Wer unter welchen Umständen auf Ihre Kundendaten zugreifen darf

Kunden können jederzeit und aus jedem Grund auf ihre eigenen Kundendaten zugreifen. Microsoft Business Cloud Services unterliegen strengen Maßnahmen, um Daten vor unerlaubtem Zugriff und unzulässiger Nutzung zu schützen.

Wer Zugang zu Ihren Daten hat

Microsoft Business Cloud Services unterliegen strengen Maßnahmen, um Kundendaten vor unerlaubtem Zugriff oder der Nutzung durch nicht befugte Personen zu schützen. Dies beinhaltet die Einschränkung des Zugriffs durch Microsoft-Mitarbeiter und Vertragspartner und die sorgfältige Definition von Rahmenbedingungen zur Beantwortung von Behördenanfragen. Jedoch können Sie auf Ihre eigenen Kundendaten jederzeit und aus jedem beliebigen Grund zugreifen.

Jederzeit Zugang zu eigenen Kundendaten

Während der Laufzeit Ihres Microsoft-Abonnements haben Sie uneingeschränkten Zugang zu Ihren Daten. Abonnenten von Azure, Dynamics 365, Intune und Office 365 können Daten abrufen, ohne Microsoft benachrichtigen zu müssen. Außerdem können Sie Ihre Kundendaten mitnehmen, wenn Sie Ihr Abonnement kündigen.


Eingeschränkter Zugriff auf Kundendaten

Microsoft implementiert wirksame Maßnahmen, um Ihre Kundendaten vor unangemessenem Zugriff oder der Nutzung durch nicht autorisierte – interne wie externe – Personen zu schützen. Außerdem wird verhindert, dass Kunden auf die Daten anderer Kunden zugreifen können.

|

Die betrieblichen Abläufe, denen der Zugriff auf Kundendaten in Microsoft Business Cloud Services unterliegt, werden durch strenge Kontrollen und Authentifizierungsmaßnahmen geschützt, die in zwei Kategorien unterteilt sind: physisch und logisch.

Der Zugriff auf physische Rechenzentren wird durch äußere und innere Grenzen mit zunehmender Sicherheit auf jeder Ebene geschützt. Dazu gehören Sicherheitszäune, Sicherheitspersonal, abgesperrte Serverracks, mehrstufige Zugriffssteuerung, integrierte Alarmsysteme und Videoüberwachung rund um die Uhr durch das Operations Center.

Der virtuelle Zugriff auf Kundendaten ist je nach Geschäftsanforderung durch rollenbasierte Zugriffssteuerung, mehrstufige Authentifizierung, minimalen permanenten Zugriff auf Produktionsdaten sowie weitere Kontrollen eingeschränkt. Der Zugriff auf Kundendaten wird außerdem streng protokolliert, und sowohl Microsoft als auch Drittanbieter führen regelmäßige Prüfungen (und stichprobenartige Prüfungen) durch, um den ordnungsgemäßen Zugriff sicherzustellen.

Darüber hinaus schützt Microsoft Kundendaten mithilfe von Verschlüsselung und ermöglicht Kunden die Wahl der geeigneten Methode. Wenn Daten über ein Netzwerk übertragen werden – d. h. zwischen Benutzergeräten und Microsoft-Rechenzentren sowie zwischen Rechenzentren – verwenden die Produkte und Dienste von Microsoft sichere branchenübliche Transportprotokolle. Zum Schutz von ruhenden Daten bietet Microsoft ein breites Spektrum integrierter Verschlüsselungsfunktionen.

 

Die meisten Microsoft Business Cloud Services sind mandantenfähige Dienste. Dadurch können Ihre Daten, Bereitstellungen und virtuellen Computer auf derselben physischen Hardware gespeichert werden wie die anderer Kunden. Microsoft verwendet die logische Isolierung, um die Speicherung und Verarbeitung von Daten für verschiedene Kunden durch eine spezielle Technologie zu trennen. Diese wurde so konzipiert, dass Ihre Kundendaten nicht mit den Daten eines anderen Kunden in Berührung kommen.

