Datenschutz- und Sicherheitsbestimmungen
Allgemeines
Die Datenschutz- und Sicherheitsbedingungen waren zuvor in Anlage 1 zu den Bestimmungen für Onlinedienste enthalten.
Der Datenschutznachtrag oder DPA (wie im Glossar definiert) regelt die Verpflichtungen der Parteien in Bezug auf die Verarbeitung und die Sicherheit von Kundendaten, Professional Services-Daten und Personenbezogenen Daten durch die Produkte Der Datenschutznachtrag kann hier unter https://aka.ms/DPA heruntergeladen werden. Bei Konflikten oder Widersprüchen zwischen den Bestimmungen des DPA und anderen Bestimmungen des Lizenzvertrags des Kunden (einschließlich der vorliegenden Bestimmungen) hat der DPA Vorrang.
Aus dem DPA ausgeschlossene Onlinedienste
Außer wie in den Produktspezifischen Bedingungen angegeben, gelten die Bedingungen des DPA nicht für: Bing Maps Mobile Asset-Management-Plattform, Bing Maps-Transaktionen und -Nutzer, Bing-Suchdienste, Azure KI Services in Containern, die auf der dedizierten Hardware des Kunden installiert sind, Microsoft Copilot mit gewerblichem Datenschutz (früher Bing Chat Enterprise), GitHub-Angebote, LinkedIn Sales Navigator, Microsoft Defender for IoT (mit Ausnahme aller mit der Cloud verbundenen Funktionen), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, Microsoft Graph Data Connect für ISVs, Microsoft Genomics und Visual Studio App Center-Test. Jeder dieser Onlinedienste unterliegt den Datenschutz- und Sicherheitsbestimmungen in den entsprechenden produktspezifischen Bedingungen.
Vom DPA ausgeschlossene Softwareprodukte
Außer wie in den Produktspezifischen Bedingungen angegeben, gelten die Bedingungen des DPA nicht für: Internetbasierte Funktionen in Softwareprodukten, Windows-Desktopbetriebssystemen, Windows-Servern und diesen Softwareprodukten als Teil anderer Produkte. Jedes dieser Produkte unterliegt den Datenschutz- und Sicherheitsbestimmungen in den entsprechenden produktspezifischen Bedingungen.
Nicht von Microsoft stammende Produkte
Für die Nutzung von nicht von Microsoft stammenden Produkten durch den Kunden gelten gesonderte Bestimmungen (wie in den Universellen Lizenzbestimmungen für Onlinedienste definiert).
Regionsausschlüsse in den DPA-Bestimmungen
Für die Onlinedienste von Dynamics 365 und Power Platform gelten die in Anhang A aufgeführten spezifischen Bestimmungen des Datenschutznachtrags (DPA), die besagen, dass Microsoft Kopien von Kundendaten und Datenwiederherstellungsverfahren an einem anderen Ort speichert als dem der primären Computerausrüstung, die die Kundendaten verarbeitet, nicht für die folgenden Regionen: Vereinigte Arabische Emirate und Südafrika.
Core-Onlinedienste
Der Begriff „Kern-Onlinedienste“ bezieht sich nur auf die in der nachstehenden Tabelle aufgeführten Dienste, ohne jegliche Vorschauversionen.
