Datenschutz- und Sicherheitsbestimmungen

Allgemeines

Die Datenschutz- und Sicherheitsbedingungen waren zuvor in Anlage 1 zu den Bestimmungen für Onlinedienste enthalten.

Der Datenschutznachtrag oder DPA (wie im Glossar definiert) regelt die Verpflichtungen der Parteien in Bezug auf die Verarbeitung und die Sicherheit von Kundendaten, Professional Services-Daten und Personenbezogenen Daten durch die Produkte Der Datenschutznachtrag kann hier unter https://aka.ms/DPA heruntergeladen werden. Bei Konflikten oder Widersprüchen zwischen den Bestimmungen des DPA und anderen Bestimmungen des Lizenzvertrags des Kunden (einschließlich der vorliegenden Bestimmungen) hat der DPA Vorrang.

Ausnahmen von DPA

Die Datenschutz- und Sicherheitsbestimmungen in der Tabelle unten ändern oder ergänzen die DPA für jeden der aufgeführten Onlinedienste.

Produktfamilie	Onlinedienst	Datenschutz- & Sicherheitsbestimmungen
Microsoft Azure	Azure KI Services	Dienste in Containern Da die Betriebsumgebung von auf dezidierter Hardware installierten Containern nicht unter der Kontrolle von Microsoft steht, gelten die Bestimmungen der DPA nicht für Container, die auf dedizierter Hardware des Kunden installiert sind, außer in dem Umfang, in dem a) personenbezogene Daten Data in Verbindung mit dem Abrechnungsendpunkt erfasst werden oder b) Kundendaten vor dem Download des im Container betriebenen Dienstes zum Zwecke einer Schulung für benutzerdefinierte Modelle an Microsoft bereitgestellt werden.
	Azure KI Services	Inaktive Dienstkonfigurationen und benutzerdefinierte Modelle Für Zwecke der Datenaufbewahrung und -löschung kann eine Dienstkonfiguration oder ein benutzerdefiniertes Modell, das inaktiv war, nach Ermessen von Microsoft als Onlinedienst behandelt werden, für den das Abonnement des Kunden abgelaufen ist. Konfigurationen oder benutzerdefinierte Modelle gelten als inaktiv, wenn über einen Zeitraum von 90 Tagen (1) kein Aufruf erfolgt ist; (2) keine Änderung erfolgt ist oder kein aktueller Schlüssel zugewiesen wurde; (3) keine Kundenanmeldung erfolgt ist.
	Multi-Cloud-Scanning-Connectors für Microsoft Purview	Um die Interoperabilität der Bereitstellungen des Kunden mit anderen Cloud-Anbietern zu ermöglichen, kann Microsoft innerhalb dieser anderen Clouds bestimmte optionale, separate Datenscannerfunktionen für die Kundendaten betreiben, die in solchen anderen Clouds gehostet werden (die „Multi-Cloud-Scanning-Connectors für Microsoft Purview“). Microsoft wird in seiner Dokumentation offenlegen, wie der Kunde die Multi-Cloud-Scanning-Connectors für Microsoft Purview aktivieren und verwenden kann. Der Übersichtlichkeit halber handelt es sich bei den Multi-Cloud-Scanning-Connectors für Microsoft Purview um ein separates Add-On für Microsoft Purview. Die Multi-Cloud-Scanning-Connectors für Microsoft Purview sind kein Microsoft Azure-Kerndienst und die folgenden Abschnitte der Datenschutzvereinbarung gelten nicht für die Multi-Cloud-Scanning-Connectors für Microsoft Purview: „Bildungseinrichtungen“, „CJIS-Kundenvertrag“, „HIPAA-Geschäft“ und „Anhang A – Sicherheitsmaßnahmen“. Ausschließlich in Bezug auf die Multi-Cloud-Scanning-Connectors für Microsoft Purview gelten die folgenden Änderungen an der Datenschutzvereinbarung: Datenzugriff: Microsoft nutzt Zugriffsmechanismen, die auf dem Grundsatz der geringsten Berechtigung beruhen, um den Zugriff auf Kundendaten (einschließlich darin enthaltener personenbezogener Daten) zu kontrollieren. Microsoft setzte eine rollenbasierte Zugriffssteuerung ein, um sicherzustellen, dass der erforderliche Zugriff von Microsoft auf Kundendaten einem angemessenen Zweck dient und unter Aufsicht des Vorgesetzten genehmigt ist. Prüfung der Einhaltung: Die Verpflichtungen von Microsoft im Abschnitt zur Prüfung der Einhaltung der Datenschutzvereinbarung erstrecken sich nicht auf Computer, Computerumgebungen oder physische Rechenzentren von Drittanbietern, die von den Multi-Cloud-Scanning-Connectors für Microsoft Purview verwendet werden. Von diesen anderen Cloudanbietern angebotene Standarddatenschutzbedingungen regeln Ihre Verwendung der Multi-Cloud-Scanning-Connectors für Microsoft Purview, während das Add-On in solchen anderen Clouds gehostet wird.
	Visual Studio App Center	Die Datenschutzerklärung unter https://aka.ms/actestprivacypolicy gilt für die Nutzung von Visual Studio App Center Test durch den Kunden. Der Kunde ist nicht berechtigt, Visual Studio App Center Test zur Speicherung oder Verarbeitung personenbezogener Daten zu nutzen.
