Sie möchten herausfinden, ob jemand auf Ihre nicht Stammdaten zugegriffen hat? Kein Problem!
Uns ist bewusst, dass Datenzugriff in der Cloud ein zentraler Aspekt ist. Sie möchten sicher sein, dass Sie, falls erforderlich, auf Ihre Daten zugreifen können, gleichzeitig aber auch wissen, ob eine andere Person darauf zugegriffen hat.
Wir vertreten bei diesem Thema folgende Position:
| Art der verfolgten Daten | Anweisungen | |
| Microsoft Online Services | Erstellen von Benutzern und Zurücksetzen von Kennwörtern über das Portal | Wenden Sie sich an den technischen Support von Microsoft Online Services. |
| Exchange Online | Zugriff auf Exchange-Postfach3 | Rufen Sie die Exchange-Systemsteuerung auf. Den entsprechenden Link finden Sie auf der Seite "Übersicht" des Microsoft Online Services-Portals ([Anmeldung erforderlich]). |
| SharePoint Online | Zugriff auf SharePoint-Website und -Speicher | Wenden Sie sich an den technischen Support von Microsoft Online Services. |
| Microsoft Dynamics CRM Online | Zugriff auf CRM-Kundenstammdaten | Wenden Sie sich an den technischen Support von Microsoft Online Services. |
Anmerkungen:
1Stammdaten sind Daten, bei denen Kunden eine gesteigerte Erwartung an die Vertraulichkeit stellen und die bei normaler Nutzung des Diensts verschlüsselt über das Internet übertragen werden. Dazu gehören insbesondere Exchange Online-E-Mail-Texte und -Anlagen, Inhalte von Websites in SharePoint Online, Dateiinhalte, Instant Messaging- oder VoIP-Unterhaltungen sowie CRM-Geschäftsdaten über die Interaktionen Ihrer Endkunden.
2Partner: Berichte zu Händlern (falls die Dienste über einen Händler erworben und von diesem in Rechnung gestellt werden), ACS VOIP-Partnern und verbundenen Diensten wie Research in Motion (für Hosted BlackBerry®-Dienst) sind aufgrund der Art und Weise des Datenzugriffs dieser Partner bei der gewöhnlichen Nutzung der Dienste nicht verfügbar.
3Für Unternehmenskunden, die die FOPE-Verwaltungskonsole aktiviert haben, sind keine Berichte zum Administratorzugriff auf E-Mails in der Warteschlange der Verwaltungskonsole verfügbar.
Datenbankadministratoren haben, wie der Name schon sagt, Zugriff auf sämtliche Ressourcen in einer Datenbank, einschließlich Kundendaten. Der Zugriff auf Kundendaten ist jedoch ausschließlich geschäftlichen Zwecken vorbehalten (zum Beispiel Leistungsabgleich von Datenbanken oder Migration von Kunden von einer Datenbank in eine andere).
In der folgenden Tabelle sind verschiedene Zugriffsebenen für unterschiedliche Arten von Daten aufgeführt:
| Nutzungsdaten | Adressbuchdaten | Kundendaten (mit Ausnahme von Kundenstammdaten*) | Kundenstammdaten | |
| Operations Response-Team (nur Schlüsselpersonal) | Ja. | Ja, in erforderlichem Umfang. | Ja, in erforderlichem Umfang. | Ja, in Ausnahmefällen. |
| Supportunternehmen | Ja, soweit für die Beantwortung einer Supportanfrage erforderlich. | Ja, soweit für die Beantwortung einer Supportanfrage erforderlich. | Ja, soweit für die Beantwortung einer Supportanfrage erforderlich. | Nein. |
| Techniker | Ja. | Kein direkter Zugriff. Mögliche Übertragung im Rahmen der Fehlerbehebung. | Kein direkter Zugriff. Mögliche Übertragung im Rahmen der Fehlerbehebung. | Nein. |
| Partner | Mit Zustimmung des Kunden. Weitere Informationen finden Sie unter "Partner". | Mit Zustimmung des Kunden. Weitere Informationen finden Sie unter "Partner". | Mit Zustimmung des Kunden. Weitere Informationen finden Sie unter "Partner". | Mit Zustimmung des Kunden. Weitere Informationen finden Sie unter "Partner". |
| Andere Microsoft-Mitarbeiter | Nein (Ja NUR für "Online CRM Dynamics). | Nein (Ja für Kunden von CRM Dynamics Online und Office 365 Für Klein Unternehmen (P1) zu Marketingzwecken). | Nein. | Nein. |
*Kundenstammdaten umfassen Exchange Online-E-Mail-Texte und -Anlagen, Inhalte von Teamwebsites in SharePoint Online, SharePoint Online-Dateiinhalte, Instant Messaging- und VoIP-Unterhaltungen sowie CRM-Geschäftsdaten über die Interaktionen Ihrer Endkunden.
Kunden können über die in der Dienstbeschreibung festgelegten Standardprotokolle und Zugriffsmechanismen auf ihre Daten zugreifen und diese kontrollieren.
Nach Ablauf des Abonnements oder nach Ende der Nutzung des Dienstes hat der Kunde jederzeit die Möglichkeit, seine Daten zu exportieren. Alle Details hierzu finden Sie in den Produktbenutzungsrechten (die maßgebliche Quelle zu diesem Thema). Als Serviceleistung sind die Bestimmungen mit Stand des Veröffentlichungsdatums von Office 365 noch einmal im Folgenden aufgelistet:
Ablauf oder Kündigung des Onlinedienstes. Nach Ablauf oder Kündigung Ihres Abonnements für den Onlinedienst müssen Sie sich mit Microsoft in Verbindung setzen und uns mitteilen, ob:
Keine Haftung für gelöschte Kundendaten. Sie stimmen zu, dass wir, sofern in diesen Bedingungen nicht anderweitig angegeben, keinerlei Verpflichtung zur dauerhaften Speicherung, zum Export oder zur Rückgabe von Kundendaten haben. Sie stimmen zu, dass wir keinerlei Haftung für das Löschen von Kundendaten gemäß diesen Bedingungen übernehmen.
