozessors | 6. November 2023 |
| ISO 27701 Erklärung der Anwendbarkeit Zertifikat |
Alle Steuerelemente | 6. November 2023 |
| SOC 1 | DS-15: Kündigung/Ablauf des Kundenabonnements SDL-1: Sdl-Methodik (Security Development Lifecycle) LA-4: Schutz vertraulicher Kundendaten |
17. November 2023 |
| SOC 2 SOC 3 |
DS-15: Kündigung/Ablauf des Kundenabonnements SDL-1: Sdl-Methodik (Security Development Lifecycle) LA-4: Schutz vertraulicher Kundendaten SOC2-1: Asset-Klassifizierung SOC2-7: Veröffentlichte Vertraulichkeits- und Sicherheitsverpflichtungen |
17. November 2023 |
Microsoft 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A-2.1: Zweck des Öffentlichen Cloud-PII-Prozessors | März 2024 |
| ISO 27701 Erklärung der Anwendbarkeit Zertifikat |
Alle Steuerelemente | März 2024 |
| SOC 2 | CA-12: Vereinbarungen zum Servicelevel (SLAs) CA-17: Microsoft-Sicherheitsrichtlinie CA-25: Frameworkupdates steuern |
23. Januar 2024 |
Ressourcen
- Microsoft Trust Center: Datenschutzprinzipien: Datenschutzprinzipien
- Einhaltung der EU-Übertragungsanforderungen für personenbezogene Daten in der Microsoft Cloud
- Datenschutz- und Datenschutzinformationen von Microsoft Professional Services
- Häufig gestellte Fragen zur Folgenabschätzung für die Datenübertragung
- Data Residency, Datenhoheit und Compliance in der Microsoft-Cloud
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für