	Durch Azure Arc aktivierte SQL Managed Instance	Die Bestimmungen des Datenschutznachtrags (DPA) gelten nicht für die Verarbeitung von Daten in der durch Azure Arc aktivierten SQL Managed Instance, die in einer Umgebung außerhalb der Kontrolle von Microsoft stattfindet, außer in dem Umfang, in dem personenbezogene Daten erhoben werden, um Azure-Verwaltungsdienste zu ermöglichen und die Nutzung zu Abrechnungszwecken zu messen.
	Microsoft Genomics	Die Microsoft-Datenschutzbestimmungen unter https://aka.ms/privacy gelten für die Nutzung von Microsoft Genomics durch den Kunden und nicht des DPA, außer dass dieser Abschnitt von Microsoft Genomics die Kontrolle darüber ausübt, inwieweit er im Widerspruch zu den Microsoft-Datenschutzbestimmungen steht. Umfassende Lizenzbestimmungen Microsoft Genomics bietet Zugriff auf den Genetic Analysis Toolkit (GATK) des Broad Institute, Inc. („Broad“). Die Nutzung des Genome Analysis Toolkit („GATK“) und der dazugehörigen Dokumentation als Teil von Microsoft Genomics unterliegt auch dem GATK-Endnutzer-Lizenzvertrag des Broad Institute („Broad-Endnutzer-Lizenzvertrag“, abrufbar unter https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft kann bestimmte statistische und technische Informationen über die Nutzung des GATK durch den Kunden sammeln und an Broad weitergeben. Der Kunde autorisiert Microsoft, Broad den Status des Kunden als Nutzer des GATK in Microsoft Genomics mitzuteilen.
	Azure SQL Edge	Die Bedingungen der Datenschutzvereinbarung gelten nicht für Azure SQL Edge, das auf dem IoT-Gerät des Kunden installiert ist, außer in dem Umfang, in dem personenbezogene Daten gesammelt werden, um Azure-Verwaltungsdienste zu ermöglichen und die Nutzung zu Abrechnungszwecken zu messen, da die Betriebsumgebung solcher IoT-Geräte nicht unter der Kontrolle von Microsoft steht.
	Azure Stack HCI	Microsoft wird zum Verantwortlichen für die Verarbeitung von personenbezogenen Daten, wenn Kunden die Erfassung von Windows-Diagnosedaten wie in der Produktdokumentation beschrieben aktivieren. Wenn Microsoft ein Datenverantwortlicher ist, verarbeitet Microsoft diese personenbezogenen Daten in Übereinstimmung mit der Microsoft-Datenschutzerklärung unter aka.ms/privacy, und die Bestimmungen des Datenschutznachtrags finden keine Anwendung.
	Azure Stack Hub	Microsoft wird zum Verantwortlichen für die Verarbeitung von personenbezogenen Daten, wenn Kunden die Erfassung von Windows-Diagnosedaten wie in der Produktdokumentation beschrieben aktivieren. Wenn Microsoft ein Datenverantwortlicher ist, verarbeitet Microsoft diese personenbezogenen Daten in Übereinstimmung mit der Microsoft-Datenschutzerklärung unter aka.ms/privacy, und die Bestimmungen des Datenschutznachtrags finden keine Anwendung. Wenn ein Kunde mit einem Microsoft Cloud-Vertrag oder Microsoft-Kundenvertrag Azure Stack Hub-Software oder -Dienste nutzt, die von einem Handelspartner gehostet werden, unterliegt diese Nutzung den Datenschutzbestimmungen des Handelspartners, die sich von denen von Microsoft unterscheiden können.
	Azure VMware Solution	Übertragung von Professional Services-Daten an VMware Wenn der Kunde Microsoft für technischen Support in Bezug auf die Azure VMware Solution kontaktiert und Microsoft VMware zur Unterstützung bei dem Problem einschalten muss, überträgt Microsoft die Professional Services-Daten und die im Supportfall enthaltenen personenbezogenen Daten an VMware. Die Übertragung erfolgt nach den Bestimmungen des Supportübertragungsvertrags zwischen VMware und Microsoft, der Microsoft und VMware als unabhängige Auftragsverarbeiter der Professional Services-Daten definiert. Bevor eine Übertragung von Professional Services-Daten an VMware erfolgt, holt Microsoft die Zustimmung des Kunden zur Übertragung ein und protokolliert sie. VMware-Datenverarbeitungsvertrag Sobald Professional Services-Daten an VMware übertragen werden (gemäß obigem Abschnitt), unterliegt die Verarbeitung der Professional Services-Daten, einschließlich der im Supportfall enthaltenen personenbezogenen Daten, durch VMware als unabhängiger Auftragsverarbeiter dem VMware-Datenverarbeitungsvertrag für Microsoft AVS-Kunden, übertragen für L3-Support (https://rc.portal.azure.com/verifyLink?href=https%3A%2F%2Fwww.vmware.com%2Fvmware-dpa-for-avs-customers.html&id=Microsoft_Azure_Marketplace). Der Kunde ermächtigt außerdem seine(n) Vertreter, die technischen Support für die Azure VMware Solution anfordern, in seinem Namen gegenüber Microsoft die Zustimmung zur Übertragung der Professional Services-Daten an VMware zu erteilen.
