Datenverwaltung bei Microsoft

Wie wir Kundendaten verwalten und schützen


Wer unter welchen Umständen auf Ihre Kundendaten zugreifen kann

Microsoft Cloud Services für Unternehmen ergreifen strenge Maßnahmen, um Kundendaten vor einem unangemessenen Zugriff oder Verwendung durch nicht autorisierte Personen zu schützen. Wir schränken z. B. den Zugriff auf die Daten durch Microsoft-Mitarbeiter und Zulieferer ein und definieren sorgfältig Bedingungen für die Anforderung von Kundendaten durch Regierungsbehörden. Sie können jederzeit und aus jedem Grund auf Ihre eigenen Kundendaten zugreifen.

Die Informationen auf dieser Seite gelten nicht für Bing-Suchdienste oder Windows.

Alle erweitern

Während der Laufzeit Ihres Abonnements für Microsoft-Unternehmensdienste können Sie auf Ihre Kundendaten zugreifen und diese extrahieren. Kunden der im Umfang von Azure, Dynamics 365, Intune und Office 365 enthaltenen Dienste können jederzeit und aus einem beliebigen Grund eine Kopie ihrer Kundendaten abrufen, ohne Microsoft benachrichtigen oder Unterstützung anfordern zu müssen. Außerdem können Sie Ihre Kundendaten mitnehmen, wenn Sie Ihr Abonnement kündigen.

Wir ergreifen strenge Maßnahmen, um Kundendaten vor einem unangemessenen Zugriff oder einer Verwendung durch nicht autorisierte externe oder interne Personen zu schützen und um zu verhindern, dass Kunden auf ihre gegenseitigen Daten zugreifen können.

  • Die Betriebsabläufe, denen der Zugriff auf Kundendaten in den Business Cloud Services von Microsoft unterliegt, werden durch strenge Kontrollen und Authentifizierungsmaßnahmen geschützt, die in zwei Kategorien unterteilt werden: physisch und logisch.
    • Der Zugriff auf physische Rechenzentren wird durch äußere und innere Perimeter mit zunehmender Sicherheit auf jeder Ebene geschützt. Dazu gehören Sicherheitszäune, Sicherheitsbeamte, abgesperrte Serverracks, Multi-Faktor-Zugriffssteuerung, integrierte Alarmsysteme und Videoüberwachung des Rechenzentrums rund um die Uhr.
    • Der virtuelle Zugriff auf die Kundendaten ist basierend auf den Geschäftsanforderungen durch rollenbasierte Zugriffssteuerung, Multi-Faktor-Authentifizierung, minimierten beständigen Zugriff auf Produktionsdaten sowie weitere Kontrollen eingeschränkt. Der Zugriff auf Kundendaten wird außerdem streng protokolliert, und sowohl Microsoft als auch Drittanbieter führen regelmäßige Prüfungen (und stichprobenartigen Überprüfungen) durch, um zu bestätigen, dass der Zugriff ordnungsgemäß stattfindet.
    • Darüber hinaus schützt Microsoft Kundendaten mithilfe von Verschlüsselung und ermöglicht Ihnen so die Kontrolle über diese. Wenn Kundendaten über das Netzwerk übertragen werden, d. h. zwischen Benutzergeräten und Microsoft-Rechenzentren sowie zwischen Rechenzentren selbst, verwenden die Produkte und Dienste von Microsoft sichere branchenübliche Transportprotokolle. Zum Schutz von ruhenden Daten bietet Microsoft eine Palette integrierter Verschlüsselungsfunktionen.

  • Die meisten Microsoft Business Cloud Services sind mandantenfähige Dienste. Dadurch können Ihre Daten, Bereitstellungen und virtuellen Computer auf derselben physischen Hardware gespeichert werden wie die anderer Kunden. Microsoft verwendet logische Isolierung, um Speicher und Verarbeitung für verschiedene Kunden durch spezialisierte Technologie zu trennen, die konzipiert wurde um sicherzustellen, dass Ihre Kundendaten nicht mit den Daten eines anderen Kunden in Berührung kommen.
  • Business Cloud Services mit geprüften Zertifizierungen wie ISO 27001 werden regelmäßig von Microsoft und akkreditierte Prüfungsgesellschaften überprüft, die regelmäßig Stichprobenüberprüfungen durchführen, um zu bestätigen, dass der Zugriff nur zu legitimen Geschäftszwecken erfolgt.

Erfahren Sie mehr darüber, wie Microsoft Benutzeranmeldeinformationen und den Benutzerzugriff schützt

Microsoft verfügt überall auf der Welt über Betriebs- und Supportmitarbeiter. So stellt das Unternehmen sicher, dass Mitarbeiter an 365 Tagen im Jahr rund um die Uhr verfügbar sind. Wir haben die Mehrheit unserer Dienstabläufe automatisiert, sodass nur für einen geringen Anteil menschliche Interaktion erforderlich ist.

  • Microsoft-Techniker erhalten keinen Standardzugriff auf Ihre Cloudkundendaten. Sie erhalten unter Aufsicht des Managements nur dann Zugriff, wenn dies erforderlich ist.
  • Microsoft-Mitarbeiter verwenden Kundendaten nur zu Zwecken, die mit der Bereitstellung der vertraglich vereinbarten Dienste für Sie kompatibel sind, beispielsweise zur Problembehandlung und Verbesserung von Features wie dem Schutz vor Schadsoftware.

