Datenresidenz in Azure
Azure bietet mehr globale Regionen als jeder andere Cloudanbieter – und damit genau die Reichweite und Data-Residency-Optionen, um Ihre Apps und Benutzer weltweit näher zusammenzubringen.
Übersicht
Datensicherheit und Compliance mit der DSGVO
Als Kunde verwalten Sie die Eigentümerschaft Ihrer Kundendaten, also die Inhalte sowie personenbezogenen und weiteren Daten, die Sie zur Speicherung und für das Hosting an Azure-Dienste senden. Sie haben auch die Kontrolle darüber, ob Ihre Lösungen in weiteren Geografien bereitgestellt oder Ihre Daten dorthin repliziert werden dürfen.
Wenn für die Funktionalität eines Diensts eine globale Datenreplikation erforderlich ist, sind unten entsprechend Informationen dazu aufgeführt.
Wenn für die Funktionalität eines Diensts eine globale Datenreplikation erforderlich ist, sind unten entsprechend Informationen dazu aufgeführt.
Datensicherheit
Microsoft schützt Ihre Daten mithilfe mehrerer Schichten aus Sicherheits- und Verschlüsselungsprotokollen. Verschaffen Sie sich einen Überblick darüber, wie Microsoft Ihre Daten mithilfe von Azure-Verschlüsselung schütztVerschaffen Sie sich einen Überblick darüber, wie Microsoft Ihre Daten mithilfe von Verschlüsselung schützt.
Von Microsoft verwaltete Schlüssel schützen standardmäßig Ihre Daten. Kundendaten, die auf physischen Medien gespeichert sind, werden immer mit FIPS 140-2-konformen Verschlüsselungsprotokollen verschlüsselt. Kunden können auch kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs), doppelte Verschlüsselung und/oder Hardwaresicherheitsmodule (Hardware Security Modules, HSMs) verwenden, um die Sicherheit ihrer Daten zu erhöhen.
Der gesamte Datenverkehr zwischen Rechenzentren wird außerdem mit dem IEEE MAC-Sicherheitsstandard 802.1AE geschützt, wodurch physische "Man-in-the-Middle"-Angriffe verhindert werden. Zur Gewährleistung der Resilienz verwendet Microsoft variable Netzwerkpfade, die die Grenzen einer Geografie manchmal überschreiten. Die regionsübergreifende Replikation von Kundendaten erfolgt jedoch stets über verschlüsselte Netzwerkverbindungen.
Zusätzlich generiert Microsoft zur Senkung von Datenschutzrisiken pseudonyme Bezeichner, die es Microsoft ermöglichen, einen globalen Clouddienst anzubieten – einschließlich dem Betrieb und der Optimierung von Diensten, Abrechnung und Schutz vor Betrug. Es ist auf keinen Fall möglich, die pseudonymen Bezeichner zu verwenden, um eine Einzelperson direkt zu identifizieren, und der Zugriff auf Kundendaten, die Einzelpersonen identifizieren, wird immer wie oben beschrieben abgesichert.
Die DSGVO, Unterauftragsverarbeiter, Datenübertragung und Behördenzugriff
Alle Azure-Dienste können konform mit der DSGVO genutzt werden. Wenn Kunden, die Azure-Dienste verwenden, sich dazu entscheiden, Inhalte mit personenbezogenen Daten grenzübergreifend zu verschieben, müssen sie rechtliche Anforderungen beachten, die für solche Übertragungen gelten. Microsoft stellt für Kunden Dienste und Ressourcen bereit, die sie dabei unterstützen, die Anforderungen der DSGVO einzuhalten, die möglicherweise für ihre Vorgänge gelten.
Manche Microsoft-Onlinedienste geben Daten an Drittanbieter weitere, die als Unterauftragsverarbeiter beauftragt werden. In der öffentlich verfügbaren Liste der Microsoft Online Services-Unterauftragsverarbeiter finden Sie Unterauftragsverarbeiter, die autorisiert sind, Kundendaten sowie personenbezogene Daten zu verarbeiten. Alle diese Unterauftragsverarbeiter sind vertraglich dazu verpflichtet, die vertraglichen Zusagen, die Microsoft Kunden gegenüber macht, zu erfüllen oder zu übertreffen.
Microsoft stellt Drittanbietern Folgendes nicht zur Verfügung: (a) direkten, allgemeinen oder uneingeschränkten Zugriff auf Kundendaten; (b) die Plattformverschlüsselungsschlüssel, die der Sicherung von Daten dienen, oder die Möglichkeit, eine solche Verschlüsselung zu umgehen; oder (c) Zugriff auf Daten, wenn Microsoft Kenntnis davon hat, dass diese Daten zu anderen Zecken als den in der Anforderung des Drittanbieters genannten genutzt werden. Weitere Informationen zum Vorgehen von Microsoft hinsichtlich der rechtlichen Verpflichtung, Kundendaten in Bezug auf behördliche Anforderungen offen zu legen, finden Sie auf dieser Seite.