Bing	Bing	Der Datenschutznachtrag gilt nicht für Ihre Nutzung von Bing Suchdiensten oder eine beliebigen Nutzung von Bing innerhalb eines Produkts. Für alle Komponenten eines Produkts, das von Bing betrieben wird, wie in der Produktdokumentation offengelegt, gilt die Datenschutzerklärung von Microsoft (https://privacy.microsoft.com/privacystatement).
GitHub	GitHub-Angebote	Ungeachtet anderslautender Bestimmungen im Volumenlizenzvertrag des Kunden (einschließlich dieser Produktbestimmungen und des DPA) gelten die GitHub-Datenschutzerklärung, die unter https://aka.ms/github_privacy verfügbar ist, und die GitHub-Datenschutzvereinbarung unter https://aka.ms/github_dpa für die Nutzung der GitHub-Angebote durch den Kunden, einschließlich GitHub Enterprise, das eigenständig oder als Visual Studio Enterprise oder Professional mit GitHub Enterprise lizenziert wird.
Office 365-Dienste	Office 365 Education	Wenn die Rechnungsadresse des Kunden außerhalb Europas oder der EFTA-Länder liegt und der Kunde ein Office 365 Education-Abonnement abgeschlossen aber kein Advanced Data Residency for Education Add-on gekauft hat, ist Microsoft ungeachtet des Abschnitts „Speicherort der Kundendaten für die Haupt-Onlinedienste“ der Produktbedingungen berechtigt, den Office 365 Education-Tenant des Kunden an einem beliebigen Ort in der EU oder in Nordamerika bereitzustellen, die Kundendaten dorthin zu übertragen und ruhende Kundendaten dort zu speichern. Wenn die Rechnungsadresse des Kunden innerhalb Europas oder der EFTA-Länder liegt und der Kunde ein Office 365 Education-Abonnement abgeschlossen aber kein Advanced Data Residency for Education Add-on gekauft hat, ist Microsoft ungeachtet des Abschnitts „Speicherort der Kundendaten für die Haupt-Onlinedienste“ der Produktbedingungen berechtigt, den Office 365 Education-Tenant des Kunden an einem beliebigen Ort in der EU bereitzustellen, die Kundendaten dorthin zu übertragen und ruhende Kundendaten dort zu speichern.
Microsoft Dynamics 365-Dienste	Dynamics 365 Business Central und Dynamics 365 Finance in Dänemark	Buchführungsgesetze und -regelungen Diese Bedingungen gelten nur für Kunden mit einem Unternehmen in Dänemark, wie im Buchführungsgesetz vorgeschrieben. Der DPA regelt, wie Microsoft mit Kundendaten in Dynamics 365 Business Central und Dynamics 365 Finance umgeht, mit Ausnahme der Aufbewahrung, Löschung und Offenlegung von Buchhaltungsunterlagen. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dem DPA und anderen Bedingungen in der Lizenzvereinbarung des Kunden haben diese Bedingungen Vorrang. Begriffsbestimmungen „Buchhaltungsunterlagen“ bezeichnet alle Dokumente, die die Buchführung umfassen, einschließlich aller aufgezeichneten Transaktionen und Belege und anderer Daten (einschließlich personenbezogener Daten) für ein Unternehmen, die der Kunde gemäß dem Buchführungsgesetz in einem digitalen Standardbuchhaltungssystem bereitstellt oder die im Namen des Kunden bereitgestellt werden. „Buchführungsgesetz“ bezeichnet das dänische Buchführungsgesetz vom 24. Mai 2022 und alle erlassenen Durchführungsverordnungen, die die Buchführungs- und Buchhaltungspflichten von Unternehmen sowie von Anbietern von digitalen Standardbuchführungssystemen in Dänemark regeln. „Dänische Behörde“ bezeichnet jede (i) dänische Behörde, die nach dem Buchführungsgesetz oder anderen einschlägigen Gesetzen das erforderliche Recht hat, ein Unternehmen zu prüfen und dessen Buchhaltungsunterlagen anzufordern, oder (ii) einen Liquidator, Konkursverwalter oder Sanierer, der die Leitung des Unternehmens übernommen hat. „Digitales Standardbuchführungssystem“ bezeichnet einen digitalen Dienst oder eine Software mit Funktionen, die es Unternehmen ermöglichen, Buchhaltungsunterlagen oder zumindest eine vollständige Sicherungskopie derselben auf einem Server zu erfassen und zu speichern, der vom Anbieter oder einer anderen Drittpartei gemäß den Vorschriften und Standards des Buchführungsgesetzes betrieben wird. Datenaufbewahrung und Löschung von Buchhaltungsunterlagen Durch die Nutzung von Dynamics 365 Business Central oder Dynamics 365 Finance erklärt sich der Kunde damit einverstanden, dass Microsoft oder seine verbundenen Unternehmen in Übereinstimmung mit ihrer gesetzlichen Verpflichtung die Buchhaltungsunterlagen