SYAGA AuditMicrosoft 365 Edition
Startseite Funktionen Sicherheit Funktionsweise Preise
Anmelden Meine kostenlose Diagnose starten

Datenschutzrichtlinie

Version 1.0 - Letzte Aktualisierung : 25. Juni 2026


Präambel

Die vorliegende Datenschutzrichtlinie hat zum Ziel, die Nutzer und Kunden des Dienstes SYAGA Audit darüber zu informieren, wie ihre personenbezogenen Daten erhoben, verarbeitet und geschützt werden, im Einklang mit der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSGVO) und dem französischen Gesetz Nr° 78-17 vom 6. Januar 1978 in geänderter Fassung über Informatik, Dateien und Freiheiten.

SYAGA Audit ist ein Dienst zur Sicherheits- und Konformitätsprüfung der Microsoft-365-Umgebung, der ausschließlich lesend auf die Konfigurationen und Metadaten des Microsoft-365-Tenants des Kunden zugreift. Der Dienst greift nicht auf den Inhalt der Nachrichten, Dateien oder E-Mails der Nutzer des geprüften Tenants zu und speichert keinerlei Passwörter.

Das vorliegende Dokument erfüllt die Informationspflicht nach Artikel 13 (Direkterhebung) und Artikel 14 (indirekte Erhebung) DSGVO.


1. Identität und Kontaktdaten des Verantwortlichen

Verantwortlicher für die Konto- und Kundenbeziehungsdaten ist :

SYAGA CONSULTING

  • Rechtsform : Société à responsabilité limitée (SARL) mit einem Kapital von 20 000 EUR
  • SIREN : 518 489 471 -- RCS Aix-en-Provence
  • Sitz : 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Innergemeinschaftliche USt-IdNr. : FR93 518489471
  • E-Mail : contact@syaga.fr

Verhältnis Auftragsverarbeiter / Verantwortlicher : für die im Rahmen der Prüfung erhobenen Konfigurationsdaten und Metadaten des Microsoft-365-Tenants handelt SYAGA als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO, wobei der Kunde Verantwortlicher für seine eigenen M365-Daten bleibt. Die vorliegende Richtlinie deckt den Bereich ab, für den SYAGA als Verantwortlicher handelt (Kontodaten, Rechnungsstellung, Support). Die im Auftrag des Kunden durchgeführte Verarbeitung wird durch den Auftragsverarbeitungsvertrag (AVV) geregelt.

Datenschutz-Ansprechpartner

Für alle Anfragen zum Datenschutz : contact@syaga.fr

Die Benennung eines Datenschutzbeauftragten ist im Sinne von Artikel 37 DSGVO nicht verpflichtend ; der Verantwortliche, in Person des Geschäftsführers, ist Ansprechpartner für alle Fragen zu personenbezogenen Daten.


2. Erhobene personenbezogene Daten

2.1 Konto- und Kundenbeziehungsdaten

SYAGA erhebt als Verantwortlicher :

  • Identität des Ansprechpartners : Name, Vorname, Funktion
  • Berufliche Kontaktdaten : E-Mail-Adresse, Firmenname
  • Authentifizierungsdaten für den Dienst (Microsoft-OAuth-Token -- kein Passwort auf Seiten von SYAGA Audit gespeichert)
  • Rechnungs- und Vertragsverwaltungsdaten
  • Support-Daten und Kommunikation
  • Technische Verbindungsprotokolle (IP-Adressen, Zeitstempel)

2.2 Prüfdaten (Konfiguration und Metadaten Microsoft 365)

Im Rahmen der Prüfung greift der Dienst ausschließlich lesend über die Microsoft-Graph-API auf die Konfigurationsdaten und Metadaten des M365-Tenants des Kunden zu, insbesondere :

  • Sicherheitskonfigurationsparameter (Richtlinien für bedingten Zugriff, MFA-Einstellungen, Freigabeeinstellungen)
  • Metadaten zu den Benutzerkonten (UPN, Rollen, MFA-Status, Verzeichnisattribute von Entra ID)
  • Indikatoren und Metadaten zur Sicherheitslage (Secure Score, Konfigurationswarnungen)

Was der Dienst nicht erhebt : Inhalt der E-Mails, Dateien, Dokumente, Nachrichten, Passwörter, sensible Daten im Sinne von Artikel 9 DSGVO.

Ephemere Architektur : die Prüfung läuft im Arbeitsspeicher in einem wegwerfbaren Scan-Container (keine Speicherung auf Datenträger). Der Bericht wird dem Kunden einmalig übergeben, anschließend werden die Rohdaten des Scans und das Zugriffstoken gelöscht. Das Token wird während der Dauer der Prüfung im Ruhezustand verschlüsselt (Fernet). Maximale Sicherheits-TTL : 2 Stunden. SYAGA bewahrt serverseitig ausschließlich die Rechnungsdaten auf, im Einklang mit den gesetzlichen Pflichten.

