Navigation überspringen

Data Residency in Azure

Azure bietet mehr globale Regionen als jeder andere Cloudanbieter – und damit genau die Reichweite und Datenresidenzoptionen, um Ihre Apps und Benutzer weltweit näher zusammenzubringen.

Als Kunde verwalten Sie die Eigentümerschaft Ihrer Kundendaten, also die Inhalte sowie personenbezogenen und weiteren Daten, die Sie zur Speicherung und für das Hosting an Azure-Dienste senden. Sie haben auch die Kontrolle darüber, ob Ihre Lösungen in weiteren Geografien bereitgestellt oder Ihre Daten dorthin repliziert werden dürfen.

Wenn für die Funktionalität eines Diensts eine globale Datenreplikation erforderlich ist, sind unten entsprechend Informationen dazu aufgeführt.

  • Microsoft schützt Ihre Daten mithilfe mehrerer Ebenen von Sicherheits- und Verschlüsselungsprotokollen. Verschaffen Sie sich einen Überblick darüber, wie Microsoft Ihre Daten mithilfe der Verschlüsselung schützt.

    Microsoft verwaltete Schlüssel schützen standardmäßig Ihre Daten. Kundendaten, die auf physischen Medien gespeichert sind, werden immer mit FIPS 140-2-konformen Verschlüsselungsprotokollen verschlüsselt. Kunden können auch kundenseitig verwaltete Schlüssel (CMK), doppelte Verschlüsselung und/oder Hardwaresicherheitsmodule (HSM) verwenden, um den Datenschutz zu erhöhen.

    Der gesamte Datenverkehr zwischen Rechenzentren wird mithilfe von IEEE 802.1AE MAC-Sicherheitsstandards geschützt, um physische Man-in-the-Middle-Angriffe zu verhindern. Um Resilienz zu gewährleisten, verwendet Microsoft variable Netzwerkpfade, die manchmal über geografische Grenzen hinweg erfolgen. Die Replikation von Kundendaten zwischen Regionen wird jedoch immer über verschlüsselte Netzwerkverbindungen übertragen.

    Zum Minimieren des Datenschutzrisikos generiert Microsoft pseudonyme Bezeichner, mit denen Microsoft einen globalen Clouddienst anbieten kann (einschließlich Betrieb und Verbesserung von Diensten, Abrechnung und Betrugsschutz). In allen Fällen können pseudonyme Bezeichner nicht verwendet werden, um eine Person direkt zu identifizieren, und der Zugriff auf die Kundendaten, die Einzelpersonen identifizieren, wird immer wie oben beschrieben geschützt.

  • Alle Azure-Dienste sind konform mit der Datenschutz-Grundverordnung (DSGVO). Wenn Kunden, die Azure-Dienste verwenden, sich dazu entscheiden, Inhalte mit personenbezogenen Daten grenzübergreifend zu verschieben, müssen sie rechtliche Anforderungen beachten, die für solche Übertragungen gelten. Microsoft stellt für Kunden Dienste und Ressourcen bereit, die sie dabei unterstützen, die Anforderungen der DSGVO einzuhalten, die möglicherweise für ihre Vorgänge gelten.

    Manche Microsoft-Onlinedienste geben Daten an Drittanbieter weitere, die als Unterauftragsverarbeiter beauftragt werden. In der öffentlich verfügbaren Liste der Microsoft Online Services-Unterauftragsverarbeiter finden Sie Unterauftragsverarbeiter, die autorisiert sind, Kundendaten sowie personenbezogene Daten zu verarbeiten. Alle diese Unterauftragsverarbeiter sind vertraglich dazu verpflichtet, die vertraglichen Zusagen, die Microsoft Kunden gegenüber macht, zu erfüllen oder zu übertreffen.

