Datenresidenz & Datenschutz
Betreut von: Aether365 Team Zielgruppe: Datenschutzbeauftragte und Compliance-Teams Umfang: Wo Aether365 Daten speichert und wie Daten über Regionen fließen
Wo Ihre Daten gespeichert werden
Aether365 betreibt zwei unabhängige Datenebenen: EU (Ireland, Ireland) und US (N. Virginia, USA). Jeder Tenant befindet sich vollständig in einer Region - Daten werden niemals zwischen ihnen repliziert.
Sie wählen Ihre Datenregion bei der ersten Anmeldung:
- Nach Abschluss der Registrierung gelangen Sie zum Bildschirm Datenregion wählen.
- Wählen Sie Europa (EU) oder Vereinigte Staaten (US).
- Bestätigen Sie. Die Wahl ist dauerhaft und kann später nicht geändert werden.
Die gewählte Region wird als region-Claim in Ihrem Anmeldetoken und in der Tenant-Zeile gespeichert. Jeder API-Aufruf Ihrer Anwendung wird an den API-Endpunkt der entsprechenden Region geleitet, und Verwaltungsaktionen für Ihren Tenant sind auf die Datenbank dieser Region beschränkt.
| Datentyp | Speicherdienst | Region |
|---|---|---|
| Scan-Ergebnisse und Prüfbefunde | Datenbank (PostgreSQL) | Ihre gewählte Region |
| Tenant- und Kontometadaten | Datenbank (PostgreSQL) | Ihre gewählte Region |
| Scan-Ergebnisdateien | Object storage | Ihre gewählte Region |
| Anwendungs-Secrets (Zugangsdaten) | Encrypted secrets vault | Ihre gewählte Region |
| Zugriffsprotokolle | Platform logging service | Ihre gewählte Region |
| Identität (identity service)Benutzerpool) | Identity service | EU (einzelner globaler Pool, nur Claim-basiert) |
Welche Daten wir speichern
Daten, die wir erheben und warum
| Kategorie | Daten | Zweck |
|---|---|---|
| Kontodaten | E-Mail-Adresse, Microsoft Tenant-ID, Planstufe | Identität, Abrechnung und Zugriffskontrolle |
| Konfigurationsschnappschüsse | Während Scans aus Microsoft Graph gelesene Werte | Auswertung von Sicherheitsprüfungen |
| Scan-Ergebnisse | Bestanden/Fehlgeschlagen/Übersprungen-Status pro Prüfung, erkannte Werte, Bewertungen | Bereitstellung des Compliance-Berichts |
| Verbindungsmetadaten | Microsoft Tenant-ID, Verbindungszeitstempel | Verwaltung der Tenant-Verbindungen |
| Benachrichtigungseinstellungen | E-Mail-Adressen, Teams-Webhook-URLs | Zustellung von Scan-Benachrichtigungen |
| Audit-Log-Einträge | Aktion, Benutzer, Zeitstempel, IP | Enterprise-Audit-Trail-Funktion |
Daten, die wir nicht erheben
- E-Mail-Inhalte, Kalenderdaten oder von Benutzern erstellte Inhalte aus Microsoft 365
- Microsoft-Benutzerkennwörter oder Zugangsdaten
- Microsoft Graph-Zugriffstoken (werden während Scans nur kurzfristig verwendet, nie gespeichert)
- Daten aus Microsoft 365-Diensten, die nicht zur Auswertung von Sicherheitsprüfungen benötigt werden
- Jegliche an AI- oder Machine-Learning-Dienste übermittelten Daten - Ihre Konfigurations- und Scan-Daten werden niemals zum Training von AI-Modellen verwendet oder von AI-Tools Dritter verarbeitet
Datenaufbewahrung
Scan-Daten werden für einen definierten Aufbewahrungszeitraum gespeichert, nach dessen Ablauf sie dauerhaft aus der Datenbank und object storage gelöscht werden. Die Löschung ist unwiderruflich. Sie können einen kürzeren Aufbewahrungszeitraum unter Einstellungen > Aufbewahrung konfigurieren. Kontaktieren Sie support@aether365.io, um individuelle Aufbewahrungszeiträume zu besprechen.
Datenlöschung
Einen Scan löschen
Sie können einzelne Scans auf der Scans-Seite löschen. Dadurch werden der Scan-Datensatz und alle zugehörigen Prüfergebnisse dauerhaft aus der Datenbank und object storage entfernt.
Ihr Konto löschen
Um eine Kontolöschung zu beantragen, kontaktieren Sie hello@aether365.io. Wir werden:
- Ihre Identität bestätigen
- Alle Scan-Daten, Kontometadaten und Benachrichtigungseinstellungen innerhalb von 30 Tagen löschen
- Eine Löschbestätigung per E-Mail senden
Die Kontolöschung ist unwiderruflich.
Anfragen betroffener Personen
Um Ihre Rechte nach der DSGVO (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) auszuüben, kontaktieren Sie privacy@aether365.io. Wir beantworten Anfragen betroffener Personen innerhalb von 30 Tagen.
Unterauftragsverarbeiter
Aether365 setzt folgende Unterauftragsverarbeiter zur Erbringung des Dienstes ein:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Cloud-Infrastruktur | Hosting, Speicher, Rechenleistung, E-Mail-Versand | EU (Ireland, Ireland) |
| Microsoft Azure / Entra ID | Authentifizierung (OpenID Connect) | EU |
| Stripe | Zahlungsabwicklung | US / EU |
Wir verkaufen oder teilen Ihre Daten nicht mit Dritten zu Werbe- oder Marketingzwecken.
Auftragsverarbeitungsvertrag
Ein Auftragsverarbeitungsvertrag (AVV) steht Kunden mit Pro- und Enterprise-Plan zur Verfügung. Fordern Sie den AVV per E-Mail an privacy@aether365.io an.