- Microsoft übernimmt als erster der führenden Anbieter von Cloud-Diensten den internationalen ISO/IEC 27018 Standard für Datenschutz in der Cloud.
- Der Standard wurde dem Ziel entwickelt, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen.
- Microsoft Azure, Office 365 und Dynamics CRM Online entsprechen höchsten Datenschutzbestimmungen.
Der ISO/IEC 27018-Standard, eine Erweiterung des etablierten ISO 27001-Standards, wurde von der International Organization for Standardization (ISO) mit dem Ziel entwickelt, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen.
Microsoft Azure, Office 365 und Dynamics CRM Online entsprechen höchsten Datenschutzbestimmungen
Das British Standards Institute (BSI) hat nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice“ des Standards zum Schutz von personenbezogenen Daten (Personally Identifiable Information, PII) in Public Clouds entsprechen. Zudem wurde dieser Test für Microsoft Intune vom Bureau Veritas durchgeführt.
Warum ist das von Bedeutung?
Dafür gibt es mehrere Gründe. Unternehmenskunden erhalten durch die Übernahme von ISO 27018 Gewissheit, dass der Datenschutz auf unterschiedliche Weise gewährleistet wird:
- Kontrolle über Daten behalten. Mit der Einhaltung des Standards stellt Microsoft sicher, dass personenbezogene Daten ausschließlich entsprechend den Anweisungen verarbeitet werden, die Kunden gegeben haben.
- Wissen, was mit Daten geschieht. Die Einhaltung des Standards gewährleistet Transparenz bei den Richtlinien bezüglich Rückgabe, Übermittlung und Vernichtung von personenbezogenen Daten, die in Rechenzentren gespeichert sind. Microsoft teilt nicht nur mit, wo sich Daten befinden, sondern auch, mit welchen Firmen Microsoft gegebenenfalls zusammenarbeitet, falls diese Firmen Zugriff auf diese Daten benötigen. Außerdem werden Kunden informiert, falls es zu unerlaubten Zugriffen auf personenbezogene Daten oder auf die Verarbeitungseinheit oder die Anlagen kommt, die zu Verlust, Offenlegung oder Änderung dieser Daten führen.
- Microsoft sorgt für einen wirksamen Schutz der Daten. Mit der Einhaltung von ISO 27018 sind eine Reihe wichtiger Sicherheitsmaßnahmen gewährleistet. So wird sichergestellt, dass Microsoft als Provider genau definierten Beschränkungen im Hinblick auf die Handhabung personenbezogener Daten unterliegt. Das sind unter anderem Beschränkungen bei der Datenübertragung über öffentliche Netze, bei der Speicherung auf transportablen Medien sowie bei geeigneten Prozessen für die Datensicherung und -wiederherstellung. Außerdem legt der Standard fest, dass sämtliche Personen, die mit der Verarbeitung personenbezogener Daten betraut werden eine Geheimhaltungsverpflichtung eingehen müssen.
- Daten werden nicht für Werbezwecke genutzt. Von Unternehmenskunden werden zunehmend Befürchtungen geäußert, dass Anbieter von Cloud-Diensten Daten ohne vorherige Zustimmung zu Werbezwecken nutzen. Mit der Übernahme dieses Standards wird noch einmal die langjährige Verpflichtung von Microsoft bekräftigt, Daten von Unternehmenskunden nicht für Werbezwecke zu verwenden.
- Microsoft informiert über Zugang von Behörden auf Daten. Durch den Standard wird vorgeschrieben, dass Unternehmenskunden darüber informiert werden müssen, falls durch Ermittlungsbehörden die Herausgabe personenbezogener Daten gefordert wird – es sei denn, diese Information ist rechtlich untersagt. Microsoft folgt diesem Ansatz (und weitergehenden Ansätzen) bereits seit langem, und die Übernahme des Standards bestätigt noch einmal eine diesbezügliche Verpflichtung.
Datenschutzverpflichtungen besonders für Unternehmenskunden relevant
Alle diese Verpflichtungen sind vor dem Hintergrund des aktuellen rechtlichen Umfelds, in dem Unternehmenskunden zunehmend eigene Datenschutzverpflichtungen einhalten müssen, von noch größerer Bedeutung. Microsoft ist optimistisch, dass ISO 27018 als gute Vorlage sowohl für Regulierungsbehörden als auch für Kunden dienen kann, wenn es um die Gewährleistung eines wirksamen Datenschutzes über Ländergrenzen und vertikale Branchensektoren hinweg geht.
Microsoft stärkt Datenschutz
Diese Mitteilung ist ein weiterer Baustein im Engagement von Microsoft zur Stärkung des Datenschutzes und zur Einhaltung von „Compliance“ Vorschriften für Kunden in der Cloud. Bereits im letzten Frühjahr erhielt Microsoft die Bestätigung der europäischen Datenschutzbehörden, dass die von Microsoft angebotenen Verträge für Cloud-Unternehmenskunden den „Model Clauses“ (Standardvertragsklauseln) des EU-Datenschutzrechts zur internationalen Datenübertragung entsprechen. Letzten Herbst hat Microsoft als eines der ersten Unternehmen den „Student Privacy Pledge“ unterzeichnet, eine gemeinsam vom „Future of Privacy Forum and the Software & Information Industry Association“ entwickelte Verpflichtung, allgemeine Grundprinzipien für den Datenschutz bei Schülern und Studenten aufzustellen.
Beweis für dauerhaftes Engagement im Online-Datenschutz
Kunden nutzen nur solche Services, denen sie auch vertrauen. Die Tatsache, dass Microsoft sich diesem Standard verpflichtet ist ein weiterer Beweis für das dauerhafte Engagement in Sachen Online-Datenschutz der Kunden.
Weitere Informationen
- Detaillierte Informationen zu dieser Ankündigung finden Sie im aktuellen Blog Post auf OfficeBlog.at
Mit freundlichen Grüßen,
Pressestelle Microsoft Österreich
pantarhei corporate advisors
Markus Gruber, Tel. +43 (1) 886 56 35 – 207, [email protected]
Joachim Kurz, Tel. +43 (1) 886 56 35 – 220, [email protected]
Julija Palatin, Tel. +43 (1) 886 56 35 – 233, [email protected]