des Kunden kopieren, speichern und für 5 Jahre ab dem Ende des Geschäftsjahres der entsprechenden aufgezeichneten Transaktionen und Belege aufbewahren dürfen („Aufbewahrungsfrist“), auch wenn der Kunde sein Buchführungssystem ändert, in Konkurs geht oder liquidiert wird, wie es das Buchführungsgesetz vorschreibt. Microsoft speichert die Buchhaltungsunterlagen des Kunden im Ruhezustand in einem von Microsoft verwalteten Speicher am selben Ort auf wie die primäre Computerausrüstung, die die Kundendaten für diese Dienste verarbeitet, oder die Europäische Union. Während des Aufbewahrungszeitraums kann der Kunde nicht auf seine Buchhaltungsunterlagen zugreifen, sie extrahieren, korrigieren oder löschen. Microsoft wendet zum Schutz der Buchhaltungsunterlagen des Kunden die gleichen Sicherheitsmaßnahmen an wie zum Schutz anderer Kundendaten. Nach Ablauf des Aufbewahrungszeitraums löscht Microsoft die Buchhaltungsunterlagen des Kunden. Microsoft übernimmt keine Haftung für die Löschung der Buchhaltungsunterlagen des Kunden. Offenlegung von Buchhaltungsunterlagen Microsoft legt die Buchhaltungsunterlagen des Kunden gegenüber dänischen Behörden offen oder gewährt ihnen Zugriff auf diese Unterlagen, wenn dies erforderlich ist, um einer Aufforderung zur Offenlegung gemäß dem Buchführungsgesetz nachzukommen. Andere Daten, die ein Kunde in diesen digitalen Standardbuchführungssystemen speichert, sind nicht Gegenstand der Offenlegung. Die dänischen Behörden sind nur dann berechtigt, Buchhaltungsunterlagen von Anbietern digitaler Standardbuchführungssysteme anzufordern, wenn es nicht möglich ist, die Informationen direkt vom Unternehmen zu erhalten. Microsoft übernimmt keine Haftung für die Offenlegung der Buchhaltungsunterlagen des Kunden gegenüber einer dänischen Behörde.
Microsoft Dynamics 365-Dienste	Microsoft Relationship Sales	LinkedIn Sales Navigator LinkedIn Sales Navigator wird von der LinkedIn Corporation zur Verfügung gestellt. Der Kunde ist nur berechtigt, den LinkedIn Sales Navigator Service zur Erstellung von Sales Leads zu nutzen. Jeder Nutzer von LinkedIn Sales Navigator muss Mitglied von LinkedIn sein und akzeptiert, an die LinkedIn-Nutzungsvereinbarung gebunden zu sein, einsehbar unter https://www.linkedin.com/legal/preview/user-agreement. Ungeachtet anderslautender Bestimmungen im Volumenlizenzvertrag des Kunden (einschließlich dieser Produktbestimmungen) gelten für die Nutzung des LinkedIn Sales Navigator-Dienstes durch den Kunden die LinkedIn-Datenschutzbestimmungen, die unter https://www.linkedin.com/legal/privacy-policy abrufbar sind. Die LinkedIn Corporation (als Datenverarbeiterin) und der Kunde (als Datenverantwortlicher) halten sich an die Bedingungen der LinkedIn-Datenverarbeitungsvereinbarung, die unter https://legal.linkedin.com/dpa zu finden ist.
Microsoft 365	Veraltete Glint-Dienste	Der Zugriff und die Nutzung der veralteten Glint-Dienste durch den Kunden unterliegen den Bedingungen, die in dem/den zuletzt aktiven LinkedIn-Bestellformular(en) des Kunden für veraltete Glint-Dienste festgelegt sind. Keine Microsoft-Bedingungen – einschließlich, jedoch nicht beschränkt auf die Microsoft Produktbestimmungen, das DPA oder etwaige Verträge zwischen dem Kunden und Microsoft – gelten für veraltete Glint-Dienste.
Sonstige Onlinedienste	Microsoft Intune	Wird die Intune Company Portal App zur Verwaltung von Geräten verwendet, so gelten für die Nutzung der Intune Company Portal App die Bestimmungen, die für Microsoft Intune-Onlinedienste gelten (wie in der Tabelle „Core-Onlinedienste“ in diesen Datenschutz- & Sicherheitsbestimmungen definiert). Die Verpflichtungen von Microsoft in Zusammenhang mit der Intune Company Portal App erstrecken sich nicht auf die Datenverarbeitung, Richtlinien oder Praktiken der Drittanbieter von Mobile-Plattformen, auf denen die Intune Company Portal App betrieben wird (z. B. Apple, Google).
Sonstige Onlinedienste	Verwaltete Geräte und Anwendungen	Microsoft Managed Desktop (MMD) integriert Daten (einschließlich Kundendaten) zwischen anderen Microsoft-Produkten, einschließlich Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender for Endpoint, Office und Onlinedienste, wie vom Kunden konfiguriert (für Zwecke dieser Bestimmung zusammenfassend „Integrierte Dienste MMD“ genannt). Sobald Daten zwischen den MMD Integrated Services übertragen werden, unterliegen diese Daten den Produktbedingungen, die für den Service gelten, in dem sie sich befinden.