 

Business Cloud Services mit geprüften Zertifizierungen wie ISO 27001 werden regelmäßig von Microsoft und anerkannten Prüfungsgesellschaften geprüft, die anhand von Stichprobenprüfungen sicherstellen, dass der Zugriff nur zu legitimen Geschäftszwecken erfolgt.

Microsoft verfügt über Betriebs- und Supportpersonal auf der ganzen Welt. So stellen wir sicher, dass Servicepersonal an 365 Tagen im Jahr rund um die Uhr verfügbar ist. Wir haben unsere Dienstabläufe weitestgehend automatisiert, sodass nur für einen geringen Anteil menschliche Interaktion erforderlich ist.

 

Microsoft-Techniker erhalten keinen Standardzugriff auf Ihre Kundendaten in der Cloud. Sie erhalten unter Aufsicht der Geschäftsleitung nur dann Zugriff, wenn dies erforderlich ist.

 

Microsoft-Mitarbeiter verwenden Kundendaten nur zu Zwecken, die mit der Bereitstellung der vertraglich vereinbarten Dienste vereinbar sind, beispielsweise zur Problembehandlung und zur Verbesserung von Funktionen (wie dem Schutz vor Schadsoftware).

Mit Microsoft Business Cloud Services werden verschiedene Kategorien von Daten, einschließlich Kundendaten und personenbezogener Daten, verarbeitet. Wenn Microsoft Vertragspartner mit der Ausführung von Tätigkeiten beauftragt, die ggf. Zugriff auf diese Daten erfordern, gelten diese als Unterauftragsverarbeiter. Microsoft stellt weiter unten Listen mit den Namen der Unterauftragsverarbeiter bereit.

 

Unterauftragsverarbeiter dürfen auf diese Daten nur zugreifen, um Onlinedienste bereitzustellen, mit deren Bereitstellung sie von Microsoft beauftragt wurden. Es ist ihnen untersagt, Daten zu anderen Zwecken zu verwenden. Sie müssen die Vertraulichkeit dieser Daten wahren und sind vertraglich zur Erfüllung strenger Datenschutzanforderungen verpflichtet, die den vertraglichen Verpflichtungen, die Microsoft gegenüber seinen Kunden eingeht, gleichwertig sind oder diese übertreffen. Unterauftragsverarbeiter verpflichten sich außerdem zur Einhaltung der Datenschutz-Grundverordnung der EU (DSGVO) einschließlich der Bestimmungen in Bezug auf die Anwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

 

Microsoft verlangt von allen Unterauftragsverarbeitern, dass sie dem Microsoft Supplier Security and Privacy Assurance Program beitreten. Dieses Programm soll den Umgang mit Daten standardisieren und stärken. Darüber hinaus soll sichergestellt werden, dass die Geschäftsprozesse und -systeme der Partner mit denen von Microsoft konsistent sind.

 

Unterauftragsverarbeiter, die Kundendaten (einschließlich personenbezogener Daten) verarbeiten, unterliegen erhöhten Anforderungen. Unterauftragsverarbeiter verpflichten sich, Kundendaten im Rahmen von Diensten, für die Microsoft seinen Kunden EU-Standardvertragsklauseln bietet, gemäß EU-Standardvertragsklauseln zu verarbeiten.

 

Unterauftragsverarbeiter gehören einer der folgenden Kategorien an:

  • Unterauftragsverarbeiter, die Technologien zur Unterstützung bestimmter Microsoft Core Online Services bereitstellen. Unterauftragsverarbeiter, die für einen bestimmten Dienst qualifiziert sind, verarbeiten, speichern oder greifen aus anderen Gründen auf Kundendaten (einschließlich der enthaltenen personenbezogenen Daten) zu, während sie die Bereitstellung unterstützen.

  • Unterauftragsverarbeiter, die Nebenleistungen zur Unterstützung von Microsoft Online Services bereitstellen. Unterauftragsverarbeiter verarbeiten, speichern oder greifen aus anderen Gründen auf eingeschränkte Kundendaten (einschließlich der enthaltenen personenbezogenen Daten) zu, während sie Nebenleistungen erbringen.   