    Microsoft stellt Drittanbietern Folgendes nicht zur Verfügung: (a) direkten, allgemeinen oder uneingeschränkten Zugriff auf Kundendaten; (b) die Plattformverschlüsselungsschlüssel, die der Sicherung von Daten dienen, oder die Möglichkeit, eine solche Verschlüsselung zu umgehen; oder (c) Zugriff auf Daten, wenn Microsoft Kenntnis davon hat, dass diese Daten zu anderen Zwecken als den in der Anfrage des Drittanbieters genannten genutzt werden. Weitere Informationen zum Vorgehen von Microsoft hinsichtlich der rechtlichen Verpflichtung, Kundendaten in Bezug auf behördliche Anforderungen offen zu legen, finden Sie auf dieser Seite.

Bei den meisten Azure-Diensten können Sie die Region auswählen, in der Kundendaten gespeichert und verarbeitet werden sollen. Microsoft kann die Daten in andere Regionen replizieren, um die Datenresilienz zu verbessern. Microsoft speichert oder verarbeitet jedoch keine Kundendaten außerhalb der ausgewählten Geografie. Sie und Ihre Benutzer können weltweit standortunabhängig auf Kundendaten zugreifen, sie verschieben und kopieren.

Weitere Informationen zum Speicherort von Kundendaten

Datenspeicherung für regionale Dienste

Die meisten Azure-Dienste werden regional bereitgestellt und ermöglichen es Kunden, die Region anzugeben, in der der Dienst bereitgestellt werden soll. Beispiele für solche Azure-Dienste sind Virtual Machines, Storage und SQL-Datenbank. Eine vollständige Liste der regionalen Dienste finden Sie unter Verfügbare Produkte nach Region.

Microsoft speichert oder verarbeitet Kundendaten außerhalb der vom Kunden angegebenen Geografie nicht ohne Ihre Genehmigung.

Microsoft kopiert unter Umständen Kundendaten zwischen Regionen einer Geografie, um die Datenredundanz oder andere Aspekte im laufenden Betrieb zu verbessern. Beispielsweise werden im georedundanten Speicher Blob-, Datei-, Warteschlangen- und Tabellendaten zwischen zwei Regionen innerhalb derselben Geografie repliziert, um beim Ausfall eines Rechenzentrums eine höhere Datenbeständigkeit zu bieten.

Microsoft-Mitarbeiter (einschließlich Unterauftragsverarbeitern), die außerhalb der Geografie beschäftigt sind, betreiben Datenverarbeitungssysteme ggf. remote in der Geografie. Ohne Ihre Genehmigung erfolgt jedoch kein Zugriff auf Kundendaten.

Die folgenden Dienste speichern oder verarbeiten bestimmte Daten ggf. außerhalb der angegebenen Geografie:

  • Die Azure Cloud Services-Plattform sichert Softwarebereitstellungspakete mit Web- und Workerrollen unabhängig von der Bereitstellungsregion in den USA.
  • Azure Data Explorer (ADX) speichert teilweise Nutzungsdaten und Dienstablaufverfolgungen für einen begrenzten Zeitraum in einem zentralen Cluster in der EU.
  • Der Language Understanding-Dienst speichert aktive Lerndaten in den USA, in Europa oder in Australien – je nachdem, welche Erstellungsregionen der Kunde verwendet. Weitere Informationen
  • Azure Machine Learning speichert ggf. vom Kunden bereitgestellten Freitext für Ressourcennamen (z. B. Namen für Arbeitsbereiche, Ressourcengruppen, Experimente, Dateien und Bilder) und Experimentausführungsparameter (Experimentmetadaten) in den USA zu Debuggingzwecken.
  • Azure Databricks ist eine Plattform, auf der Identitätsdaten und bestimmte Tabellennamen sowie Informationen zu Objektpfaden in den USA gespeichert werden.
  • Azure Serial Console speichert alle ruhenden Kundendaten in der vom Kunden ausgewählten Geografie. Wenn die Konsole jedoch über das Azure-Portal verwendet wird, werden Konsolenbefehle und Antworten möglicherweise außerhalb der Geografie verarbeitet. Diese Vorgehensweise dient ausschließlich dem Zweck, die Konsolennutzung innerhalb des Portals zu ermöglichen.
  • Vorschau-, Beta- und andere vorab veröffentlichte Dienste speichern Kundendaten in der Regel in den USA. Die Daten können jedoch auch global gespeichert werden.