Vom DPA ausgeschlossene Softwareprodukte

Außer wie in den Produktspezifischen Bedingungen angegeben, gelten die Bedingungen des DPA nicht für: Internetbasierte Funktionen in Softwareprodukten, Windows-Desktopbetriebssystemen, Windows-Servern und diesen Softwareprodukten als Teil anderer Produkte. Jedes dieser Produkte unterliegt den Datenschutz- und Sicherheitsbestimmungen in den entsprechenden produktspezifischen Bedingungen.

Nicht von Microsoft stammende Produkte

Für die Nutzung von nicht von Microsoft stammenden Produkten durch den Kunden gelten gesonderte Bestimmungen (wie in den Universellen Lizenzbestimmungen für Onlinedienste definiert).

Regionsausschlüsse in den DPA-Bestimmungen

Für die Onlinedienste von Dynamics 365 und Power Platform gelten die in Anhang A aufgeführten spezifischen Bestimmungen des Datenschutznachtrags (DPA), die besagen, dass Microsoft Kopien von Kundendaten und Datenwiederherstellungsverfahren an einem anderen Ort speichert als dem der primären Computerausrüstung, die die Kundendaten verarbeitet, nicht für die folgenden Regionen: Vereinigte Arabische Emirate und Südafrika.

Core-Onlinedienste

Der Begriff „Kern-Onlinedienste“ bezieht sich nur auf die in der nachstehenden Tabelle aufgeführten Dienste, ohne jegliche Vorschauversionen.

