Aktuelles
Datum: 

Microsoft SSPA: Supplier Security & Privacy Assurance Program – wie Unternehmen Datenschutz- und KI-Anforderungen umsetzen

 

Microsoft SSPA Compliance wird für viele Unternehmen zunehmend zur Pflicht: Wer Microsoft-Produkte unterstützt oder personenbezogene Daten im Rahmen der Lieferkette verarbeitet, muss strenge Datenschutz- und Sicherheitsvorgaben erfüllen. Das Microsoft Supplier Security and Privacy Assurance Program (SSPA) regelt, wie Nachweise zu technischen und organisatorischen Maßnahmen (TOMs) zu Datenschutz, Audits und KI-Einsatz zu erbringen sind – und stellt viele Organisationen vor neue Herausforderungen.

BDO unterstützt Unternehmen mit einem unabhängigen IT-Audit dabei, Compliance-Anforderungen effizient umzusetzen – von der Analyse bestehender Prozesse bis hin zur Implementierung praxisnaher Lösungen, die auch KI-Verordnung und Datenschutz berücksichtigen.

Warum gibt es das Microsoft SSPA?

Das Supplier Security and Privacy Assurance Program (SSPA) ist Microsofts globales Lieferantenprogramm, das sicherstellt, dass alle Partner dieselben hohen Standards in Datenschutz, Informationssicherheit und verantwortungsvollem KI-Einsatz einhalten.

Die Data Protection Requirements (DPR) bilden das verbindliche Regelwerk – angelehnt an internationale Normen wie ISO/IEC 27001, NIST und DSGVO. Das Programm gilt für alle Dienstleister, die Microsoft Personal Data oder Microsoft Confidential Data verarbeiten – unabhängig davon, ob sie als Processor, Controller oder Subprocessor tätig sind.

Was früher ein Verhaltenskodex war, ist heute ein umfangreicher Prüfrahmen mit jährlich zu erfüllenden Maßnahmen, Audits und Nachweisen. Besonders im Fokus: der Umgang mit personenbezogenen Daten – und zunehmend auch der Einsatz künstlicher Intelligenz.

Zentrale Anforderungen im Überblick

  • Jährliche Privacy & Security Assessment (PSA) – verpflichtende Selbstauskunft zu allen relevanten DPR-Kontrollen.
  • Umsetzung des DPR Frameworks – orientiert an globalen Datenschutz- und Sicherheitsstandards.
  • Risikoklassifizierung nach Data Processing Profile – bestimmt, ob zusätzlich ein Independent Assessment (Audit) oder ISO-Zertifikate erforderlich sind.
  • Nachweisführung – ab mittlerem Risikolevel (z. B. bei „Highly Confidential Data“ oder „AI Systems“) durch unabhängige Prüfung oder gültige ISO 27001/27701-Zertifizierung.
  • Integration von KI-Anforderungen (Section K DPR) – jährliche Überprüfung der Intended Uses, Benennung verantwortlicher Rollen und Umsetzung von Responsible-AI-Maßnahmen. Bei Sensitive Use AI Systems kann zusätzlich die ISO 42001 gefordert werden.


🔗 Offizielle Microsoft SSPA-Seite
🔗 Supplier Data Protection Requirements (PDF)

Was prüft Microsoft konkret?

Unternehmen müssen den aktiven Betrieb und die Dokumentation von technischen und organisatorischen Maßnahmen (TOMs) nachweisen, u. a.:

  • Zugriffs- & Berechtigungsmanagement (inkl. MFA, Least Privilege, zeitnahe Deaktivierung)
  • Datenverschlüsselung im Transit und at Rest
  • Incident-Response- & Logging-Prozesse
  • Lieferkettenkontrolle & Subunternehmer-Management
  • Awareness- & Schulungsprogramme für Datenschutz und Sicherheit

KI-Systeme unter besonderer Beobachtung

Mit zunehmendem Einsatz von Künstlicher Intelligenz in der Lieferkette steigen auch die Compliance-Anforderungen:

  • Prüfung, ob Trainingsdaten personenbezogen sind
  • Nachweis von Transparenz zu Modelllogik und Entscheidungswegen
  • Risikominimierung bei Black-Box-Effekten und Zweckbindungsverstößen
  • Umsetzung von KI-spezifischen TOMs (z. B. Modellhärtung, Protokollierung)

Diese Vorgaben greifen nicht nur im Hinblick auf die DSGVO, sondern auch im Kontext der DSK-Leitlinien und der kommenden EU-KI-Verordnung.

Wie BDO Sie unterstützt

Als interdisziplinäres Team mit Expertinnen und Experten in den Bereichen aus Datenschutz-, IT-Audit- und KI begleiten wir Sie bei der strukturierten Umsetzung der Microsoft SSPA-Anforderungen. Von der Gap-Analyse bis zur Auditierung – praxisnah, nachvollziehbar und branchenbewährt.

Unsere Leistungen im Überblick:

  • SSPA Readiness Check – Standortbestimmung zu DPR & PSA
  • Auditvorbereitung & Prüfungsbegleitung – inkl. Unterstützung bei Self-Attestation, Independent Assessments und Reporting
  • TOMs-Dokumentation & Umsetzung – datenschutzkonform und Microsoft-ready
  • Risikoprofil-Analyse – Unterstützung bei der Data Processing Profile-Einstufung
  • KI & Datenschutz Governance – Integration von AI Systems in bestehende Compliance-Frameworks
  • Schulungen & Awareness – für Management, IT und Datenschutzbeauftragte

Fazit: Compliance als Wettbewerbsvorteil

Das Microsoft SSPA zeigt klar: Datenschutz, IT-Sicherheit und Responsible AI sind Pflicht für alle Lieferanten. Wer sich frühzeitig vorbereitet, erreicht nicht nur Rechtssicherheit, sondern demonstriert digitale Reife und stärkt das Vertrauen eines der weltweit größten Technologiepartner.

Kontaktieren Sie unser IT-Audit-Team – wir begleiten Sie strukturiert und effizient auf Ihrem Weg zur SSPA-Compliance.

Dieser Artikel wurde verfasst von