GEOGRAFIE AUSWÄHLEN
Geografie auswählen
Bei den meisten Azure-Diensten können Sie die Region auswählen, in der Kundendaten gespeichert und verarbeitet werden sollen. Microsoft kann die Daten in andere Regionen replizieren, um die Datenresilienz zu verbessern. Microsoft speichert oder verarbeitet jedoch keine Kundendaten außerhalb der ausgewählten Geografie. Sie und Ihre Benutzer können weltweit standortunabhängig auf Kundendaten zugreifen, sie verschieben und kopieren.
*In einigen Fällen können Daten für bestimmte Dienste außerhalb der angegebenen Regionen gespeichert werden. Unter Weitere Informationen auf dieser Seite finden Sie die Details.
Datenresidenz
Laden Sie das Diagramm unter „Geografische Region auswählen“ herunter, um Weitere Informationen zu erhalten.
Compliance
Lesen Sie mehr über global anwendbare und regionale Complianceangebote.
Verfügbare Produkte
Informationen zur Produktverfügbarkeit finden Sie unter Verfügbare Produkte nach Region.
Weitere Informationen
Weitere Informationen zum Speicherort von Kundendaten
Datenspeicherung für regionale Dienste
Die meisten Azure-Dienste werden regional bereitgestellt und ermöglichen es Kunden, die Region anzugeben, in der der Dienst bereitgestellt werden soll. Beispiele für solche Azure-Dienste sind Virtual Machines, Storage und SQL-Datenbank. Eine vollständige Liste der regionalen Dienste finden Sie unter Verfügbare Produkte nach Region.
Microsoft speichert oder verarbeitet Kundendaten außerhalb der vom Kunden angegebenen Geografie nicht ohne Ihre Genehmigung.
Microsoft kopiert unter Umständen Kundendaten zwischen Regionen einer Geografie, um die Datenredundanz oder andere Aspekte im laufenden Betrieb zu verbessern. Beispielsweise werden im georedundanten Speicher Blob-, Datei-, Warteschlangen- und Tabellendaten zwischen zwei Regionen innerhalb derselben Geografie repliziert, um beim Ausfall eines Rechenzentrums eine höhere Datenbeständigkeit zu bieten.
Microsoft-Mitarbeiter (einschließlich Unterauftragsverarbeitern), die außerhalb der Geografie beschäftigt sind, betreiben Datenverarbeitungssysteme ggf. remote in der Geografie. Ohne Ihre Genehmigung erfolgt jedoch kein Zugriff auf Kundendaten.
Die folgenden Dienste speichern oder verarbeiten bestimmte Daten ggf. außerhalb der angegebenen Geografie:
- Die Azure Cloud Services-Plattform sichert Softwarebereitstellungspakete mit Web- und Workerrollen unabhängig von der Bereitstellungsregion in den USA.
- Azure Data Explorer (ADX) speichert einen Teil der Nutzungsdaten und Dienstablaufverfolgungen für einen begrenzten Zeitraum in einem zentralen Cluster in der EU.
- Language Understanding speichert Daten für aktives Lernens in den USA, in Europa oder in Australien – je nachdem, welche Erstellungsregionen der Kunde verwendet. Mehr erfahren
- Azure Machine Learning speichert ggf. vom Kunden bereitgestellten Freitext für Ressourcennamen (z. B. Namen für Arbeitsbereiche, Ressourcengruppen, Experimente, Dateien und Bilder) und Experimentausführungsparameter (Experimentmetadaten) in den USA zu Debuggingzwecken.
- Azure Databricks speichert die folgenden Identitätsinformationen in den USA, um Kunden Konto- und Zugriffsverwaltungsfunktionen bereitzustellen: Benutzername, Vorname, Nachname und E-Mail-Adresse. Diese Daten werden in den USA gespeichert, um die globale Azure Databricks-Plattform zu unterstützen.
- Die serielle Azure-Konsole speichert alle ruhenden Kundendaten in der vom Kunden ausgewählten Geografie. Wenn die Konsole jedoch über das Azure-Portal verwendet wird, werden Konsolenbefehle und Antworten möglicherweise außerhalb der Geografie verarbeitet. Diese Vorgehensweise dient ausschließlich dem Zweck, die Konsolennutzung innerhalb des Portals zu ermöglichen.
- Vorschau-, Beta- und andere Dienste in Vorabversionen speichern Kundendaten in der Regel in den USA. Die Daten können jedoch auch global gespeichert werden.
Kundendaten in einer einzelnen Region
Kunden können die folgenden Azure-Dienste, -Tarife oder -Pläne konfigurieren, um Kundendaten nur in einer einzelnen Region in Singapur, Hongkong (SAR) oder Brasilien, Süden zu speichern:
ZUSÄTZLICHE RESSOURCEN
Datenspeicher für nicht regionale Dienste
Bei bestimmten Azure-Diensten können Kunden die Region nicht auswählen, in der der Dienst bereitgestellt wird. Diese Dienste können Kundendaten in beliebigen Microsoft-Rechenzentren in öffentlichen Azure-Regionen speichern oder verarbeiten, sofern nicht anders angegeben.
