Data Residency in Azure

Azure bietet mehr globale Regionen als jeder andere Cloudanbieter – und damit genau die Reichweite und Data-Residency-Optionen, um Ihre Apps und Benutzer weltweit näher zusammenzubringen.

Als Kunde verwalten Sie die Eigentümerschaft Ihrer Kundendaten, also die Inhalte sowie personenbezogenen und weiteren Daten, die Sie zur Speicherung und für das Hosting an Azure-Dienste senden. Sie haben auch die Kontrolle darüber, ob Ihre Lösungen in weiteren Geografien bereitgestellt oder Ihre Daten dorthin repliziert werden dürfen.

Wenn für die Funktionalität eines Diensts eine globale Datenreplikation erforderlich ist, sind unten entsprechend Informationen dazu aufgeführt.

  • Microsoft schützt Ihre Daten mithilfe mehrerer Schichten aus Sicherheits- und Verschlüsselungsprotokollen. So schützt Microsoft Ihre Daten mithilfe von Verschlüsselung.

    Von Microsoft verwaltete Schlüssel schützen standardmäßig Ihre Daten, und Kundendaten, die auf physischen Medien gespeichert sind, werden immer mit FIPS 140-2-konformen Verschlüsselungsprotokollen verschlüsselt. Kunden können auch kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs), doppelte Verschlüsselung und/oder Hardwaresicherheitsmodule (Hardware Security Modules, HSMs) verwenden, um die Sicherheit ihrer Daten zu erhöhen.

    Der gesamte Datenverkehr zwischen Rechenzentren wird außerdem mit dem IEEE MAC-Sicherheitsstandard 802.1AE geschützt, wodurch physische Man-in-the-Middle-Angriffe verhindert werden. Zur Gewährleistung der Resilienz verwendet Microsoft variable Netzwerkpfade, die die Grenzen einer Geografie manchmal überschreiten. Die regionsübergreifende Replikation von Kundendaten erfolgt jedoch stets über verschlüsselte Netzwerkverbindungen.

    Zusätzlich generiert Microsoft zur Senkung von Datenschutzrisiken pseudonyme Bezeichner, die es Microsoft ermöglichen, einen globalen Clouddienst anzubieten – einschließlich dem Betrieb und der Optimierung von Diensten, Abrechnung und Schutz vor Betrug. Es ist auf keinen Fall möglich, die pseudonymen Bezeichner zu verwenden, um eine Einzelperson direkt zu identifizieren, und der Zugriff auf Kundendaten, die Einzelpersonen identifizieren, wird immer wie oben beschrieben abgesichert.

  • Alle Azure-Dienste sind konform mit der Datenschutz-Grundverordnung (DSGVO). Wenn Kunden, die Azure-Dienste verwenden, sich dazu entscheiden, Inhalte mit personenbezogenen Daten grenzübergreifend zu verschieben, müssen sie rechtliche Anforderungen beachten, die für solche Übertragungen gelten. Microsoft stellt für Kunden Dienste und Ressourcen bereit, die sie dabei unterstützen, die Anforderungen der DSGVO einzuhalten, die möglicherweise für ihre Vorgänge gelten.

    Manche Microsoft-Onlinedienste geben Daten an Drittanbieter weitere, die als Unterauftragsverarbeiter beauftragt werden. In der öffentlich verfügbaren Liste der Microsoft Online Services-Unterauftragsverarbeiter finden Sie Unterauftragsverarbeiter, die autorisiert sind, Kundendaten sowie personenbezogene Daten zu verarbeiten. Alle diese Unterauftragsverarbeiter sind vertraglich dazu verpflichtet, die vertraglichen Zusagen, die Microsoft Kunden gegenüber macht, zu erfüllen oder zu übertreffen.

    Microsoft stellt Drittanbietern Folgendes nicht zur Verfügung: (a) direkten, allgemeinen oder uneingeschränkten Zugriff auf Kundendaten; (b) die Plattformverschlüsselungsschlüssel, die der Sicherung von Daten dienen, oder die Möglichkeit, eine solche Verschlüsselung zu umgehen; oder (c) Zugriff auf Daten, wenn Microsoft Kenntnis davon hat, dass diese Daten zu anderen Zecken als den in der Anfrage des Drittanbieters genannten genutzt werden. Weitere Informationen zum Vorgehen von Microsoft hinsichtlich der rechtlichen Verpflichtung, Kundendaten in Bezug auf behördliche Anforderungen offen zu legen, finden Sie auf dieser Seite.

Bei den meisten Azure-Diensten können Sie die Region auswählen, in der Kundendaten gespeichert und verarbeitet werden sollen. Microsoft kann die Daten in andere Regionen replizieren, um die Datenresilienz zu verbessern. Microsoft speichert oder verarbeitet jedoch keine Kundendaten außerhalb der ausgewählten Geografie. Sie und Ihre Benutzer können weltweit standortunabhängig auf Kundendaten zugreifen, sie verschieben und kopieren.

Weitere Informationen zum Speicherort von Kundendaten

Datenspeicherung für regionale Dienste

Die meisten Azure-Dienste werden regional bereitgestellt und ermöglichen es Kunden, die Region anzugeben, in der der Dienst bereitgestellt werden soll. Beispiele für solche Azure-Dienste sind Virtual Machines, Storage und SQL-Datenbank. Eine vollständige Liste der regionalen Dienste finden Sie unter Verfügbare Produkte nach Region.

Microsoft speichert oder verarbeitet Kundendaten außerhalb der vom Kunden angegebenen Geografie nicht ohne Ihre Genehmigung.