Kunden können die folgenden Azure-Dienste, -Tarife oder -Pläne so konfigurieren, dass Kundendaten nur in einer Region gespeichert werden:

1Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) der Geografie „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

2Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

3Die Previewfunktion zum Speichern von Kundendaten in einer einzelnen Region ist derzeit nur in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

4Auf der Azure Databricks-Plattform werden Identitätsdaten, bestimmte Tabellennamen sowie Informationen zu Objektpfaden in den Vereinigten Staaten gespeichert. Die Möglichkeit, alle anderen Kundendaten in einer einzelnen Region zu speichern, ist derzeit in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ verfügbar. Für alle anderen Regionen werden Kundendaten im entsprechenden geografischen Raum gespeichert (ausgenommen der zuvor erwähnten Ausnahme).

5Bei ZRS (Klassisch), GRS/RA-GRS und GZRS/RA-GZRS werden Daten in mehreren Regionen gespeichert.

Datenspeicher für nicht regionale Dienste

Bei bestimmten Azure-Diensten können Kunden die Region nicht auswählen, in der der Dienst bereitgestellt wird. Diese Dienste können Kundendaten in einem beliebigen Microsoft-Rechenzentrum in öffentlichen Azure-Regionen speichern oder verarbeiten, sofern nicht anders angegeben.

  • Azure Content Delivery Network, das einen globalen Cachedienst bereitstellt und Kundendaten an Edgestandorten auf der ganzen Welt speichert. Azure CDN POP-Speicherorte nach Region.
  • Azure Active Directory (Azure AD) kann Azure AD-Daten global speichern. Das gilt nicht für Azure AD-Bereitstellungen in den USA (dort werden Azure AD-Daten ausschließlich in den USA gespeichert) und in Europa (dort werden Azure AD-Daten in Europa oder in den USA gespeichert). Weitere Informationen
  • Bei der Azure Multi-Factor Authentication werden Authentifizierungsdaten in den USA gespeichert. Weitere Informationen
  • Microsoft Defender für Cloud, in dem möglicherweise eine Kopie von sicherheitsrelevanten Kundendaten gespeichert wird, die von einer Kundenressource gesammelt oder einer Kundenressource zugeordnet sind (z. B. virtueller Computer oder Azure AD-Mandant):

    (a) in derselben Geografischen Region wie diese Ressource, mit Ausnahme der Geos, in denen Microsoft Microsoft Defender für Cloud noch nicht bereitgestellt hat. In diesem Fall wird eine Kopie dieser Daten in der USA gespeichert; und

    (b) wo Microsoft Defender für Cloud einen anderen Microsoft Online Service zur Verarbeitung dieser Daten verwendet, können diese Daten gemäß den Geolocationregeln des anderen Onlinediensts gespeichert werden.

  • Microsoft Defender for IoT kann andere Microsoft Online Services verwenden, um sicherheitsrelevante Kundendaten zu verarbeiten. Diese Daten können in Übereinstimmung mit den Geolocationregeln des anderen Onlinediensts gespeichert werden.
  • Dienste, die globale Routingfunktionen übernehmen und selbst keine Kundendaten verarbeiten oder speichern. Das betrifft z. B. Azure Traffic Manager, einen Dienst für Lastenausgleiche zwischen verschiedenen Regionen, und den Azure DNS-Dienst, mit dem Domain Name Services angeboten werden, die an verschiedene Regionen weiterleiten.

Eine vollständige Liste nicht-regionaler Dienste finden Sie unter Verfügbare Produkte nach Region, wenn Sie „Nicht regional“ auswählen.

Können wir Ihnen helfen?