2.3 Cookies und Tracker

Die Website syaga.eu verwendet ausschließlich unbedingt erforderliche Cookies für den Betrieb des Dienstes :

  • __jsc : Anti-Bot-Sicherheits-Cookie, Sitzungsdauer
  • vigil_audit : Sitzungs-Cookie, Sitzungsdauer

Es werden weder Reichweitenmess-Cookies (Google Analytics, Matomo oder gleichwertig) noch Werbe-Cookies gesetzt. Diese unbedingt erforderlichen Cookies sind gemäß den Leitlinien der BfDI von der vorherigen Einwilligung befreit (Quelle : cnil.fr -- cookies et traceurs). Ein Informationshinweis zu diesen Cookies ist ausreichend.


3. Zwecke und Rechtsgrundlagen der Verarbeitung

Gemäß Artikel 6 DSGVO beruht jede Verarbeitung auf einer festgelegten Rechtsgrundlage :

ZweckRechtsgrundlage (Art. 6 DSGVO)
Bereitstellung und Ausführung des Prüfdienstes ; Erstellung und Verwaltung des KundenkontosVertragserfüllung -- Art. 6.1.b
Rechnungsstellung, Buchhaltung, ForderungseinzugGesetzliche Pflicht (französisches Handelsgesetzbuch, Art. L.123-22) und Vertragserfüllung -- Art. 6.1.c und 6.1.b
Support und technische UnterstützungVertragserfüllung -- Art. 6.1.b
Sicherheit des Dienstes, Betrugsprävention, ProtokollierungBerechtigtes Interesse -- Art. 6.1.f
Unbedingt erforderliche CookiesVon der Einwilligung befreit (Leitlinien der BfDI)

Für die Prüfdaten des Tenants (Abschnitt 2.2) handelt SYAGA auf Weisung des Kunden (Verantwortlicher). Siehe den AVV.


4. Empfänger und Auftragsverarbeiter

Die Daten werden nur an befugte Personen innerhalb von SYAGA CONSULTING sowie an Auftragsverarbeiter weitergegeben, die unter den Bedingungen von Artikel 28 DSGVO tätig werden :

  • Microsoft Corporation : Anbieter der Microsoft-Graph-API, die ausschließlich lesend genutzt wird, um auf die Konfigurationsdaten des Tenants des Kunden zuzugreifen. Die geprüften Daten sind diejenigen des eigenen Microsoft-365-Tenants des Kunden, die in seinem Auftrag ausschließlich lesend über Microsoft Graph abgerufen werden. Microsoft handelt als Anbieter des Kunden ; SYAGA ist nicht dessen weiterer Auftragsverarbeiter.
  • Stripe Inc. : Zahlungsdienstleister für die Verarbeitung der Rechnungsdaten. Die Übermittlungen an Stripe werden durch das EU-U.S. Data Privacy Framework, für das Stripe zertifiziert ist, sowie hilfsweise durch die Standardvertragsklauseln der Europäischen Kommission (2021) abgesichert, die in das Data Transfers Addendum von Stripe integriert sind (Quellen : stripe.com/legal/dpa und stripe.com/legal/dta).
  • Hoster : OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankreich (RCS Lille Métropole 424 761 419). Der Dienst wird in Frankreich von OVH SAS (französischer Hoster) gehostet, technischer Auftragsverarbeiter von SYAGA CONSULTING. SYAGA CONSULTING erhält ausschließlich pseudonymisierte Daten (Token).

Es werden keine Daten an Dritte verkauft oder zu kommerziellen Zwecken überlassen.

Die Daten können an Verwaltungs- oder Justizbehörden weitergegeben werden, sofern das Gesetz dies verlangt.


5. Aufbewahrungsfristen

Die Daten werden für einen Zeitraum aufbewahrt, der nicht länger ist als für die verfolgten Zwecke erforderlich (Art. 5.1.e DSGVO) :

DatenkategorieAufbewahrungsfrist
Rohdaten der Prüfung (Findings, Zugriffstoken)Keine serverseitige Aufbewahrung : bei Auslieferung des Berichts gelöscht (ephemere Architektur, maximale TTL 2 Stunden)
Daten des aktiven KundenkontosDauer der Vertragsbeziehung, anschließend Löschung innerhalb von 30 Tagen nach Kündigung
Rechnungsdaten und Buchhaltungsbelege10 Jahre ab Abschluss des Geschäftsjahres (gesetzliche Pflicht, Art. L.123-22 französisches Handelsgesetzbuch)
Technische Protokolle (Verbindungsprotokolle)12 Monate (Empfehlung der BfDI)

6. Datenübermittlungen außerhalb der Europäischen Union

Die Infrastruktur, die den Dienst SYAGA Audit hostet, befindet sich in Frankreich. Grundsätzlich findet durch SYAGA keine Datenübermittlung außerhalb der EU / des EWR statt.