Onlinedienste
Microsoft Dynamics 365-Kerndienste	Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Dynamic 365 versehenen Plan oder Anwendung enthalten: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations und Dynamics 365 Sales. Dynamics 365 Core Services umfassen nicht (1) Dynamics 365-Dienste für unterstützte Geräte oder Software, einschließlich, aber nicht beschränkt auf Dynamics 365 für Applikationen, Tablets, Telefone oder eines dieser Programme; (2) LinkedIn Sales Navigator oder (3), soweit nicht ausdrücklich in den Lizenzierungsbestimmungen für den entsprechenden Dienst definiert, alle anderen Dienste mit eigener Marke, die mit Dynamics 365-Kerndiensten zur Verfügung gestellt oder mit diesen verbunden werden.
Office 365-Services	Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Office 365 oder Microsoft 365 versehenen Plan oder Suite enthalten: Customer Lockbox, Exchange Online-Archivierung, Exchange Online-Schutz, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender für Office 365, Office für das Web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage und Microsoft 365 Copilot. Zu den Office 365-Services gehören nicht Microsoft 365-Apps für Unternehmen, ein Teil eines PSTN-Dienstes, der außerhalb der Kontrolle von Microsoft betrieben wird, eine Client-Software oder ein separater, mit der Schutzmarke versehener Dienst, der mit einem Plan oder einer Suite der Marke Office 365 oder Microsoft 365 zur Verfügung gestellt wird, z. B. ein Bing oder ein Dienst der Marke „für Office 365“.
Microsoft 365-Compliancedienste	Folgende Dienste, jeweils als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite unter der Marke Microsoft 365: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview- Insider-Risikomanagement, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery und Microsoft Purview Audit, Microsoft Priva Privacy Risk Management und Microsoft Priva Subject Rights Request.
Microsoft Azure Core Services	Azure KI, Azure AI Content Safety, Azure Active Directory B2C, Anomalieerkennung, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API für FHIR, Azure App Configuration, Azure Bastion, Azure KI Bot Service, Azure Cache for Redis, Azure KI Suche, Azure-Kommunikationsdienste, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure KI Dokument Intelligenz, Azure Health Data Services, Azure KI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure KI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Classic), Microsoft Purview Data Catalog (Classic), Microsoft Purview Data Estate Insights (Classic), Microsoft Purview Data Policies (Classic), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure KI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure KI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (klassisch), Media Services, Microsoft Azure Portal, Notification Hubs, Azure KI Personalisierung, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure KI Übersetzer, Virtual Machines, Virtual Machine Scale Sets, Virtual Network und VPN Gateway.
Microsoft Intune-Onlinedienste	Clouddienste-Teil von Microsoft Intune.
Microsoft Power-Plattform-Core Services	Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Office 365 oder Microsoft Dynamics 365 versehenen Plan oder Suite enthalten: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages und Microsoft Copilot Studio. Die Microsoft Power-Plattform-Core Services enthalten keine Clientsoftware, einschließlich, aber nicht beschränkt auf Power BI Report Server, Power BI, PowerApps oder Microsoft Power Automate mobile-Anwendungen, Power BI Desktop oder Power Apps Studio.
Microsoft Copilot	Microsoft Copilot, verwendet mit einem Arbeits- oder Schulkonto.
Microsoft Defender Experts	Clouddienste-Teil von Microsoft Defender Experts.
Microsoft Defender für Cloud-Apps	Der Cloud-Service-Teil von Microsoft Defender für Cloud-Apps (früher Microsoft Cloud App Security).
Microsoft Defender für Endpunktdienste	Clouddienste-Teil von Microsoft Defender für Endpunkt.
Microsoft Defender for Identity	Clouddienste-Teil von Microsoft Defender for Identity.
Microsoft Defender XDR	Clouddienste-Teil von Microsoft Defender XDR.
Microsoft Sentinel	Clouddienste-Teil von Microsoft Sentinel.
Windows 365	Der Cloud-Service-Teil von Windows 365, mit Ausnahme des Windows-Betriebssystems, das auf Windows 365-Cloud-PCs ausgeführt wird.

Sicherheitsverfahren und -richtlinien für Core-Onlinedienste

Zusätzlich zu den Sicherheitsverfahren und -richtlinien für Onlinedienste im DPA erfüllt jeder Core-Onlinedienst auch die in der nachstehenden Tabelle aufgeführten Kontrollstandards und Rahmenkonzepte und verwirklicht und unterhält die in Anhang A des DPA beschriebenen Sicherheitsmaßnahmen zum Schutz der Kundendaten.

Onlinedienst	SSAE 18 SOC 1 Typ II	SSAE 18 SOC 2 Typ II
Office 365-Services	Ja	Ja
Microsoft 365-Compliancedienste	Ja	Ja
Microsoft Dynamics 365-Kerndienste	Ja	Ja
Microsoft Azure Core Services	Variiert*	Variiert*
Microsoft Intune-Onlinedienste	Ja	Ja
Microsoft Power-Plattform-Core Services	Ja	Ja
Microsoft Copilot	Ja	Ja
Microsoft Defender Experts	Variiert*	Variiert*
Microsoft Defender für Cloud-Apps	Ja	Ja
Microsoft Defender für Endpunktdienste	Ja	Ja
Microsoft Defender for Identity	Ja	Ja
Microsoft Defender XDR	Ja	Ja
Microsoft Sentinel	Ja	Ja
Windows 365	Ja	Ja

* Der aktuelle Umfang ist im Prüfungsbericht detailliert aufgeführt und im Microsoft Trust Center zusammengefasst.

Speicherstelle der Kundendaten im Ruhezustand für Core-Onlinedienste:

Bezüglich der Core-Onlinedienste speichert Microsoft die Kundendaten im Ruhezustand innerhalb bestimmter geografischer Hauptgebiete (jeweils eine geografische Zone) wie folgt, sofern in den spezifischen Bedingungen für Onlinedienste nicht anders angegeben:

