Datenschutz bei Microsoft

Unsere Kunden besitzen und kontrollieren ihre Daten


Wir setzen strenge Datenschutzstandards fest und halten diese ein

Bei Microsoft sind wir uns bewusst, dass Sie uns als Kunde bei der Verwendung unserer Dienste Ihre wertvollsten Ressourcen anvertrauen: Ihre Daten. Sie vertrauen darauf, dass Ihre Daten geschützt werden und die Verwendung der Daten Ihren Erwartungen entspricht. Wir sichern diese Schutzmaßnahmen zusätzlich durch strenge Verpflichtungen in Bezug auf den Schutz von Kundendaten ab.

Wir integrieren Datenschutz in unsere Dienste

Der Datenschutz ist in die Infrastruktur der Microsoft-Clouddienste integriert und unterliegt den Microsoft-Datenschutzrichtlinien und dem Microsoft-Datenschutzstandard.

Der Microsoft-Datenschutzstandard bildet einen Eckpfeiler des Datenschutzprogramms von Microsoft. In diesem verbindlichen Dokument werden die Geschäftsprozesse, denen wir folgen, um Datenschutzcompliance zu erzielen, und die allgemeinen Datenschutzanforderungen zum Entwickeln und Bereitstellen von Produkten und Diensten von Microsoft beschrieben. Das Dokument schreibt Regeln fest, mit denen wir Ihre Kundendaten schützen und sie so verarbeiten und speichern können, dass ihr Datenschutz gewährleistet ist.

Microsoft Security Development Lifecycle (SDL). Die Datenschutzanforderungen werden frühzeitig definiert und in den SDL integriert. Dabei handelt es sich um einen Softwareentwicklungsprozess, der Entwicklern ermöglicht, Produkte und Dienste mit größerer Sicherheit zu integrieren. Im Rahmen dieses Prozesses unterstützt der SDL die Datenschutz- und Privatsphärenanforderungen, einschließlich einer effektiven Datenschutzüberprüfung jeder Version eines Produkts oder Dienstes von Microsoft.

Die Microsoft Online Services-Datenschutzbestimmungen sichern die Richtlinien und Verfahren von Microsoft für den Datenschutz ab und beschreiben sie klar und direkt.

Vertragliche Verpflichtungen von Microsoft sichern unsere Best Practices für den Datenschutz ab

Microsoft geht in den Online Services-Nutzungsbedingungen umfassende vertragliche Verpflichtungen ein. Microsoft verwendet die Kundendaten nur zum Zweck der Bereitstellung der vereinbarten Dienste und zu damit vereinbarten Zwecken. Wir verwenden Kundendaten nicht für Werbezwecke und leiten keine entsprechenden Informationen daraus ab.

Darüber hinaus geben wir keine Kundendaten, die in Microsoft-Unternehmensdiensten gehostet werden, an Regierungsbehörden weiter, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn Justizbehörden Kundendaten anfordern, versuchen wir, die entsprechende Behörde weiterzuleiten und diese Daten direkt vom Kunden anzufordern. Wenn wir verpflichtet sind, Kundendaten Justizbehörden gegenüber offenzulegen, informieren wir die Kunden unverzüglich und legen eine Kopie der Forderung vor, sofern gesetzlich zulässig.

Darüber hinaus geben wir spezifische vertragliche Zusagen in Bezug auf den Datenschutz:

Alle erweitern

Die Norm ISO/IEC 27018 wurde entwickelt, um einen einheitlichen internationalen Ansatz für den Schutz personenbezogener Daten festzulegen, die von Datenverarbeitern in der Cloud gespeichert werden. Im Rahmen des Zertifizierungsprozesses für ISO/IEC 27001 haben zugelassene, unabhängige Zertifizierungsstellen bestätigt, dass ISO/IEC 27018-Kontrollen in die im Leistungsumfang enthaltenen Dienste Azure, Microsoft Professional Services, Dynamics 365, Dynamics 365 US Government, Intune, Office 365, Office 365 US Government, Power BI und Visual Studio Team Services integriert sind. (Microsoft war der erste große Cloudanbieter, der den ersten internationalen Verhaltenskodex für den Datenschutz in der Cloud übernahm.) Zu diesen Kontrollen gehört das Verbot der Verwendung von Kundendaten zu Werbe- und Marketingzwecken ohne die ausdrückliche Zustimmung des Kunden. Microsoft verpflichtet sich vertraglich zur Einhaltung der Norm ISO/IEC 27018.

Das Datenschutzgesetz der Europäischen Union (EU) regelt die Übertragung von personenbezogenen Daten von EU-Kunden in Länder außerhalb der EU. Microsoft bietet Kunden die EU-Standardvertragsklauseln, die spezifische Garantien in Bezug auf die Übertragung personenbezogener Daten für Dienste im Umfang enthalten. Die Datenschutzbehörden in Europa haben bestätigt, dass der vertragliche Schutz der Privatsphäre, die Azure, Microsoft Professional Services, Dynamics 365, Intune, Office 365, Power BI und Visual Studio Team Services Kunden bereitstellen, den aktuellen EU-Standards für internationale Datenübertragungen entsprechen. Microsoft erhielt diesbezüglich als erster Cloudanbieter Anerkennung.

