Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Microsoft Azure ist die von der Microsoft Corporation betriebene Public-Cloud-Plattform. Sie bietet App Service, Functions, Azure SQL, Cosmos DB, Front Door fuer die globale Auslieferung, Application Gateway fuer HTTP-Lastverteilung, Application Insights fuer Telemetrie, Microsoft Entra ID fuer Identitaet sowie Dutzende weiterer Dienste, mit denen europaeische Websites ihre Anwendungen hosten, sichern und beschleunigen. Da Azure einer US-Gesellschaft gehoert, muss jeder europaeische Einsatz internationale Datenuebermittlungen und Einwilligungspflichten neben dem Microsoft EU Data Boundary adressieren.
Microsoft Azure ist die Public-Cloud-Plattform der Microsoft Corporation mit Hauptsitz in Redmond, Washington. Auf einer europaeischen Website erscheint Azure typischerweise als Azure App Service fuer die Anwendung, Azure Front Door fuer die globale Auslieferung, Azure Application Gateway fuer HTTP-Lastverteilung, Azure SQL oder Cosmos DB fuer Nutzerdaten, Microsoft Entra ID fuer die Authentifizierung und Application Insights fuer Telemetrie. Azure treibt zudem hoehere Dienste wie Microsoft Clarity, Power BI Embedded, Azure OpenAI und Communication Services.
Microsoft bietet die EU Data Boundary Verpflichtung, mit der Speicherung und ein Grossteil der Verarbeitung von Kundendaten und pseudonymen personenbezogenen Daten fuer die Online-Hauptdienste in der EU und EFTA bleibt. Bestimmte Support-, Telemetrie- und Identitaetsvorgaenge koennen weiterhin US-Systeme beruehren, und Microsoft Corporation unterliegt weiterhin extraterritorialen US-Gesetzen.
Auf Infrastrukturebene setzt Azure vor allem Session-Affinity-Cookies. Azure App Service und Front Door nutzen ARRAffinity und ARRAffinitySameSite, um Besucher an derselben Instanz zu halten. Application Gateway verwendet ApplicationGatewayAffinity und ApplicationGatewayAffinityCORS. Azure Front Door kann bei aktivierter Authentifizierung zusaetzlich AzureAppProxyAccessCookie setzen. Diese Cookies gelten in der Regel als unbedingt erforderlich.
Daneben speichert Application Insights einen Nutzer- (ai_user) und Session-Identifier (ai_session) im Browser-Storage zur Nutzungsmessung. Microsoft Entra ID setzt Authentifizierungs-Cookies (ESTSAUTH, ESTSAUTHPERSISTENT) auf der Login-Domain. Hoehere Produkte wie Microsoft Clarity setzen zusaetzliche Analytik-Cookies, die ein vorheriges Opt-in erfordern.
Microsoft handelt als Auftragsverarbeiter im Rahmen des Microsoft Products and Services Data Protection Addendum (DPA). Der DPA integriert die Standardvertragsklauseln der Europaeischen Kommission, listet Unterauftragsverarbeiter und bindet Microsoft an ISO 27001, ISO 27018, ISO 27701, SOC 2 und EU Cloud Code of Conduct. Der Website-Betreiber bleibt Verantwortlicher fuer jedes Cookie, das durch eine Azure-Komponente gesetzt wird.
Nach der ePrivacy-Richtlinie in nationaler Umsetzung (TTDSG bzw. TDDDG in Deutschland, LCEN in Frankreich, LSSI-CE in Spanien) sind Session-Affinity-Cookies in der Regel als unbedingt erforderlich von der vorherigen Einwilligung ausgenommen, Application Insights- und Clarity-Cookies hingegen nicht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Microsoft Corporation ist unter dem EU-US Data Privacy Framework zertifiziert, was eine Angemessenheitsgrundlage fuer US-Uebermittlungen schafft. Der EU Data Boundary, 2024 vollstaendig ausgerollt, haelt Kundendaten und pseudonyme personenbezogene Daten fuer Azure, Microsoft 365, Dynamics 365 und Power Platform in EU und EFTA. Nach Schrems II bleiben Uebermittlungs-Folgenabschaetzung und zusaetzliche Massnahmen wie Customer-Managed Keys mit Azure Key Vault HSM empfohlen.
Fuer reine Infrastruktur (Hosting, Lastverteilung, Content Delivery, Sicherheit) ist Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse) die uebliche Rechtsgrundlage. Fuer Analytik- und Personalisierungsfunktionen wie Application Insights oder Microsoft Clarity ist vor dem Skript-Aufruf eine vorherige Einwilligung ueber eine konforme CMP erforderlich.
Microsoft-DPA unterzeichnen, EU Data Boundary aktivieren, Ressourcen an EU-Regionen binden, Customer-Managed Keys im Azure Key Vault aktivieren, Microsoft Entra ID Rollen streng begrenzen, Log-Retention konfigurieren, Microsoft im Datenschutzhinweis nennen, die Uebermittlungs-Folgenabschaetzung dokumentieren, IP-Maskierung in Application Insights aktivieren und jedes nicht unbedingt erforderliche Cookie in die Consent Management Platform integrieren.
