Grundlegendes zu zusätzlichen Unterauftragsverarbeiteranforderungen für die Geschäftseinheiten von Microsoft
Während das Microsoft SSPA-Programm ein umfassendes Programm für die Governance und Verwaltung unserer Lieferantenbasis bietet, können einzelne Geschäftseinheiten zusätzliche Anforderungen an ihre Lieferanten erfüllen. Microsoft 365 verpflichtet sich beispielsweise, Kunden zu informieren, wenn neue Unterauftragsverarbeiter genehmigt werden, und erzwingt zusätzliche Überprüfungen, wenn sie mit neuen Lieferanten zusammenarbeiten. Zusätzliche Anforderungen an Geschäftsbereichen sind so konzipiert, dass sie die SSPA-Anforderungen ergänzen und den gesetzlichen Anforderungen und vertraglichen Verpflichtungen entsprechen.
Hinweisanforderung
Gemäß dem Datenschutzzusatz für Produkte und Dienste (DPA) übernimmt Microsoft zusätzliche Verpflichtungen hinsichtlich der Kündigungsfristen für die Hinzufügung von Unterauftragsverarbeitern. Die Zeitrahmen für die Hinweise hängen vom Datentyp ab, den der Unterauftragsverarbeiter im Namen von Microsoft verarbeiten wird.
Um zusammenzufassen, was in der DPA angegeben ist, verpflichtet sich Microsoft, unsere Kunden mindestens sechs Monate vor jedem neuen Unterauftragsverarbeiter, der Kundendaten verarbeitet, zu informieren. Für alle anderen personenbezogenen Daten gibt Microsoft eine Frist von mindestens 30 Tagen an.
Zusätzliche Beschaffungsprüfungen für neue Lieferanten
Aufgrund unserer Verpflichtung, die Anzahl von Unterauftragsverarbeitern mit Zugriff auf Kunden- und personenbezogene Daten zu begrenzen und Kunden über die SSPA-Anforderungen hinaus zu informieren, haben wir zusätzliche Lieferantenprüfungen beim Kauf von Lieferanten eingeführt, die Zugriff auf personenbezogene Unternehmensdaten benötigen. Bis ein Unterauftragsverarbeiter genehmigt wurde, erhält ein Lieferant keinen Zugriff auf Kunden- oder personenbezogene Daten. Dazu gehören Anforderungen wie:
- Zusätzliche Vertragsanforderungen
- Zusätzliche Überwachungsanforderungen
- Angemessener Hinweis an unsere Kunden