Der My Number Act (japanisch und englisch) wurde 2013 verabschiedet und trat im Januar 2016 in Kraft. Im Rahmen dieses Gesetzes wird jeder in Japan ansässigen Person (einschließlich Ausländern) eine eindeutige Nummer zugewiesen (auch als Sozialversicherungs- und Steuernummer bezeichnet). Die Kommission zum Schutz personenbezogener Daten hat Richtlinien und Fragen & Antworten (japanisch) veröffentlicht, um sicherzustellen, dass Unternehmen My Number-Daten entsprechend dem Gesetz verarbeiten und angemessen schützen.

Die Verantwortung und die Inhaberschaft der personenbezogenen Daten liegen im Verantwortungsbereich unserer Kunden. Gemäß Online Services-Nutzungsbedingungen verpflichtet sich Microsoft vertraglich dazu, dass Azure, Dynamics 365, Intune und die im Umfang enthaltenen Office 365-Cloud Services technische und organisatorische Sicherheitsmaßnahmen implementiert, um unsere Kunden dabei zu unterstützen, die Daten des Einzelnen zu schützen. Diese Sicherheitsmaßnahmen basieren auf den etablierten Industriestandards wie International Organization for Standardization (ISO) und Service Organization Controls (SOC).

Darüber hinaus hat Microsoft keinen beständigen Zugriff auf My Number-Daten, die in diesen im Leistungsumfang enthaltenen Clouddiensten gespeichert sind. Daher müssen Unternehmen die Handhabung dieser Daten durch Microsoft nicht überwachen (wie in F3-12 beschrieben). Unternehmen müssen jedoch entsprechende Sicherheitsmaßnahmen ergreifen, um My Number-Daten zu schützen, die in der Cloud gespeichert sind (F3-13).

Entsprechend der Verfassung Argentiniens schützt der argentinische Personal Data Protection Act 25,326 personenbezogene Daten, die in Datendateien, Registern, Banken und anderweitig erfasst werden, um die Privatsphäre von Personen zu schützen und ihnen das Recht auf den Zugriff auf Informationen zu gewähren, die möglicherweise über sie erfasst werden. Wir haben uns vertraglich in einer Vereinbarung zur Datenübertragung, die im Einklang mit den Anforderungen Argentiniens ist, dazu verpflichtet, die in der Verordnung 11/2006 der argentinischen Datenschutzbehörde aufgeführten anwendbaren technischen und organisatorischen Sicherheitsmaßnahmen im Dienstleistungsumfang von Azure, Dynamics 365, Intune und Office 365 zu implementieren. Darüber hinaus geben wir wichtige Zusagen in Bezug auf Benachrichtigungen, die Überwachung unserer Einrichtungen und die Verwendung von Zulieferern.

Erfahren Sie mehr über den argentinischen Personal Data Protection Act (spanisch)

Ziel der kanadischen Datenschutzgesetze, wie z. B. Privacy Act, Personal Information Protection and Electronic Documents Act (PIPEDA), Alberta Personal Information Protection Act (PIPA) und British Columbia Freedom of Information and Protection of Privacy Act (BC FIPPA), ist der Schutz der Privatsphäre von Individuen sowie die Gewährung des Rechts auf Zugang zu den Informationen, die möglicherweise über sie erfasst werden. Laut Gesetz sind die Organisationen zu angemessenen Schritten zum Schutz der Daten zu ihren treuen Händen oder unter ihrer Kontrolle verpflichtet. Die Gesetze decken personenbezogene Daten ab, die von Regierungsbehörden und privaten Organisationen in Datendateien, Registern und an anderen Standorten aufbewahrt werden.

Letztendlich liegen die Verantwortung und die Inhaberschaft der personenbezogenen Daten laut Online Services-Nutzungsbedingungen im Verantwortungsbereich unserer Kunden. Microsoft verpflichtet sich jedoch vertraglich dazu, dass im Dienstleistungsumfang von Azure und Intune Sicherheitsmaßnahmen implementiert wurden, um unsere Kunden dabei zu unterstützen, die Daten des Einzelnen basierend auf den etablierten Industriestandards wie ISO/IEC 27001 und SOC zu schützen. Wir haben unsere Verfahren in Bezug auf die Verwaltung von Risiken, Sicherheit und Zwischenfällen, die Zugriffssteuerung, den Schutz der Integrität der Daten und andere Bereiche gemäß den Empfehlungen des Office of the Privacy Commissioner of Canada überprüft und festgestellt, dass die im Leistungsumfang enthaltenen Dienste diesen Empfehlungen entsprechen.