Microsoft kopiert unter Umständen Kundendaten zwischen Regionen einer Geografie, um die Datenredundanz oder andere Aspekte im laufenden Betrieb zu verbessern. Beispielsweise werden im georedundanten Speicher Blob-, Datei-, Warteschlangen- und Tabellendaten zwischen zwei Regionen innerhalb derselben Geografie repliziert, um beim Ausfall eines Rechenzentrums eine höhere Datenbeständigkeit zu bieten.

Microsoft-Mitarbeiter (einschließlich Unterauftragsverarbeitern), die außerhalb der Geografie beschäftigt sind, betreiben Datenverarbeitungssysteme ggf. remote in der Geografie. Ohne Ihre Genehmigung erfolgt jedoch kein Zugriff auf Kundendaten.

Die folgenden Dienste speichern oder verarbeiten bestimmte Daten ggf. außerhalb der angegebenen Geografie:

  • Die Azure Cloud Services-Plattform sichert Softwarebereitstellungspakete mit Web- und Workerrollen unabhängig von der Bereitstellungsregion in den USA.
  • Der Language Understanding-Dienst speichert aktive Lerndaten in den USA, in Europa oder in Australien – je nachdem, welche Erstellungsregionen der Kunde verwendet. Weitere Informationen
  • Azure Machine Learning speichert ggf. vom Kunden bereitgestellten Freitext für Ressourcennamen (z. B. Namen für Arbeitsbereiche, Ressourcengruppen, Experimente, Dateien und Bilder) und Experimentausführungsparameter (Experimentmetadaten) in den USA zu Debuggingzwecken.
  • Azure Databricks ist eine Plattform, auf der Identitätsdaten und bestimmte Tabellennamen sowie Informationen zu Objektpfaden in den USA gespeichert werden.
  • Azure Sentinel
  • Azure Serial Console speichert alle ruhenden Kundendaten in der vom Kunden ausgewählten Geografie. Wenn die Konsole jedoch über das Azure-Portal verwendet wird, werden Konsolenbefehle und Antworten möglicherweise außerhalb der Geografie verarbeitet. Diese Vorgehensweise dient ausschließlich dem Zweck, die Konsolennutzung innerhalb des Portals zu ermöglichen.
  • Vorschau-, Beta- und andere vorab veröffentlichte Dienste speichern Kundendaten in der Regel in den USA. Die Daten können jedoch auch global gespeichert werden.

Kunden können die folgenden Azure-Dienste, -Tarife oder -Pläne so konfigurieren, dass Kundendaten nur in einer Region gespeichert werden:

1Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) der Geografie „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

2Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

3Die Previewfunktion zum Speichern von Kundendaten in einer einzelnen Region ist derzeit nur in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

4Auf der Azure Databricks-Plattform werden Identitätsdaten, bestimmte Tabellennamen sowie Informationen zu Objektpfaden in den Vereinigten Staaten gespeichert. Die Möglichkeit, alle anderen Kundendaten in einer einzelnen Region zu speichern, ist derzeit in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ verfügbar. Für alle anderen Regionen werden Kundendaten im entsprechenden geografischen Raum gespeichert (ausgenommen der zuvor erwähnten Ausnahme).

5Bei ZRS (Klassisch), GRS/RA-GRS und GZRS/RA-GZRS werden Daten in mehreren Regionen gespeichert.

Datenspeicher für nicht regionale Dienste

Bei bestimmten Azure-Diensten können Kunden die Region nicht auswählen, in der der Dienst bereitgestellt wird. Diese Dienste können Kundendaten in einem beliebigen Microsoft-Rechenzentrum speichern oder verarbeiten, sofern nicht anders angegeben.

  • Azure Content Delivery Network ist ein globaler Cachedienst, durch den Kundendaten an Edgestandorten auf der ganzen Welt gespeichert werden.
  • Azure Active Directory (Azure AD) kann Azure AD-Daten global speichern. Das gilt nicht für Azure AD-Bereitstellungen in den USA (dort werden Azure AD-Daten ausschließlich in den USA gespeichert) und in Europa (dort werden Azure AD-Daten in Europa oder in den USA gespeichert). Weitere Informationen
  • Bei der Azure Multi-Factor Authentication werden Authentifizierungsdaten in den USA gespeichert. Weitere Informationen
  • Azure Security Center kann eine Kopie der sicherheitsbezogenen Kundendaten speichern, die aus Kundenressourcen gesammelt wurden oder mit diesen in Verbindung stehen (z. B. virtuelle Computer oder Azure AD-Mandanten):

    (a) In derselben Geografie wie die Ressource, außer in Geografien, in denen Microsoft Security Center noch bereitgestellt werden muss. In diesem Fall werden solche Daten in den USA gespeichert.

    (b) Wo Security Center einen anderen Onlinedienst verwendet, um solche Daten zu verarbeiten, können diese Daten in Übereinstimmung mit den Geolocationregeln des anderen Onlinediensts gespeichert werden.

  • Dienste, die globale Routingfunktionen übernehmen und selbst keine Kundendaten verarbeiten oder speichern. Das betrifft z. B. Azure Traffic Manager, einen Dienst für Lastenausgleiche zwischen verschiedenen Regionen, und den Azure DNS-Dienst, mit dem Domain Name Services angeboten werden, die an verschiedene Regionen weiterleiten.

Eine vollständige Liste nicht-regionaler Dienste finden Sie unter Verfügbare Produkte nach Region, wenn Sie „Nicht regional“ auswählen.