Zum Hauptinhalt wechseln

Data Residency in Azure

Azure bietet mehr globale Regionen als jeder andere Cloudanbieter – und damit genau die Reichweite und Datenresidenzoptionen, um Ihre Apps und Benutzer weltweit näher zusammenzubringen.

Als Kunde verwalten Sie die Eigentümerschaft Ihrer Kundendaten, also die Inhalte sowie personenbezogenen und weiteren Daten, die Sie zur Speicherung und für das Hosting an Azure-Dienste senden. Sie haben auch die Kontrolle darüber, ob Ihre Lösungen in weiteren Geografien bereitgestellt oder Ihre Daten dorthin repliziert werden dürfen.

Wenn für die Funktionalität eines Diensts eine globale Datenreplikation erforderlich ist, sind unten entsprechend Informationen dazu aufgeführt.

  • Microsoft schützt Ihre Daten mithilfe mehrerer Ebenen von Sicherheits- und Verschlüsselungsprotokollen. Verschaffen Sie sich einen Überblick darüber, wie Microsoft Ihre Daten mithilfe der Verschlüsselung schützt.

    Microsoft verwaltete Schlüssel schützen standardmäßig Ihre Daten. Kundendaten, die auf physischen Medien gespeichert sind, werden immer mit FIPS 140-2-konformen Verschlüsselungsprotokollen verschlüsselt. Kunden können auch kundenseitig verwaltete Schlüssel (CMK), doppelte Verschlüsselung und/oder Hardwaresicherheitsmodule (HSM) verwenden, um den Datenschutz zu erhöhen.

    Der gesamte Datenverkehr zwischen Rechenzentren wird mithilfe von IEEE 802.1AE MAC-Sicherheitsstandards geschützt, um physische Man-in-the-Middle-Angriffe zu verhindern. Um Resilienz zu gewährleisten, verwendet Microsoft variable Netzwerkpfade, die manchmal über geografische Grenzen hinweg erfolgen. Die Replikation von Kundendaten zwischen Regionen wird jedoch immer über verschlüsselte Netzwerkverbindungen übertragen.

    Zum Minimieren des Datenschutzrisikos generiert Microsoft pseudonyme Bezeichner, mit denen Microsoft einen globalen Clouddienst anbieten kann (einschließlich Betrieb und Verbesserung von Diensten, Abrechnung und Betrugsschutz). In allen Fällen können pseudonyme Bezeichner nicht verwendet werden, um eine Person direkt zu identifizieren, und der Zugriff auf die Kundendaten, die Einzelpersonen identifizieren, wird immer wie oben beschrieben geschützt.

  • Alle Azure-Dienste sind konform mit der Datenschutz-Grundverordnung (DSGVO). Wenn Kunden, die Azure-Dienste verwenden, sich dazu entscheiden, Inhalte mit personenbezogenen Daten grenzübergreifend zu verschieben, müssen sie rechtliche Anforderungen beachten, die für solche Übertragungen gelten. Microsoft stellt für Kunden Dienste und Ressourcen bereit, die sie dabei unterstützen, die Anforderungen der DSGVO einzuhalten, die möglicherweise für ihre Vorgänge gelten.

    Manche Microsoft-Onlinedienste geben Daten an Drittanbieter weitere, die als Unterauftragsverarbeiter beauftragt werden. In der öffentlich verfügbaren Liste der Microsoft Online Services-Unterauftragsverarbeiter finden Sie Unterauftragsverarbeiter, die autorisiert sind, Kundendaten sowie personenbezogene Daten zu verarbeiten. Alle diese Unterauftragsverarbeiter sind vertraglich dazu verpflichtet, die vertraglichen Zusagen, die Microsoft Kunden gegenüber macht, zu erfüllen oder zu übertreffen.

    Microsoft stellt Drittanbietern Folgendes nicht zur Verfügung: (a) direkten, allgemeinen oder uneingeschränkten Zugriff auf Kundendaten; (b) die Plattformverschlüsselungsschlüssel, die der Sicherung von Daten dienen, oder die Möglichkeit, eine solche Verschlüsselung zu umgehen; oder (c) Zugriff auf Daten, wenn Microsoft Kenntnis davon hat, dass diese Daten zu anderen Zwecken als den in der Anfrage des Drittanbieters genannten genutzt werden. Weitere Informationen zum Vorgehen von Microsoft hinsichtlich der rechtlichen Verpflichtung, Kundendaten in Bezug auf behördliche Anforderungen offen zu legen, finden Sie auf dieser Seite.