| Onlinedienste | |
|---|---|
| Microsoft Dynamics 365-Kerndienste | Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Dynamic 365 versehenen Plan oder Anwendung enthalten: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations und Dynamics 365 Sales. Dynamics 365 Core Services umfassen nicht (1) Dynamics 365-Dienste für unterstützte Geräte oder Software, einschließlich, aber nicht beschränkt auf Dynamics 365 für Applikationen, Tablets, Telefone oder eines dieser Programme; (2) LinkedIn Sales Navigator oder (3), soweit nicht ausdrücklich in den Lizenzierungsbestimmungen für den entsprechenden Dienst definiert, alle anderen Dienste mit eigener Marke, die mit Dynamics 365-Kerndiensten zur Verfügung gestellt oder mit diesen verbunden werden. |
| Office 365-Services | Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Office 365 oder Microsoft 365 versehenen Plan oder Suite enthalten: Customer Lockbox, Exchange Online-Archivierung, Exchange Online-Schutz, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender für Office 365, Office für das Web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage und Microsoft Copilot für Microsoft 365. Zu den Office 365-Services gehören nicht Microsoft 365-Apps für Unternehmen, ein Teil eines PSTN-Dienstes, der außerhalb der Kontrolle von Microsoft betrieben wird, eine Client-Software oder ein separater, mit der Schutzmarke versehener Dienst, der mit einem Plan oder einer Suite der Marke Office 365 oder Microsoft 365 zur Verfügung gestellt wird, z. B. ein Bing oder ein Dienst der Marke „für Office 365“. |
| Microsoft 365-Compliancedienste | Folgende Dienste, jeweils als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite unter der Marke Microsoft 365: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview- Insider-Risikomanagement, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery und Microsoft Purview Audit, Microsoft Priva Privacy Risk Management und Microsoft Priva Subject Rights Request. |
| Microsoft Azure Core Services | Azure KI, Azure AI Content Safety, Azure Active Directory B2C, Anomalieerkennung, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API für FHIR, Azure App Configuration, Azure Bastion, Azure KI Bot Service, Azure Cache for Redis, Azure KI Suche, Azure-Kommunikationsdienste, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure KI Dokument Intelligenz, Azure Health Data Services, Azure KI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure KI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure KI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure KI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (klassisch), Media Services, Microsoft Azure Portal, Notification Hubs, Azure KI Personalisierung, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure KI Übersetzer, Virtual Machines, Virtual Machine Scale Sets, Virtual Network und VPN Gateway. |
| Microsoft Defender für Cloud-Apps | Der Cloud-Service-Teil von Microsoft Defender für Cloud-Apps (früher Microsoft Cloud App Security). |
| Microsoft Intune-Onlinedienste | Clouddienste-Teil von Microsoft Intune. |
| Microsoft Power-Plattform-Core Services | Die folgenden Dienste, die jeweils eigenständige Dienste sind oder wie jeweils in einem/einer mit der Marke Office 365 oder Microsoft Dynamics 365 versehenen Plan oder Suite enthalten: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages und Microsoft Copilot Studio. Die Microsoft Power-Plattform-Core Services enthalten keine Clientsoftware, einschließlich, aber nicht beschränkt auf Power BI Report Server, Power BI, PowerApps oder Microsoft Power Automate mobile-Anwendungen, Power BI Desktop oder Power Apps Studio. |
| Microsoft Defender für Endpunktdienste | Clouddienste-Teil von Microsoft Defender für Endpunkt. |
| Microsoft Defender for Identity | Clouddienste-Teil von Microsoft Defender for Identity. |
| Microsoft Defender XDR | Clouddienste-Teil von Microsoft Defender XDR. |
| Microsoft Sentinel | Clouddienste-Teil von Microsoft Sentinel. |
| Windows 365 | Der Cloud-Service-Teil von Windows 365, mit Ausnahme des Windows-Betriebssystems, das auf Windows 365-Cloud-PCs ausgeführt wird. |
Sicherheitsverfahren und -richtlinien für Core-Onlinedienste
Zusätzlich zu den Sicherheitsverfahren und -richtlinien für Onlinedienste im DPA erfüllt jeder Core-Onlinedienst auch die in der nachstehenden Tabelle aufgeführten Kontrollstandards und Rahmenkonzepte und verwirklicht und unterhält die in Anhang A des DPA beschriebenen Sicherheitsmaßnahmen zum Schutz der Kundendaten.