Zu Microsoft : Der Verantwortliche erkennt an, dass die Microsoft-Graph-API von der Microsoft Corporation (Vereinigte Staaten) betrieben wird. Etwaige Übermittlungen unter Beteiligung von Microsoft werden durch dessen von der Europäischen Kommission genehmigte Standardvertragsklauseln und gegebenenfalls durch dessen Teilnahme am EU-U.S. Data Privacy Framework abgesichert. Die geprüften Daten sind diejenigen des eigenen Microsoft-365-Tenants des Kunden, die in seinem Auftrag ausschließlich lesend über Microsoft Graph abgerufen werden. Microsoft handelt als Anbieter des Kunden. Etwaige Übermittlungen unter Beteiligung der Microsoft-Infrastruktur werden durch die von der Europäischen Kommission genehmigten Standardvertragsklauseln und die Teilnahme von Microsoft am EU-U.S. Data Privacy Framework abgesichert.

Stripe Inc. führt Übermittlungen außerhalb der EU durch, die durch Mechanismen gemäß Kapitel V DSGVO abgesichert sind. Die Übermittlungen an Stripe werden durch das EU-U.S. Data Privacy Framework, für das Stripe zertifiziert ist, sowie hilfsweise durch die Standardvertragsklauseln der Europäischen Kommission (2021) abgesichert, die in das Data Transfers Addendum von Stripe integriert sind.


7. Rechte der betroffenen Personen

Gemäß den Artikeln 15 bis 22 DSGVO stehen jeder betroffenen Person die folgenden Rechte zu :

  • Auskunftsrecht (Art. 15 DSGVO) : Bestätigung erhalten, dass sie betreffende Daten verarbeitet werden, und eine Kopie davon erhalten
  • Recht auf Berichtigung (Art. 16) : unrichtige oder unvollständige Daten berichtigen lassen
  • Recht auf Löschung (Art. 17) : Löschung in den von der DSGVO vorgesehenen Fällen erwirken
  • Recht auf Einschränkung der Verarbeitung (Art. 18)
  • Recht auf Datenübertragbarkeit (Art. 20) : Erhalt der eigenen Daten in einem strukturierten, maschinenlesbaren Format
  • Widerspruchsrecht (Art. 21) : Widerspruch gegen die Verarbeitung aus Gründen, die sich aus der besonderen Situation ergeben, sowie jederzeit gegen Direktwerbung
  • Recht auf Widerruf der Einwilligung (Art. 7.3) jederzeit, sofern die Verarbeitung auf der Einwilligung beruht
  • Recht post mortem (Art. 85 des Gesetzes über Informatik und Freiheiten) : Festlegung von Anweisungen zum Verbleib der Daten nach dem Tod

Wichtig für die Prüfdaten : für die Konfigurationsdaten und Metadaten des Tenants sind Anträge auf Ausübung der Rechte an den Kunden (Verantwortlicher) zu richten, der SYAGA bei Bedarf hinzuzieht (Art. 28.3.e DSGVO).

Modalitäten der Ausübung

Diese Rechte werden durch eine Anfrage an contact@syaga.fr oder per Post an SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc ausgeübt. Eine Antwort erfolgt innerhalb eines Monats (Art. 12.3 DSGVO), verlängerbar um zwei Monate bei Komplexität.

Beschwerde bei der BfDI

Jede betroffene Person hat das Recht, eine Beschwerde bei der BfDI einzureichen (Art. 77 DSGVO) :

BfDI -- Graurheindorfer Str. 153, 53117 Bonn -- www.bfdi.bund.de


8. Datensicherheit (Art. 32 DSGVO)

SYAGA setzt geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten (Art. 32 DSGVO) :

  • Ephemere Architektur : Prüfung im Arbeitsspeicher ausgeführt, wegwerfbarer Scan-Container ohne Speicherung auf Datenträger ; Rohdaten bei Auslieferung des Berichts gelöscht
  • Geringste Rechte : Verbindung über Microsoft OAuth mit den engsten von Microsoft angebotenen Berechtigungen für jeden geprüften Bereich ; der Dienst schreibt, ändert oder löscht niemals Daten des Tenants
  • Verschlüsselung bei der Übertragung : TLS 1.2/1.3 für alle Kommunikationen ; SPF, DKIM und DMARC für die E-Mails aktiviert
  • Verschlüsselung im Ruhezustand : Zugriffstoken während der Dauer der Prüfung verschlüsselt (Fernet)
  • Hosting in Frankreich : OVH-Infrastruktur (Frankreich)
  • Zugriffskontrolle : Grundsatz der geringsten Rechte ; personenbezogene Berechtigungen
  • Missbrauchsschutz : Obergrenze von 2 Prüfungen/Tag/Tenant, Anti-DDoS-Maßnahmen
  • Meldung von Verletzungen : Verfahren im Einklang mit Art. 33 und 34 DSGVO (Meldung an die BfDI innerhalb von 72 Stunden)