Microsoft erinnert den Kunden vor dem Löschen von Kundendaten mehrmals an die bevorstehende Löschung, sollte dieser nicht innerhalb der festgelegten Frist aktiv werden.
Für den Fall, dass der Kunde bei der Erfüllung gesetzlich festgelegter Datenschutzanforderungen Hilfe benötigt, kann im Rahmen vieler Verträge der Kundensupport von Microsoft beim Zugriff, Ändern, Löschen oder Sperren von Kundendaten behilflich sein. Für Anfragen, die nicht anhand von Standardtools und -prozessen bearbeitet werden können, wird möglicherweise eine zusätzliche Gebühr fällig.
Alle Microsoft Online Services-Mitarbeiter sind für ihren Umgang mit Kundendaten rechenschaftspflichtig. Das bedeutet, dass der Zugriff auf Microsoft Online Services-Daten zu einem einzelnen Benutzer zurückverfolgt werden kann. Mit anderen Worten: Diese Rechenschaftspflicht wird anhand einer Reihe von Systemsteuerelementen wie eindeutigen Benutzernamen, Datenzugriffskontrollen und Überwachungsmechanismen durchgesetzt. Statt allgemeiner Benutzernamen wie "Gast" oder "Administrator" werden eindeutige Benutzernamen zugewiesen, um die Rechenschaftspflicht durchzusetzen und die Benutzeraktionen einer bestimmten Person zuordnen zu können (auch als "Bindung" bezeichnet). Zur weiteren Stärkung dieser Bindung wird zudem häufig von einer zweistufigen Autorisierung Gebrauch gemacht (z. B. eine Anmeldung per Smartcard unter Verwendung von digitalen Zertifikaten oder RSA-Token).
Der Datenzugriff ist darüber hinaus von der Rolle des Benutzers abhängig. So erhalten Systemadministratoren beispielsweise keinen Administratorzugriff auf Datenbanken.
Microsoft legt strenge Maßstäbe im Hinblick darauf an, welche Benutzerrollen und Benutzer Zugriff auf Kundendaten erhalten. Benutzer müssen ein Formular ausfüllen und eine geschäftliche Begründung angeben, um Zugriff zu beantragen. Dies muss dann zunächst vom Vorgesetzten des Benutzers genehmigt werden. Darüber hinaus werden die Zugriffsebenen regelmäßig überprüft, um sicherzustellen, dass nur Benutzer mit entsprechender geschäftlicher Berechtigung Zugriff auf die Systeme erhalten.
Alle Microsoft Online Services-Rechenzentren haben biometrische Zugangskontrollen. Die Mehrheit der Rechenzentren, die für die Bereitstellung von Microsoft Online Services genutzt werden, sind nur durch einen Handabdruck zugänglich. Der physische Zugang zu Microsoft Online Services-Rechenzentren ist durch eine zweistufige Authentifizierung gesichert, darunter Kartenlesegeräte (Ausweis erforderlich) und biometrische Lesegeräte zum Scannen der Handflächen.
Weitere Informationen zum Ansatz, den Microsoft Online Services beim Umgang mit Kundendaten verfolgt, finden Sie in der Microsoft Online-Datenschutzrichtlinie, den Datenschutzrichtlinien von Microsoft zur Entwicklung von Produkten und Diensten, der Dienstbeschreibung zur Sicherheit von Office 365 sowie dem Datenschutz-Whitepaper von Microsoft Online.
Der Microsoft-Sicherheitsbeauftragte sendet vierteljährlich Berichte an alle Mitarbeiter, die den Zugang zu Rechenzentren autorisieren können. Diese Berichte enthalten Listen mit Personen, die zurzeit Zugang zu den Rechenzentren haben. Die autorisierten Mitarbeiter prüfen, ob alle Personen auf der Liste noch Zugang benötigen und über die niedrigste Zugriffsebene verfügen, die für die Wahrnehmung ihrer Aufgaben erforderlich ist. In ihrer obligatorischen Antwort an den Sicherheitsbeauftragten teilen die autorisierten Mitarbeiter diesem dann mit, welche Änderungen erforderlich sind, oder bestätigen, dass keine Änderungen vorgenommen werden müssen.
Bei allen Microsoft-Mitarbeitern in den USA durchleuchten wir im Rahmen des Einstellungsprozesses standardmäßig deren komplette Vorgeschichte. Dazu gehören Informationen zur Ausbildung eines Kandidaten sowie zu seinem beruflichem Werdegang und seiner kriminellen Vergangenheit.
Zusätzlich zu dieser standardmäßigen Prüfung, die bei allen neuen Microsoft-Mitarbeitern durchgeführt wird, werden sämtliche Mitarbeiter, die Zugriff auf Kundendaten haben oder wichtige physische und logische Zugriffssteuerelemente verwalten, mit Exportkontrolllisten abgeglichen (darunter die Office of Foreign Assets Control List (OFAC), die Bureau of Industry and Security List (BIS) sowie die Office of Defense Trade Controls Debarred Persons List (DDTC)).
Möglicherweise sind auch weitere Prüfungen der Daten und der Vorgeschichte, zum Beispiel eine Überprüfung der Staatsangehörigkeit oder der Fingerabdrücke, erforderlich, wenn es um den Zugang zu Regierungsdaten geht.
Zum Schutz der Daten seiner Mitarbeiter gibt Microsoft die Ergebnisse solcher Prüfungen nicht an Kunden weiter.