Wer unter welchen Umständen auf Ihre Kundendaten zugreifen darf

Kunden können jederzeit und aus jedem Grund auf ihre eigenen Kundendaten zugreifen. Microsoft Business Cloud Services unterliegen strengen Maßnahmen, um Daten vor unerlaubtem Zugriff und unzulässiger Nutzung zu schützen.

Wer Zugang zu Ihren Daten hat

Microsoft Business Cloud Services unterliegen strengen Maßnahmen, um Kundendaten vor unerlaubtem Zugriff oder der Nutzung durch nicht befugte Personen zu schützen. Dies beinhaltet die Einschränkung des Zugriffs durch Microsoft-Mitarbeiter und Vertragspartner sowie die sorgfältige Definition von Rahmenbedingungen für Behördenanfragen. Jedoch können Sie auf Ihre eigenen Kundendaten jederzeit und aus jedem beliebigen Grund zugreifen.

Jederzeit Zugang zu eigenen Kundendaten

Während der Laufzeit Ihres Microsoft-Abonnements haben Sie uneingeschränkten Zugang zu Ihren Daten. Abonnenten von Azure, Dynamics 365, Intune und Office 365 können Daten abrufen, ohne Microsoft benachrichtigen zu müssen. Außerdem können Sie Ihre Kundendaten mitnehmen, wenn Sie Ihr Abonnement kündigen.


Eingeschränkter Zugriff auf Kundendaten

Microsoft implementiert wirksame Maßnahmen, um Kundendaten vor unangemessenem Zugriff oder der Nutzung durch nicht autorisierte – interne wie externe – Personen zu schützen. Außerdem wird verhindert, dass Kunden auf die Daten anderer Kunden zugreifen können.


So verwaltet Microsoft Ihre Daten in der Cloud

Sicherheit steht an erster Stelle, wenn wir die von unseren Kunden zur Verfügung gestellten und in Microsoft Cloud Services gespeicherten Daten verarbeiten. Dieses Dokument befasst sich mit allgemeinen Fragen rund um Sicherheit, Datenschutz und Compliance und zeigt auf, wie Microsoft die in Microsoft Cloud Services gespeicherten und freigegebenen Daten verarbeitet. Dies schließt auch Aktivitäten von Drittanbietern ein.

|

Die betrieblichen Abläufe, denen der Zugriff auf Kundendaten in Microsoft Business Cloud Services unterliegt, werden durch strenge Kontrollen und Authentifizierungsmaßnahmen geschützt. Diese sind wie folgt nach physischen und logischen Kriterien unterteilt:

Der Zugriff auf physische Rechenzentren wird durch äußere und innere Grenzen mit zunehmender Sicherheit auf jeder Ebene geschützt. Dazu gehören Sicherheitszäune, Sicherheitspersonal, abgesperrte Serverracks, mehrstufige Zugriffssteuerung, integrierte Alarmsysteme und lückenlose Videoüberwachung durch das Operations Center.

Der virtuelle Zugriff auf Kundendaten ist je nach Geschäftsanforderung durch rollenbasierte Zugriffssteuerung, mehrstufige Authentifizierung, minimalen permanenten Zugriff auf Produktionsdaten sowie weitere Kontrollen eingeschränkt. Der Zugriff auf Kundendaten wird außerdem streng protokolliert, und sowohl Microsoft als auch Drittanbieter führen regelmäßige Audits (und stichprobenartige Prüfungen) durch, um den ordnungsgemäßen Zugriff sicherzustellen.

Darüber hinaus schützt Microsoft Kundendaten mithilfe von Verschlüsselung und ermöglicht Kunden die Wahl der geeigneten Methode. Wenn Daten über ein Netzwerk übertragen werden – d. h. zwischen Benutzergeräten und Microsoft-Rechenzentren sowie zwischen Rechenzentren – verwenden die Produkte und Dienste von Microsoft sichere branchenübliche Transportprotokolle. Zum Schutz von ruhenden Daten bietet Microsoft ein breites Spektrum integrierter Verschlüsselungsfunktionen.