Office 365-Services. Wenn der Kunde seinen Mandanten in Australien, Brasilien, Deutschland, der Europäischen Union, Frankreich, Indien, Japan, Kanada, Katar, Norwegen, Schweden, der Schweiz, Südafrika, Südkorea, den Vereinigten Arabischen Emiraten, im Vereinigten Königreich oder in den Vereinigten Staaten versorgt, speichert Microsoft die folgenden ruhenden Kundendaten nur in jener geografischen Zone: (1) Exchange Online-Postfachinhalte (E-Mail-Text, Kalendereinträge und Inhalt von E-Mail-Anhängen), (2) SharePoint Online-Website-Inhalte und die auf dieser Website gespeicherten Dateien sowie (3) Dateien, die auf OneDrive for Business hochgeladen wurden, (4) Microsoft Teams-Chatnachrichten (einschließlich privater Nachrichten, Kanalnachrichten, Besprechungsnachrichten und in Chats verwendeter Bilder) und für Kunden, die Microsoft Stream (Classic) (auf SharePoint) verwenden, Besprechungsaufzeichnungen und (5) alle gespeicherten Interaktionsinhalte mit Microsoft 365 Copilot, soweit nicht in den vorherigen Verpflichtungen enthalten. Wenn der Kunde ein Erweitertes Datenresidenz-Abonnement erwirbt, speichert Microsoft bestimmte Kundendaten in Übereinstimmung mit diesem Abschnitt und dem Abschnitt „Zusagen zur Erweiterten Datenresidenz“ in der Produktdokumentation unter https://aka.ms/adroverview in der jeweiligen geografischen Zone.
Microsoft Intune-Onlinedienste. Wenn der Kunde ein Microsoft Intune Tenant-Konto bereitstellt, um in einer verfügbaren Geo eingesetzt zu werden, speichert Microsoft dann für diesen Service ruhende Kundendaten in der spezifischen Geo, außer in den im Microsoft Intune Trust Center beschriebenen Fällen.
Microsoft Power-Plattform-Core Services. Wenn der Kunde einen Power Platform Core Service bereitstellt, um in einer verfügbaren Geo genutzt zu werden, dann speichert Microsoft für diesen Service ruhende Kundendaten in der spezifischen Geo, außer in den im Microsoft Power Platform Trust Center beschriebenen Fällen.
Microsoft Azure Core Services. Wenn der Kunde einen bestimmten Dienst derart konfiguriert, dass er in einem Rechenzentrum innerhalb einer Großregion (jeweils als „Geo“ bezeichnet) bereitgestellt wird, speichert Microsoft die Kundendaten-at-rest innerhalb dieses bestimmten Geo. Bei einigen Diensten hat der Kunde unter Umständen nicht die Möglichkeit, die Bereitstellung in einer bestimmten Geo oder außerhalb der USA zu konfigurieren und kann Sicherungen (Backups) an anderen Orten speichern. Weitere Informationen finden Sie im Microsoft Trust Center (das Microsoft von Zeit zu Zeit aktualisieren kann, aber Microsoft wird keine Ausnahmen für vorhandene Dienste in der allgemeinen Version hinzufügen).
Microsoft Defender für Cloud-Apps. Wenn der Kunde seinen Tenant in der Europäischen Union oder den Vereinigten Staaten bereitstellt, speichert Microsoft die ruhenden Kundendaten nur in dieser Geo, außer wie im Trust Center für Microsoft Defender for Cloud-Apps beschrieben.
Microsoft Dynamics 365 Core Services. Wenn der Kunde einen Dynamics 365 Core Service bereitstellt, um in einer verfügbaren Geo genutzt zu werden, speichert Microsoft dann für diesen Service ruhende Kundendaten in der spezifischen Geo, außer in den im Microsoft Dynamics 365 Trust Center beschriebenen Fällen.
Microsoft Defender für Endpunktdienste. Wenn der Kunde einen Microsoft Defender für Endpunkt-Mandanten bereitstellt, um in einem verfügbaren geografischen Raum eingesetzt zu werden, speichert Microsoft für diesen Dienst dann die ruhenden Kundendaten im spezifischen Geo, mit Ausnahme der im Trust Center für Microsoft Defender für Endpunkt beschriebenen Fälle.
Microsoft Defender for Identity. Wenn der Kunde einen Microsoft Defender for Identity-Mandanten bereitstellt, um in einem verfügbaren geografischen Raum eingesetzt zu werden, speichert Microsoft für diesen Dienst dann die ruhenden Kundendaten im spezifischen Geo, mit Ausnahme der im Trust Center für Microsoft Defender for Identity beschriebenen Fälle.
Microsoft Defender XDR. Wenn der Kunde einen Microsoft Defender XDR-Mandanten bereitstellt, um in einem verfügbaren geografischen Raum eingesetzt zu werden, speichert Microsoft für diesen Dienst dann die ruhenden Kundendaten im spezifischen Geo, mit Ausnahme der im Microsoft Defender XDR Trust Center beschriebenen Fälle.
Windows 365. Wenn ein Windows 365-Mandant innerhalb eines verfügbaren Geo bereitgestellt wird, speichert Microsoft für diesen Mandanten ruhende Kundendaten in diesem angegebenen Geo. Wenn der Kunde Windows 365-Cloud-PCs innerhalb desselben Mandanten für verschiedene verfügbare Geos bereitstellt, speichert Microsoft für jeden Cloud-PC ruhende Cloud-PC-Kundendaten in diesem angegebenen Geo.

EU-Datengrenzen-Dienste

Der Begriff „EU-Datengrenze“ bezeichnet die Computer, die Computerumgebung und die physischen Rechenzentren von Microsoft, die sich ausschließlich in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) befinden. Der Begriff „EU-Datengrenzen-Dienste“ bezieht sich nur auf die in der nachstehenden Tabelle aufgeführten Onlinedienste, ohne jegliche Vorschauversionen.