| Onlinedienst | SSAE 18 SOC 1 Typ II | SSAE 18 SOC 2 Typ II |
|---|---|---|
| Office 365-Services | Ja | Ja |
| Microsoft 365-Compliancedienste | Ja | Ja |
| Microsoft Dynamics 365-Kerndienste | Ja | Ja |
| Microsoft Azure Core Services | Variiert* | Variiert* |
| Microsoft Defender für Cloud-Apps | Ja | Ja |
| Microsoft Intune-Onlinedienste | Ja | Ja |
| Microsoft Power-Plattform-Core Services | Ja | Ja |
| Microsoft Defender für Endpunktdienste | Ja | Ja |
| Microsoft Defender for Identity | Ja | Ja |
| Microsoft Defender XDR | Ja | Ja |
| Microsoft Sentinel | Ja | Ja |
| Windows 365 | Ja | Ja |
* Der aktuelle Umfang ist im Prüfungsbericht detailliert aufgeführt und im Microsoft Trust Center zusammengefasst.
Speicherstelle der Kundendaten im Ruhezustand für Core-Onlinedienste:
Bezüglich der Core-Onlinedienste speichert Microsoft die Kundendaten im Ruhezustand innerhalb bestimmter geografischer Hauptgebiete (jeweils eine geografische Zone) wie folgt, sofern in den spezifischen Bedingungen für Onlinedienste nicht anders angegeben:
- Office 365-Services. Wenn der Kunde seinen Mandanten in Australien, Brasilien, Deutschland, der Europäischen Union, Frankreich, Indien, Japan, Kanada, Katar, Norwegen, Schweden, der Schweiz, Südafrika, Südkorea, den Vereinigten Arabischen Emiraten, im Vereinigten Königreich oder in den Vereinigten Staaten versorgt, speichert Microsoft die folgenden ruhenden Kundendaten nur in jener geografischen Zone: (1) Exchange Online-Postfachinhalte (E-Mail-Text, Kalendereinträge und Inhalt von E-Mail-Anhängen), (2) SharePoint Online-Website-Inhalte und die auf dieser Website gespeicherten Dateien sowie (3) Dateien, die auf OneDrive for Business hochgeladen wurden, (4) Microsoft Teams-Chatnachrichten (einschließlich privater Nachrichten, Kanalnachrichten, Besprechungsnachrichten und in Chats verwendeter Bilder) und für Kunden, die Microsoft Stream (Classic) (auf SharePoint) verwenden, Besprechungsaufzeichnungen und (5) alle gespeicherten Interaktionsinhalte mit Microsoft Copilot für Microsoft 365, soweit nicht in den vorherigen Verpflichtungen enthalten. Wenn der Kunde ein Erweitertes Datenresidenz-Abonnement erwirbt, speichert Microsoft bestimmte Kundendaten in Übereinstimmung mit diesem Abschnitt und dem Abschnitt „Zusagen zur Erweiterten Datenresidenz“ in der Produktdokumentation unter https://aka.ms/adroverview in der jeweiligen geografischen Zone.
- Microsoft Intune-Onlinedienste. Wenn der Kunde ein Microsoft Intune Tenant-Konto bereitstellt, um in einer verfügbaren Geo eingesetzt zu werden, speichert Microsoft dann für diesen Service ruhende Kundendaten in der spezifischen Geo, außer in den im Microsoft Intune Trust Center beschriebenen Fällen.
- Microsoft Power-Plattform-Core Services. Wenn der Kunde einen Power Platform Core Service bereitstellt, um in einer verfügbaren Geo genutzt zu werden, dann speichert Microsoft für diesen Service ruhende Kundendaten in der spezifischen Geo, außer in den im Microsoft Power Platform Trust Center beschriebenen Fällen.
- Microsoft Azure Core Services. Wenn der Kunde einen bestimmten Dienst derart konfiguriert, dass er in einem Rechenzentrum innerhalb einer Großregion (jeweils als „Geo“ bezeichnet) bereitgestellt wird, speichert Microsoft die Kundendaten-at-rest innerhalb dieses bestimmten Geo. Bei einigen Diensten hat der Kunde unter Umständen nicht die Möglichkeit, die Bereitstellung in einer bestimmten Geo oder außerhalb der USA zu konfigurieren und kann Sicherungen (Backups) an anderen Orten speichern. Weitere Informationen finden Sie im Microsoft Trust Center (das Microsoft von Zeit zu Zeit aktualisieren kann, aber Microsoft wird keine Ausnahmen für vorhandene Dienste in der allgemeinen Version hinzufügen).