 

Die meisten Microsoft Business Cloud Services sind mehrinstanzenfähig, was bedeutet, dass auf einer physischen Hardware Ihre Daten, Bereitstellungen und virtuellen Computer neben den Daten anderer Kunden gespeichert sein können. Microsoft verwendet die logische Isolierung, um die Speicherung und Verarbeitung von Daten für verschiedene Kunden durch eine spezielle Technologie zu trennen. Diese ist so konzipiert, dass Ihre Kundendaten nicht mit den Daten eines anderen Kunden in Berührung kommen.

 

Business Cloud Services mit geprüften Zertifizierungen wie ISO 27001 werden regelmäßig von Microsoft und anerkannten Prüfungsgesellschaften geprüft. So wird anhand von Stichprobenprüfungen sichergestellt, dass der Zugriff nur zu legitimen Geschäftszwecken erfolgt.

Microsoft verfügt über Betriebs- und Supportpersonal auf der ganzen Welt. So stellen wir sicher, dass Servicepersonal an 365 Tagen im Jahr rund um die Uhr verfügbar ist. Wir haben unsere Dienstabläufe weitestgehend automatisiert, sodass nur für einen geringen Anteil menschliche Interaktion erforderlich ist.

 

Microsoft-Techniker erhalten keinen Standardzugriff auf Ihre Kundendaten in der Cloud. Der Zugriff ist unter Aufsicht nur dann gestattet, wenn dies aus bestimmten Gründen erforderlich ist.

 

Microsoft-Mitarbeiter verwenden Kundendaten nur zu Zwecken, die mit der Bereitstellung der vertraglich vereinbarten Dienste vereinbar sind, beispielsweise zur Problembehandlung und zur Verbesserung von Funktionen (wie dem Schutz vor Schadsoftware).

Mit Microsoft Business Cloud Services werden verschiedene Kategorien von Daten, einschließlich Kundendaten und personenbezogener Daten, verarbeitet. Wenn Microsoft Vertragspartner mit der Ausführung von Tätigkeiten beauftragt, die ggf. Zugriff auf diese Daten erfordern, gelten diese als Unterauftragsverarbeiter. Microsoft stellt weiter unten Listen mit den Namen der Unterauftragsverarbeiter bereit.

 

Unterauftragsverarbeiter dürfen auf diese Daten nur zugreifen, um Funktionen für Onlinedienste bereitzustellen, mit deren Bereitstellung sie von Microsoft beauftragt wurden. Es ist ihnen untersagt, Daten zu anderen Zwecken zu verwenden. Sie müssen die Vertraulichkeit dieser Daten wahren und sind vertraglich zur Einhaltung strenger Datenschutzanforderungen verpflichtet, die den vertraglichen Verpflichtungen, die Microsoft gemäß den Online Services-Nutzungsbedingungen gegenüber seinen Kunden eingeht, gleichwertig sind oder diese übertreffen. Unterauftragsverarbeiter verpflichten sich außerdem zur Einhaltung der Datenschutz-Grundverordnung der EU (DSGVO) einschließlich der Bestimmungen in Bezug auf die Anwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

 

Microsoft verlangt von allen Unterauftragsverarbeitern, dass sie dem Microsoft Supplier Security and Privacy Assurance Program beitreten. Dieses Programm soll den Umgang mit Daten standardisieren und stärken. Darüber hinaus soll sichergestellt werden, dass die Geschäftsprozesse und -systeme der Partner mit denen von Microsoft konsistent sind.

 

Unterauftragsverarbeiter, die Zugang zu Kundendaten und personenbezogenen Daten haben, unterliegen erhöhten Anforderungen. Unterauftragsverarbeiter verpflichten sich, Kundendaten im Rahmen von Diensten, für die Microsoft seinen Kunden EU-Standardvertragsklauseln bietet, gemäß EU-Standardvertragsklauseln zu verarbeiten.

 

Unterauftragsverarbeiter gehören einer der folgenden Kategorien an:

  • Unterauftragsverarbeiter, die Technologien zur Unterstützung bestimmter Microsoft Online Services bereitstellen. Unterauftragsverarbeiter, die für einen bestimmten Dienst qualifiziert sind, verarbeiten, speichern oder greifen aus anderen Gründen auf Kundendaten oder personenbezogene Daten zu, während sie mit der Bereitstellung befasst sind.