  • Unterauftragsverarbeiter, die Vertragspersonal bereitstellen. Vertragspersonal, das beim Support, Betrieb und bei der Wartung von Microsoft Core Online Services eng mit Microsoft-Mitarbeitern zusammenarbeitet und dabei mit Kundendaten (einschließlich der enthaltenen personenbezogenen Daten) in Berührung kommen kann. In solchen Fällen befinden sich die Daten ausschließlich in Microsoft-Einrichtungen und auf Microsoft-Systemen und unterliegen den Richtlinien und der Aufsicht von Microsoft. Beispiel: Ein Unterauftragsverarbeiter, der remote Probleme auf einem Microsoft-Server behebt, kann im Protokoll des Server-Absturzabbilds auf Kundendaten stoßen. Die Tätigkeiten dieser Unterauftragsverarbeiter sind Gegenstand unabhängiger Audits im Rahmen von Core Online Services.

Gemäß den vertraglichen Verpflichtungen von Microsoft gegenüber seinen Kunden umfassen Kundendaten alle Daten, die Microsoft durch Ihre Nutzung der Business Cloud Services (siehe Kategorisierung von Daten durch Microsoft) zur Verfügung gestellt werden. Einige Kundendaten sind gemäß DSGVO als personenbezogene Daten definiert. Darüber hinaus fallen manche personenbezogenen Daten, die Microsoft anfordert und verarbeitet, nicht unter Kundendaten. Microsoft veröffentlicht Listen sowohl für Kundendaten (und die enthaltenen personenbezogenen Daten) als auch für personenbezogene Daten (die nicht in der ersten Liste genannt sind). Die DSGVO verlangt die Offenlegung der Unterauftragsverarbeiter, die Zugriff auf personenbezogene Daten haben.

Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für Core Online Services mindestens sechs Monate vor ihrer Autorisierung zur Durchführung von Diensten, die ggf. Zugriff auf Kundendaten erfordern. Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für personenbezogene Daten mindestens 14 Tage vor ihrer Autorisierung zur Durchführung von Diensten, die ggf. Zugriff auf solche Daten erfordern.2

 

Damit Sie stets über eine aktuelle Liste der Unterauftragsverarbeiter verfügen, können Sie die Liste wie in den Anweisungen beschrieben an "Meine Bibliothek" anheften.

Behördenanfragen zu Kundendaten

Microsoft stellt sicher, dass es keine "Hintertürchen" gibt und kein direkter oder ungehinderter Behördenzugriff auf Ihre Daten möglich ist. Für Auskunftsersuchen von Regierungs- und Justizbehörden gelten bestimmte Anforderungen.

Weitere Ressourcen zum Datenzugriff

Graphic icon of two rectangles stacked with a magnifying glass to represent data and privacy

Datenschutzbestimmungen für Microsoft Online Services

Erfahren Sie, welche personenbezogenen Daten von Microsoft verarbeitet werden und wie und zu welchem Zweck dies geschieht.

Graphic icon with two rectangular shapes representing documents, the one in front with horizontal lines representing information

Microsoft-Lizenzierung – Bedingungen und Dokumentation

Lizenzbedingungen und zusätzliche Informationen zur Nutzung von Produkten und Diensten, die über Microsoft-Programme zur Volumenlizenzierung lizenziert werden

Graphic icon representing a device screen with symbols representing data

Informationen zur Datenerfassung

Erfahren Sie, welche Arten von Daten erfasst werden.

1 Die Informationen auf dieser Seite beziehen sich auf Windows Defender Advanced Threat Protection, aber nicht auf andere Windows-Dienste und auch nicht auf Dienste für die Bing-Suche.
2 Hinweis: Weitere Informationen darüber, wie Microsoft in Zusammenarbeit mit Unterauftragsverarbeitern kommerziellen Support oder andere professionelle Dienstleistungen (einschließlich Support für Onlinedienste) erbringt, finden Sie im Abschnitt Microsoft Professional Services und unsere Partner im Trust Center.