- Microsoft Defender für Cloud-Apps. Wenn der Kunde seinen Tenant in der Europäischen Union oder den Vereinigten Staaten bereitstellt, speichert Microsoft die ruhenden Kundendaten nur in dieser Geo, außer wie im Trust Center für Microsoft Defender for Cloud-Apps beschrieben.
- Microsoft Dynamics 365 Core Services. Wenn der Kunde einen Dynamics 365 Core Service bereitstellt, um in einer verfügbaren Geo genutzt zu werden, speichert Microsoft dann für diesen Service ruhende Kundendaten in der spezifischen Geo, außer in den im Microsoft Dynamics 365 Trust Center beschriebenen Fällen.
- Microsoft Defender für Endpunktdienste. Wenn der Kunde einen Microsoft Defender für Endpunkt-Mandanten bereitstellt, um in einem verfügbaren geografischen Raum eingesetzt zu werden, speichert Microsoft für diesen Dienst dann die ruhenden Kundendaten im spezifischen Geo, mit Ausnahme der im Trust Center für Microsoft Defender für Endpunkt beschriebenen Fälle.
- Microsoft Defender for Identity. Wenn der Kunde einen Microsoft Defender for Identity-Mandanten bereitstellt, um in einem verfügbaren geografischen Raum eingesetzt zu werden, speichert Microsoft für diesen Dienst dann die ruhenden Kundendaten im spezifischen Geo, mit Ausnahme der im Trust Center für Microsoft Defender for Identity beschriebenen Fälle.
- Microsoft Defender XDR. Wenn der Kunde einen Microsoft Defender XDR-Mandanten bereitstellt, um in einem verfügbaren geografischen Raum eingesetzt zu werden, speichert Microsoft für diesen Dienst dann die ruhenden Kundendaten im spezifischen Geo, mit Ausnahme der im Microsoft Defender XDR Trust Center beschriebenen Fälle.
- Windows 365. Wenn ein Windows 365-Mandant innerhalb eines verfügbaren Geo bereitgestellt wird, speichert Microsoft für diesen Mandanten ruhende Kundendaten in diesem angegebenen Geo. Wenn der Kunde Windows 365-Cloud-PCs innerhalb desselben Mandanten für verschiedene verfügbare Geos bereitstellt, speichert Microsoft für jeden Cloud-PC ruhende Cloud-PC-Kundendaten in diesem angegebenen Geo.
EU-Datengrenzen-Dienste
Der Begriff „EU-Datengrenze“ bezeichnet die Computer, die Computerumgebung und die physischen Rechenzentren von Microsoft, die sich ausschließlich in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) befinden. Der Begriff „EU-Datengrenzen-Dienste“ bezieht sich nur auf die in der nachstehenden Tabelle aufgeführten Onlinedienste, ohne jegliche Vorschauversionen.
| EU-Datengrenzen-Dienste | |
|---|---|
| Azure | Azure-Dienste, die die Bereitstellung in einer Region innerhalb der EU-Datengrenze ermöglichen, und die folgenden nicht regionalen Dienste: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (on SharePoint), Microsoft Teams, Microsoft To-Do, Office für das Web, Onlinedienste, die im Rahmen von Microsoft 365-Apps bereitgestellt werden, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft Copilot for Microsoft 365, Communications Compliance, eDiscovery und Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales und Microsoft Viva Topics |
| Power-Plattform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Speicherort von Kundendaten für EU-Datengrenzen-Dienste
Für EU-Datengrenzen-Dienste speichert und verarbeitet Microsoft Kundendaten und personenbezogene Daten innerhalb der EU-Datengrenzen wie unten beschrieben.