Bei den meisten Azure-Diensten können Sie die Region auswählen, in der Kundendaten gespeichert und verarbeitet werden sollen. Microsoft kann die Daten in andere Regionen replizieren, um die Datenresilienz zu verbessern. Microsoft speichert oder verarbeitet jedoch keine Kundendaten außerhalb der ausgewählten Geografie. Sie und Ihre Benutzer können weltweit standortunabhängig auf Kundendaten zugreifen, sie verschieben und kopieren.

Weitere Informationen zum Speicherort von Kundendaten

Datenspeicherung für regionale Dienste

Die meisten Azure-Dienste werden regional bereitgestellt und ermöglichen es Kunden, die Region anzugeben, in der der Dienst bereitgestellt werden soll. Beispiele für solche Azure-Dienste sind Virtual Machines, Storage und SQL-Datenbank. Eine vollständige Liste der regionalen Dienste finden Sie unter Verfügbare Produkte nach Region.

Microsoft speichert oder verarbeitet Kundendaten außerhalb der vom Kunden angegebenen Geografie nicht ohne Ihre Genehmigung.

Microsoft kopiert unter Umständen Kundendaten zwischen Regionen einer Geografie, um die Datenredundanz oder andere Aspekte im laufenden Betrieb zu verbessern. Beispielsweise werden im georedundanten Speicher Blob-, Datei-, Warteschlangen- und Tabellendaten zwischen zwei Regionen innerhalb derselben Geografie repliziert, um beim Ausfall eines Rechenzentrums eine höhere Datenbeständigkeit zu bieten.

Microsoft-Mitarbeiter (einschließlich Unterauftragsverarbeitern), die außerhalb der Geografie beschäftigt sind, betreiben Datenverarbeitungssysteme ggf. remote in der Geografie. Ohne Ihre Genehmigung erfolgt jedoch kein Zugriff auf Kundendaten.

Die folgenden Dienste speichern oder verarbeiten bestimmte Daten ggf. außerhalb der angegebenen Geografie:

  • Die Azure Cloud Services-Plattform sichert Softwarebereitstellungspakete mit Web- und Workerrollen unabhängig von der Bereitstellungsregion in den USA.
  • Azure Data Explorer (ADX) speichert teilweise Nutzungsdaten und Dienstablaufverfolgungen für einen begrenzten Zeitraum in einem zentralen Cluster in der EU.
  • Der Language Understanding-Dienst speichert aktive Lerndaten in den USA, in Europa oder in Australien – je nachdem, welche Erstellungsregionen der Kunde verwendet. Weitere Informationen
  • Azure Machine Learning speichert ggf. vom Kunden bereitgestellten Freitext für Ressourcennamen (z. B. Namen für Arbeitsbereiche, Ressourcengruppen, Experimente, Dateien und Bilder) und Experimentausführungsparameter (Experimentmetadaten) in den USA zu Debuggingzwecken.
  • Azure Databricks speichert die folgenden Identitätsinformationen im USA, um Kunden Konto- und Zugriffsverwaltungsfunktionen bereitzustellen: Benutzername, Vorname, Nachname und E-Mail-Adresse. Diese Daten werden in der USA gespeichert, um die globale Azure Databricks-Plattform zu unterstützen.
  • Azure Serial Console speichert alle ruhenden Kundendaten in der vom Kunden ausgewählten Geografie. Wenn die Konsole jedoch über das Azure-Portal verwendet wird, werden Konsolenbefehle und Antworten möglicherweise außerhalb der Geografie verarbeitet. Diese Vorgehensweise dient ausschließlich dem Zweck, die Konsolennutzung innerhalb des Portals zu ermöglichen.
  • Vorschau-, Beta- und andere vorab veröffentlichte Dienste speichern Kundendaten in der Regel in den USA. Die Daten können jedoch auch global gespeichert werden.

Kunden können die folgenden Azure-Dienste, -Tarife oder -Pläne so konfigurieren, dass Kundendaten nur in einer einzelnen Region in Singapur, Hongkong oder Brasilien, Süden gespeichert werden:

1Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) der Geografie „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

2Die Data Residency in einer einzelnen Region ist derzeit standardmäßig nur in der Region „Asien, Südosten“ (Singapur) der Geografie „Asien-Pazifik“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

3Die Previewfunktion zum Speichern von Kundendaten in einer einzelnen Region ist derzeit nur in der Region „Asien, Südosten“ (Singapur) des geografischen Raums „Asien-Pazifik“ sowie in der Region „Brasilien, Süden“ (São Paulo, Bundesstaat) des geografischen Raums „Brasilien“ verfügbar. Bei allen anderen Regionen werden Kundendaten im geografischen Raum gespeichert.