EU-Datengrenzen-Dienste
Azure	Azure-Dienste, die die Bereitstellung in einer Region innerhalb der EU-Datengrenze ermöglichen, und die folgenden nicht regionalen Dienste: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (on SharePoint), Microsoft Teams, Microsoft To-Do, Office für das Web, Onlinedienste, die im Rahmen von Microsoft 365-Apps bereitgestellt werden, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Communications Compliance, eDiscovery und Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales und Microsoft Viva Topics
Power-Plattform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio

Speicherort von Kundendaten für EU-Datengrenzen-Dienste

Für EU-Datengrenzen-Dienste speichert und verarbeitet Microsoft Kundendaten und personenbezogene Daten innerhalb der EU-Datengrenzen wie unten beschrieben.

Der Kunde muss EU-Datengrenzen-Dienste wie folgt konfigurieren:

Für Azure muss der Kunde den Dienst in einer Azure-Region bereitstellen, die sich innerhalb der EU-Datengrenze befindet. Weitere Informationen finden Sie unter Datenresidenz in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Für Dienste, die keine Bereitstellung in einer bestimmten Azure-Region ermöglichen, muss der Kunde die Anweisungen unter „Konfigurieren nicht regionaler Azure-Dienste für die EU-Datengrenze“ (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services) befolgen.
Wenn der Kunde für Dynamics 365 und Power-Plattform einen Mandanten mit einer Rechnungsadresse in der EU oder EFTA bereitstellt, fällt dieser Mandant in den Geltungsbereich der EU-Datengrenze, wenn der Kunde auch alle seine Umgebungen in einer Region innerhalb der EU-Datengrenze erstellt.
Stellt der Kunde in Microsoft 365 einen Mandanten in der EU oder EFTA bereit, befindet sich dieser Mandant im Geltungsbereich der EU-Datengrenzen, mit Ausnahme von Mandanten, bei denen der Kunde zudem das Add-On „Microsoft 365 Multi-Geo Capabilities “ erworben hat, mit dem Kunden die Microsoft 365-Mandantenpräsenz auf mehrere geografische Regionen oder Länder erweitern können (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).

Die Nutzung von EU-Datengrenzen-Diensten kann zu begrenzten Übermittlungen von Kundendaten oder personenbezogenen Daten außerhalb der EU-Datengrenzen führen, wie unten dargelegt und in der Transparenzdokumentation für die EU-Datengrenze unter https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn oder der entsprechenden nachfolgenden Stelle ausführlicher beschrieben. Solche Übermittlungen werden in Übereinstimmung mit dem Datenschutznachtrag und den Produktbestimmungen durchgeführt.

Remotezugriff. Microsoft-Mitarbeiter, die sich außerhalb der EU-Datengrenze befinden, können bei Bedarf per Remotezugriff auf Datenverarbeitungssysteme in der EU-Datengrenze zugreifen, um die EU-Datengrenzen-Dienste zu betreiben, zu sichern und Troubleshooting durchzuführen.
Vom Kunden initiierte Übermittlungen. Kunden können Übermittlungen außerhalb der EU-Datengrenze initiieren, z. B. indem sie von Orten außerhalb der EU-Datengrenze auf EU-Datengrenzen-Dienste zugreifen, eine E-Mail an einen Empfänger außerhalb der EU-Datengrenze senden oder EU-Datengrenzen-Dienste in Kombination mit anderen Diensten außerhalb der EU-Datengrenze nutzen.
Schutz der Kunden. Microsoft übermittelt nach Bedarf begrenzte Daten außerhalb der EU-Datengrenze, um Sicherheitsbedrohungen zu erkennen und Kunden davor zu schützen.
Verzeichnisdaten. Microsoft kann Microsoft Entra-Verzeichnisdaten aus Microsoft Entra ID (einschließlich Benutzername und E-Mail-Adresse) in begrenztem Umfang außerhalb der EU-Datengrenze replizieren, um den Dienst bereitzustellen.
Netzwerktransit. Um die Routinglatenz zu verringern und die Ausfallsicherheit des Routings aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die gelegentlich dazu führen können, dass Daten außerhalb der EU-Datengrenze übermittelt werden.
Service- und Plattformqualität und -management. Wenn es zur Überwachung und Aufrechterhaltung der Servicequalität oder zur Sicherstellung der Genauigkeit statistischer Messungen der Servicenutzung oder -leistung erforderlich ist, können pseudonymisierte personenbezogene Daten außerhalb der EU-Datengrenzen übertragen werden.
Dienstspezifische Übermittlungen. Informationen zu Übermittlungen, die für bestimmte EU-Datengrenzen-Dienste gelten, finden Sie in der oben genannten Transparenzdokumentation.