- Azure Content Delivery Network, das einen globalen Cachedienst bereitstellt und Kundendaten an Edgestandorten auf der ganzen Welt speichert. Azure CDN-POP-Standorte nach Region.
- Microsoft Entra ID (vormals Azure Active Directory) fungiert als nicht regionaler Dienst und kann basierend auf Kundenanforderungen, einschließlich Verfügbarkeit und Skalierbarkeit, Microsoft Entra-Verzeichnisdaten global speichern. Mehr erfahren.
- Microsoft Defender for Cloud, in dem möglicherweise eine Kopie von sicherheitsrelevanten Kundendaten gespeichert wird, die von einer Kundenressource (z. B. virtueller Computer oder Azure AD-Mandant) gesammelt oder damit verknüpft sind:
(a) in demselben geografischen Raum wie diese Ressource, außer in den geografischen Räumen, in denen Microsoft Microsoft Defender for Cloud noch bereitstellen muss. In diesem Fall wird eine Kopie dieser Daten in den USA gespeichert; und
(b) Wenn Microsoft Defender for Cloud einen anderen Microsoft Online-Dienst verwendet, um diese Daten zu verarbeiten, können diese Daten in Übereinstimmung mit den Geolocationregeln dieses anderen Onlinediensts gespeichert werden.
(c) Wenn ein Kunde seinen Mandanten in der Europäischen Union oder in den USA bereitstellt, speichert Microsoft ruhende Kundendaten nur in diesem geografischen Raum.
(d) Die geografischen Verpflichtungen in (a) und (c) gelten nicht für die folgenden Features: Sicherheitslösung (WAF). - Microsoft Defender for IoT kann andere Microsoft-Onlinedienste verwenden, um sicherheitsrelevante Kundendaten zu verarbeiten. Diese Daten können in Übereinstimmung mit den Geolocationregeln dieses anderen Onlinediensts gespeichert werden.
- Mit Microsoft Fabric können Sie beim Erstellen einer neuen Microsoft Fabric-Kapazität eine Azure-Region auswählen, in der Kundendaten gespeichert werden. Die aufgeführte Standardoption ist die Mandanten-Basisregion des Benutzers. Wenn ein Benutzer diese Region auswählt, werden alle zugehörigen Daten, einschließlich Kundendaten, in diesem geografischen Raum gespeichert. Wenn ein Benutzer eine andere Region auswählt, verbleiben einige Kundendaten weiterhin im geografischen Raum des Standorts. Mehr erfahren.
- Dienste, die globale Routingfunktionen übernehmen und selbst keine Kundendaten verarbeiten oder speichern. Das betrifft z. B. Azure Traffic Manager, einen Dienst für den Lastenausgleich zwischen verschiedenen Regionen, und den Azure DNS-Dienst, mit dem Domain Name Services angeboten werden, die an verschiedene Regionen weiterleiten.
Eine vollständige Liste der nicht regionalen Dienste finden Sie unter Verfügbare Produkte nach Region, wenn Sie „Nicht regional“ auswählen.
Zusätzliche Ressourcen
- Standardvertragsklauseln der Europäischen Union
- Zugriff auf Kundendaten
- Weitere Informationen zur EU-Datengrenze
Kontoregistrierung
Erste Schritte mit einem kostenlosen Konto
Erhalten Sie 12 Monate lang beliebte kostenlose Produkte und eine Gutschrift von 200 USD, um Azure 30 Tage lang zu erkunden.
Kontoregistrierung
Erste Schritte mit nutzungsbasierter Bezahlung
Es gibt keine Verpflichtung – kündigen Sie jederzeit.
- [1]Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) der Geografie „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.
- [2]Die Datenresidenz in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.
- [3]Azure Databricks speichert die folgenden Identitätsinformationen in den USA, um Kunden Konto- und Zugriffsverwaltungsfunktionen bereitzustellen: Benutzername, Vorname, Nachname und E-Mail-Adresse. Diese Daten werden in den USA gespeichert, um die globale Azure Databricks-Plattform zu unterstützen. Die Möglichkeit, alle anderen Kundendaten in einer einzelnen Region zu speichern, ist derzeit in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ verfügbar. Für alle anderen Regionen werden Kundendaten im entsprechenden geografischen Raum gespeichert (ausgenommen der zuvor erwähnten Ausnahme).
- [4]ZRS Classic, GRS/RA-GRS, GZRS/RA-GZRS: Erfahren Sie, wie Sie die Redundanzkonfiguration für ein Speicherkonto ändernZRS Classic, GRS/RA-GRS, GZRS/RA-GZRS speichert Daten in mehreren Regionen.
Mobile Azure-App erhalten 