4Azure Databricks speichert die folgenden Identitätsinformationen in den USA, um Kund*innen Funktionen für die Konto- und Zugriffsverwaltung bereitzustellen: Benutzername, Vorname, Nachname und E-Mail-Adresse. Diese Daten werden in den USA gespeichert, um die globale Azure Databricks-Plattform zu unterstützen. Die Funktion zum Speichern aller anderen Kundendaten in einer einzigen Region ist zurzeit in der Region „Asien, Südosten (Singapur)“ des geografischen Raums „Asien-Pazifik“ und der Region „Brasilien, Süden (Bundesstaat São Paulo)“ des geografischen Raums „Brasilien“ verfügbar. Für alle anderen Regionen werden Kundendaten im geografischen Raum gespeichert (vorbehaltlich der oben genannten Ausnahme).

5Bei ZRS (Klassisch), GRS/RA-GRS und GZRS/RA-GZRS werden Daten in mehreren Regionen gespeichert.

Datenspeicher für nicht regionale Dienste

Bei bestimmten Azure-Diensten können Kunden die Region nicht auswählen, in der der Dienst bereitgestellt wird. Diese Dienste können Kundendaten in einem beliebigen Microsoft-Rechenzentrum in öffentlichen Azure-Regionen speichern oder verarbeiten, sofern nicht anders angegeben.

  • Azure Content Delivery Network, das einen globalen Cachedienst bereitstellt und Kundendaten an Edgestandorten auf der ganzen Welt speichert. Azure CDN POP-Speicherorte nach Region.
  • Microsoft Entra ID (vormals Azure Active Directory) fungiert als nicht regionaler Dienst und kann basierend auf Kundenanforderungen, einschließlich Verfügbarkeit und Skalierbarkeit, Microsoft Entra-Verzeichnisdaten global speichern. Weitere Informationen.
  • Microsoft Defender für Cloud, in dem möglicherweise eine Kopie von sicherheitsrelevanten Kundendaten gespeichert wird, die von einer Kundenressource gesammelt oder einer Kundenressource zugeordnet sind (z. B. virtueller Computer oder Azure AD-Mandant):

    (a) in derselben Geografischen Region wie diese Ressource, mit Ausnahme der Geos, in denen Microsoft Microsoft Defender für Cloud noch nicht bereitgestellt hat. In diesem Fall wird eine Kopie dieser Daten in der USA gespeichert; und

    (b) wo Microsoft Defender für Cloud einen anderen Microsoft Online Service zur Verarbeitung dieser Daten verwendet, können diese Daten gemäß den Geolocationregeln des anderen Onlinediensts gespeichert werden.

    (c) Wenn ein Kunde seinen Mandanten in der Europäischen Union oder in den USA bereitstellt, speichert Microsoft ruhende Kundendaten nur innerhalb dieses geografischen Standorts.

    (d) Die den geografischen Standort betreffenden Verpflichtungen in (a) und (c) gelten nicht für die folgenden Features: Sicherheitslösung (WAF).

  • Microsoft Defender for IoT kann andere Microsoft Online Services verwenden, um sicherheitsrelevante Kundendaten zu verarbeiten. Diese Daten können in Übereinstimmung mit den Geolocationregeln des anderen Onlinediensts gespeichert werden.
  • Mit Microsoft Fabric können Sie beim Erstellen einer neuen Microsoft Fabric-Kapazität eine Azure-Region auswählen, in der Kundendaten gespeichert werden. Die aufgeführte Standardoption ist die Mandanten-Basisregion des Benutzers. Wenn ein Benutzer diese Region auswählt, werden alle zugehörigen Daten, einschließlich Kundendaten, in diesem geografischen Raum gespeichert. Wenn ein Benutzer eine andere Region auswählt, verbleiben einige Kundendaten weiterhin in der geografischen Basisregion. Weitere Informationen.
  • Dienste, die globale Routingfunktionen übernehmen und selbst keine Kundendaten verarbeiten oder speichern. Das betrifft z. B. Azure Traffic Manager, einen Dienst für Lastenausgleiche zwischen verschiedenen Regionen, und den Azure DNS-Dienst, mit dem Domain Name Services angeboten werden, die an verschiedene Regionen weiterleiten.

Eine vollständige Liste nicht-regionaler Dienste finden Sie unter Verfügbare Produkte nach Region, wenn Sie „Nicht regional“ auswählen.

Können wir Ihnen helfen?