Der Kunde muss EU-Datengrenzen-Dienste wie folgt konfigurieren:
- Für Azure muss der Kunde den Dienst in einer Azure-Region bereitstellen, die sich innerhalb der EU-Datengrenze befindet. Weitere Informationen finden Sie unter Datenresidenz in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Für Dienste, die keine Bereitstellung in einer bestimmten Azure-Region ermöglichen, muss der Kunde die Anweisungen unter „Konfigurieren nicht regionaler Azure-Dienste für die EU-Datengrenze“ (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services) befolgen.
- Wenn der Kunde für Dynamics 365 und Power-Plattform einen Mandanten mit einer Rechnungsadresse in der EU oder EFTA bereitstellt, fällt dieser Mandant in den Geltungsbereich der EU-Datengrenze, wenn der Kunde auch alle seine Umgebungen in einer Region innerhalb der EU-Datengrenze erstellt.
- Stellt der Kunde in Microsoft 365 einen Mandanten in der EU oder EFTA bereit, befindet sich dieser Mandant im Geltungsbereich der EU-Datengrenzen, mit Ausnahme von Mandanten, bei denen der Kunde zudem das Add-On „Microsoft 365 Multi-Geo Capabilities “ erworben hat, mit dem Kunden die Microsoft 365-Mandantenpräsenz auf mehrere geografische Regionen oder Länder erweitern können (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Die Nutzung von EU-Datengrenzen-Diensten kann zu begrenzten Übermittlungen von Kundendaten oder personenbezogenen Daten außerhalb der EU-Datengrenzen führen, wie unten dargelegt und in der Transparenzdokumentation für die EU-Datengrenze unter https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn oder der entsprechenden nachfolgenden Stelle ausführlicher beschrieben. Solche Übermittlungen werden in Übereinstimmung mit dem Datenschutznachtrag und den Produktbestimmungen durchgeführt.
- Remotezugriff. Microsoft-Mitarbeiter, die sich außerhalb der EU-Datengrenze befinden, können bei Bedarf per Remotezugriff auf Datenverarbeitungssysteme in der EU-Datengrenze zugreifen, um die EU-Datengrenzen-Dienste zu betreiben, zu sichern und Troubleshooting durchzuführen.
- Vom Kunden initiierte Übermittlungen. Kunden können Übermittlungen außerhalb der EU-Datengrenze initiieren, z. B. indem sie von Orten außerhalb der EU-Datengrenze auf EU-Datengrenzen-Dienste zugreifen, eine E-Mail an einen Empfänger außerhalb der EU-Datengrenze senden oder EU-Datengrenzen-Dienste in Kombination mit anderen Diensten außerhalb der EU-Datengrenze nutzen.
- Schutz der Kunden. Microsoft übermittelt nach Bedarf begrenzte Daten außerhalb der EU-Datengrenze, um Sicherheitsbedrohungen zu erkennen und Kunden davor zu schützen.
- Verzeichnisdaten. Microsoft kann Microsoft Entra-Verzeichnisdaten aus Microsoft Entra ID (einschließlich Benutzername und E-Mail-Adresse) in begrenztem Umfang außerhalb der EU-Datengrenze replizieren, um den Dienst bereitzustellen.
- Netzwerktransit. Um die Routinglatenz zu verringern und die Ausfallsicherheit des Routings aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die gelegentlich dazu führen können, dass Daten außerhalb der EU-Datengrenze übermittelt werden.
- Service- und Plattformqualität und -management. Wenn es zur Überwachung und Aufrechterhaltung der Servicequalität oder zur Sicherstellung der Genauigkeit statistischer Messungen der Servicenutzung oder -leistung erforderlich ist, können pseudonymisierte personenbezogene Daten außerhalb der EU-Datengrenzen übertragen werden.
- Dienstspezifische Übermittlungen. Informationen zu Übermittlungen, die für bestimmte EU-Datengrenzen-Dienste gelten, finden Sie in der oben genannten Transparenzdokumentation.