Microsoft-Onlinedienste für Unternehmen verarbeiten verschiedene Kategorien von Daten einschließlich Kundendaten, Supportdaten und personenbezogener Daten. Wenn Microsoft Zulieferer mit der Ausführung von Tätigkeiten beauftragt, die möglicherweise den Zugriff auf diese erfordern, gelten diese als Unterdatenverarbeiter. Microsoft legt diese Unterdatenverarbeiter unten offen.

Viele Unterdatenverarbeiter stellen Auftragnehmer bereit, die zusammen mit Microsoft-Mitarbeitern an der Bereitstellung der Dienste arbeiten. In solchen Fällen werden die Daten ausschließlich in Microsoft Einrichtungen und auf Microsoft-Systemen verarbeitet und unterliegen stets den Richtlinien und der Aufsicht von Microsoft.

Unterdatenverarbeiter dürfen auf Kundendaten nur zugreifen, um die Dienste bereitzustellen, mit deren Bereitstellung sie von Microsoft beauftragt wurden. Es ist ihnen untersagt, Daten zu anderen Zwecken zu verwenden. Sie müssen die Vertraulichkeit dieser Daten wahren und sind vertraglich zur Erfüllung strenger Datenschutzanforderungen verpflichtet, die den vertraglichen Verpflichtungen, die Microsoft gegenüber seinen Kunden eingeht, gleichwertig sind oder diese übertreffen. Unterdatenverarbeiter müssen darüber hinaus die Anforderungen der Datenschutz-Grundverordnung der EU erfüllen, einschließlich der Bestimmung in Bezug auf die Anwendung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

Microsoft fordert von Unterauftragnehmern den Beitritt zum Microsoft Supplier Security and Privacy Assurance-Programm. Dieses Programm soll den Umgang mit Daten standardisieren, strengere Richtlinien durchsetzen und sicherstellen, dass die Geschäftsprozesse und -systeme der Zulieferer mit den Geschäftsprozessen und -systemen von Microsoft konsistent sind.

Unterdatenverarbeiter, die Kundendaten (einschließlich personenbezogener Daten) behandeln, unterliegen erhöhten Anforderungen. Unterverarbeiter von Kundendaten müssen für Dienste, für die Microsoft seinen Kunden EU-Standardvertragsklauseln bereitstellt, den EU-Standardvertragsklauseln zustimmen.

Listen der Zulieferer

  • Die Liste der Zulieferer für zentrale Onlinedienste nennt die Unterdatenverarbeiter, die zum Zugriff auf Kundendaten (einschließlich personenbezogener Daten) in zentralen Microsoft-Onlinediensten wie in den Online Services-Nutzungsbedingungen (Anhang A) beschrieben autorisiert sind.
  • Microsoft Commercial Support-Zulieferer ist eine eigene Liste mit Unterdatenverarbeitern, die von unserer globalen Supportorganisation für alle Microsoft-Produkte einschließlich Microsoft-Onlinediensten eingesetzt werden. Diese Unterdatenverarbeiter sind zum Zugriff auf Supportdaten autorisiert, zu denen Kundendaten oder personenbezogene Daten gehören können, die Kunden während ihrer Interaktionen mit dem Support bereitstellen.
  • Microsoft-Unterverarbeiter für personenbezogene Daten ist eine Liste mit Unterdatenverarbeitern, die zur Verarbeitung personenbezogener Daten jeder Art (einschließlich pseudonymisierter Daten) in allen Onlinediensten für Unternehmen autorisiert sind, die nicht bereits oben in der Liste der Zulieferer für zentrale Onlinedienste genannt werden.

Microsoft veröffentlicht die Namen neuer Unterdatenverarbeiter für zentrale Onlinedienste mindestens sechs Monate vor ihrer Autorisierung zur Ausführung von Diensten, die möglicherweise den Zugriff auf Kundendaten umfassen. Microsoft veröffentlicht die Namen neuer Unterdatenverarbeiter für personenbezogene Daten oder Supportdaten mindestens 14 Tage vor ihrer Autorisierung zur Ausführung von Diensten, die möglicherweise den Zugriff auf solche Daten umfassen.

Im Fall einer Überwachung durch Behörden hat Microsoft Maßnahmen ergriffen, um sicherzustellen, dass es keine „Hintertüren” gibt und kein direkter oder ungehinderter Zugriff auf Ihre Daten durch Behörden möglich ist. Microsoft stellt sorgfältig definierte Bedingungen für die Anforderung von Kundendaten durch Regierungs- oder Justizbehörden.

  • Darüber hinaus geben wir keine Daten, die in Microsoft-Unternehmensdiensten gehostet werden, an Regierungsbehörden weiter, es sei denn, dies ist gesetzlich vorgeschrieben.
  • Wenn wir gesetzlich verpflichtet sind, Kundendaten Justizbehörden gegenüber offenzulegen, informieren wir den Kunden unverzüglich und legen eine Kopie der Forderung vor, sofern gesetzlich zulässig.

Erfahren Sie, wie Microsoft auf Behördenanfragen nach dem Zugriff auf Kundendaten reagiert

Empfohlene Ressourcen