  • Unterauftragsverarbeiter, die Nebenleistungen zur Unterstützung von Microsoft Online Services bereitstellen. Unterauftragsverarbeiter verarbeiten, speichern oder greifen aus anderen Gründen auf eingeschränkte Kundendaten oder personenbezogene Daten zu, während sie Nebenleistungen erbringen.    

  • Unterauftragsverarbeiter, die Vertragspersonal bereitstellen.Vertragspersonal, das beim Support, Betrieb und bei der Wartung von Microsoft Online Services eng mit Microsoft-Mitarbeitern zusammenarbeitet und dabei mit Kundendaten oder personenbezogenen Daten in Berührung kommen kann. In solchen Fällen befinden sich die Kundendaten ausschließlich in Microsoft-Einrichtungen und auf Microsoft-Systemen und unterliegen den Richtlinien und der Aufsicht von Microsoft. Beispiel: Ein Unterauftragsverarbeiter, der remote Probleme auf einem Microsoft-Server behebt, kann im Protokoll des Server-Absturzabbilds etwa auf Kundendaten stoßen. Die Tätigkeiten dieser Unterauftragsverarbeiter in Zusammenhang mit Online Services sind Gegenstand unabhängiger Audits.

Gemäß den vertraglichen Verpflichtungen von Microsoft gegenüber seinen Kunden umfassen Kundendaten alle Daten, die Microsoft durch die Nutzung der Business Cloud Services (siehe Kategorisierung von Daten durch Microsoft) von Kunden zur Verfügung gestellt werden. Einige Kundendaten sind gemäß DSGVO als personenbezogene Daten definiert. Darüber hinaus verarbeitet Microsoft auch einige personenbezogene Daten, die durch den Betrieb der Online Services generiert oder erfasst werden, aber nicht unter die Definition für Kundendaten fallen. Die Liste der Unterauftragsverarbeiter für Microsoft Online Services enthält Partner, die Zugang sowohl zu Kundendaten als auch zu personenbezogenen Daten haben.

 

Die Liste der Unterauftragsverarbeiter für Microsoft Online Services enthält Partner, die zur Weiterverarbeitung von Kundendaten oder personenbezogenen Daten in Microsoft Online Services befugt sind. Diese Liste gilt für alle Microsoft Online Services, die den Online Services-Nutzungsbedingungen unterliegen, und für die Microsoft als Datenverarbeiter tätig wird.

 

Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für Online Services mindestens sechs Monate vor ihrer Autorisierung zur Durchführung von Dienstleistungen, die ggf. Zugriff auf Kundendaten oder personenbezogene Daten erfordern.2

 

Damit Sie stets über eine aktuelle Liste der Unterauftragsverarbeiter verfügen, können Sie die Liste wie in den Anweisungen beschrieben an "Meine Bibliothek" anheften.

Behördenanfragen zu Kundendaten

Microsoft stellt sicher, dass es keine "Hintertürchen" gibt und kein direkter oder ungehinderter Behördenzugriff auf Ihre Daten möglich ist. Für Auskunftsersuchen von Regierungs- und Justizbehörden gelten bestimmte Anforderungen.

Weitere Ressourcen zum Datenzugriff

Datenschutzbestimmungen für Microsoft Online Services

Erfahren Sie, welche personenbezogenen Daten von Microsoft verarbeitet werden und wie und zu welchem Zweck dies geschieht.

Microsoft-Lizenzierung – Bedingungen und Dokumentation

Lizenzbedingungen und zusätzliche Informationen zur Nutzung von Produkten und Diensten, die über Microsoft-Programme zur Volumenlizenzierung lizenziert werden

Informationen zur Datenerfassung

Erfahren Sie, welche Arten von Daten erfasst werden.

1 Die Informationen auf dieser Seite beziehen sich auf Windows Defender Advanced Threat Protection, aber nicht auf andere Windows-Dienste und auch nicht auf Dienste für die Bing-Suche.
2 Hinweis: Weitere Informationen darüber, wie Microsoft in Zusammenarbeit mit Unterauftragsverarbeitern kommerziellen Support oder andere professionelle Dienstleistungen (einschließlich Support für Onlinedienste) erbringt, finden Sie im Abschnitt Microsoft Professional Services und unsere Partner im Trust Center.