Ausrichtung an mehreren Referenzrahmen

Die Sicherheitsmaßnahmen von SYAGA Audit sind in Übereinstimmung mit mehreren anerkannten Sicherheitsreferenzrahmen konzipiert. SYAGA beansprucht keine formelle Zertifizierung nach diesen Referenzrahmen die Maßnahmen orientieren sich an den Anforderungen der Norm ISO/IEC 27001, wobei ein Zertifizierungsverfahren eingeleitet wurde, jedoch bis heute keine Zertifizierung erlangt wurde ; die Maßnahmen sind ausgerichtet an und inspiriert von diesen Rahmenwerken :

  • DSGVO (Verordnung (EU) 2016/679) : unmittelbar anwendbare Rechtsgrundlage -- eur-lex.europa.eu CELEX:32016R0679
  • NIS2-Richtlinie (Richtlinie (EU) 2022/2555) : Maßnahmen zum Risikomanagement, Sicherheit der Netz- und Informationssysteme -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, dessen Mitarbeiterzahl und Umsatz unterhalb der Schwellenwerte für wesentliche Einrichtungen im Sinne der Richtlinie (EU) 2022/2555 liegen (50 Beschäftigte oder 10 Mio. EUR), fällt nicht in den Anwendungsbereich der NIS2-unterworfenen Einrichtungen. SYAGA Audit unterstützt seine Kunden gleichwohl dabei, ihre Konformität mit diesem Referenzrahmen zu messen (Quelle : monespacenis2.cyber.gouv.fr).
  • DORA (Verordnung (EU) 2022/2554) : digitale operationale Resilienz für den Finanzsektor -- eur-lex.europa.eu CELEX:32022R2554. Da SYAGA keine regulierte Finanzeinrichtung ist, findet die Verordnung (EU) 2022/2554 (DORA) auf sie keine unmittelbare Anwendung ; vertragliche Pflichten können jedoch im Einzelfall gelten, wenn ein Kunde eine DORA-unterworfene Finanzeinrichtung ist (Quelle : eur-lex.europa.eu DORA).
  • ISO/IEC 27001 : Referenzrahmen für Informationssicherheits-Managementsysteme (ISMS) -- iso.org/standard/27001. Die Maßnahmen von SYAGA Audit orientieren sich an den Anforderungen der Norm ISO/IEC 27001, wobei ein Zertifizierungsverfahren eingeleitet wurde, jedoch bis heute keine Zertifizierung erlangt wurde.
  • Empfehlungen des BSI : Leitfaden zur IT-Hygiene und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik -- ssi.gouv.fr.

SYAGA Audit unterstützt seine Kunden gerade dabei, ihre eigene Konformität mit diesen Referenzrahmen (DSGVO, NIS2, BSI) innerhalb ihrer Microsoft-365-Umgebung zu messen.


9. Änderungen dieser Richtlinie

Die vorliegende Richtlinie kann aktualisiert werden, um rechtlichen, regulatorischen oder technischen Entwicklungen Rechnung zu tragen. Maßgeblich ist die unter https://syaga.eu/confidentialite.html veröffentlichte Fassung. Bei wesentlichen Änderungen werden die registrierten Nutzer innerhalb einer angemessenen Frist vor Inkrafttreten der Änderungen per E-Mail informiert.


10. Kontakt

Für alle Fragen zu dieser Richtlinie oder zum Schutz Ihrer Daten :

  • E-Mail : contact@syaga.fr
  • Anschrift : SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Rechtliche und dokumentarische Referenzen

  • Verordnung (EU) 2016/679 (DSGVO) -- Volltext : eur-lex.europa.eu CELEX:32016R0679
  • Gesetz Nr° 78-17 vom 6. Januar 1978 in geänderter Fassung : Légifrance
  • BfDI -- Rechte der betroffenen Personen : cnil.fr
  • BfDI -- Cookies : cnil.fr
  • NIS2-Richtlinie (EU) 2022/2555 : eur-lex.europa.eu CELEX:32022L2555
  • DORA-Verordnung (EU) 2022/2554 : eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001 : iso.org/standard/27001
  • BSI -- Leitfaden zur IT-Hygiene : ssi.gouv.fr
SYAGA Audit
Sicherheit Datenschutz AGB AVV Impressum © 2026 SYAGA