Websites using Microsoft Azure must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA empfiehlt sich, wenn Azure personenbezogene Daten in grossem Umfang hostet, besondere Kategorien verarbeitet oder App Service, Application Gateway, Front Door und Application Insights mit Nutzerkennungen kombiniert. Die DSFA sollte Regionwahl, EU Data Boundary, Customer-Managed Keys, Conditional Access, Aufbewahrung, Unterauftragsverarbeiter sowie den Reaktionsplan fuer US-Behoerdenanfragen nach FISA 702 abdecken.
Sample consent text
Wir nutzen Microsoft Azure zum Hosting und zur Auslieferung dieser Website. Azure kann technische Session-Affinity-Cookies (ARRAffinity, ApplicationGatewayAffinity) setzen und Ihre IP-Adresse verarbeiten. Bestimmte Datenfluesse werden ueber US-Infrastruktur unter dem EU-US Data Privacy Framework und Standardvertragsklauseln geleitet, innerhalb des Microsoft EU Data Boundary. Mit Klick auf Akzeptieren erlauben Sie die auf Azure aufgesetzten Analytik- und Personalisierungsfunktionen.
Third-party domains contacted
azure.comazureedge.netazurewebsites.netwindows.netmsftauth.netazurefd.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| ARRAffinity | HTTP cookie | Session | Azure App Service and Front Door session affinity: keeps a visitor on the same backend instance. |
| ARRAffinitySameSite | HTTP cookie | Session | SameSite compliant variant of ARRAffinity used in modern browsers. |
| ApplicationGatewayAffinity | HTTP cookie | Session | Azure Application Gateway sticky session for HTTP backends. |
| ApplicationGatewayAffinityCORS | HTTP cookie | Session | Cross-origin variant of ApplicationGatewayAffinity. |
| ESTSAUTH | HTTP cookie | Session | Microsoft Entra ID authentication cookie set on the login domain (login.microsoftonline.com). |
| ai_user | localStorage | 1 year | Application Insights anonymous user identifier for telemetry. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Azure setzt vorrangig Session-Affinity-Cookies. Azure App Service und Front Door verwenden ARRAffinity und ARRAffinitySameSite (Session). Application Gateway setzt ApplicationGatewayAffinity und ApplicationGatewayAffinityCORS. Microsoft Entra ID ergaenzt Authentifizierungs-Cookies (ESTSAUTH, ESTSAUTHPERSISTENT) auf seiner Login-Domain. Application Insights speichert ai_user und ai_session im Local Storage. Microsoft Clarity, auf Azure betrieben, setzt eigene Analytik-Cookies.
Session-Affinity-Cookies der Azure-Infrastruktur (ARRAffinity, ApplicationGatewayAffinity) gelten in der Regel als unbedingt erforderlich und sind nach der ePrivacy-Richtlinie von der vorherigen Einwilligung ausgenommen. Telemetriefunktionen wie Application Insights und Microsoft Clarity benoetigen ein informiertes Opt-in vor dem Start.
Berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO ist die Standardgrundlage fuer Infrastruktur-Hosting, Sicherheit und Performance. Einwilligung nach Artikel 6 Absatz 1 lit. a gilt fuer Analytik, Werbung und Personalisierung. Vertragsnotwendigkeit (Artikel 6 Absatz 1 lit. b) kann gelten, wenn Azure eine Funktion betreibt, die der Besucher ausdruecklich abonniert hat.
Ja, auch bei gewaehlter EU-Region koennen Support-, Identitaets- und globale Dienste US-Infrastruktur durchlaufen. Die Microsoft Corporation ist unter dem EU-US Data Privacy Framework zertifiziert und der Microsoft-DPA enthaelt Standardvertragsklauseln. Der EU Data Boundary haelt den Grossteil der Kundendaten und pseudonymen personenbezogenen Daten in EU/EFTA-Rechenzentren.
Eine DSFA empfiehlt sich bei Azure-Verarbeitungen in grossem Umfang, besonderen Kategorien oder Aggregation mehrerer Dienste (App Service, Application Gateway, Front Door, Application Insights) mit Nutzerkennungen. Dokumentiert werden Region, EU Data Boundary, Customer-Managed Keys, Aufbewahrung, Unterauftragsverarbeiter und FISA 702 Reaktionsplan.
Microsoft-DPA unterzeichnen, EU Data Boundary aktivieren, Dienste an EU-Regionen binden, Customer-Managed Keys aktivieren, Entra ID Conditional Access begrenzen, Logs minimieren, Microsoft und Unterauftragsverarbeiter nennen, Uebermittlungs-Folgenabschaetzung dokumentieren, IP-Maskierung in Application Insights aktivieren und jedes nicht unbedingt erforderliche Cookie ueber die CMP steuern.
Fuer europaeische Workloads bieten OVHcloud Public Cloud, Scaleway, Hetzner Cloud, IONOS Compute Engine und Open Telekom Cloud (T-Systems) EU-basierte Optionen. Fuer Souveraenitaetsanforderungen (GAIA-X) bieten sich Outscale, Cleura und die geplante Bleu Cloud in Frankreich an. Die Eignung haengt vom Servicemix und den Zertifizierungen ab.
Microsoft Corporation als Auftragsverarbeiter nennen, die genutzten Azure-Dienste beschreiben, die technischen Cookies dokumentieren (ARRAffinity, ApplicationGatewayAffinity, ESTSAUTH), EU Data Boundary und EU-US Data Privacy Framework erlaeutern, auf den Microsoft-DPA verlinken und einen Kontaktpunkt fuer Betroffenenanfragen angeben.