Die wichtigsten Fragen zum Datenschutz, die Kunden ihren Anbietern von Clouddiensten stellen sollten

Microsoft Office 365 stellt für alle Office 365-Kunden die wesentlichen Datenschutzfunktionen bereit. In diesem Abschnitt werden die Datenschutzfunktionen beschrieben, und es wird gezeigt, dass sie den hohen Standards für den Datenschutz entsprechen, die von den EU-Behörden festgelegt wurden. Am 1. Juli 2012 hat die Artikel 29-Arbeitsgruppe der EU (eine Gruppe, die sich aus Mitgliedern der nationalen Datenschutzbehörden der EU zusammensetzt), die Stellungnahme 05/2012 zum Cloud Computing beschlossen. Die Stellungnahme zum Cloud Computing hebt die Vorteile von Cloud Computing hervor, einschließlich der verbesserten Effizienz und der höheren Sicherheit. In ihrer Stellungnahme betont die Artikel 29-Arbeitsgruppe der EU, wie wichtig es ist, einen Anbieter von Clouddiensten auszuwählen, der seine Datenschutzpraktiken transparent macht und die Schutzwürdigkeit von Kundendaten respektiert.
Die Stellungnahme der Artikel 29-Arbeitsgruppe der EU stellt einen Leitfaden für aktuelle und potenzielle Cloudbenutzer dar. Hierin werden auch eine Reihe von Fragen angesprochen, die Cloudkunden in ihrer Rolle als für die Datenverarbeitung Verantwortliche bei der Auswahl eines Anbieters von Clouddiensten berücksichtigen sollten. Hier werden die wichtigsten den Datenschutz betreffenden Fragen sowie die Antworten von Office 365 aufgeführt.
AnzeigenAusblenden
Bietet der Anbieter von Clouddiensten umfassende und einfach verständliche Informationen zu seinen Datenschutz- und Sicherheitspraktiken an einer zentralen Stelle? Enthalten diese Informationen Antworten auf wichtige Fragen wie den folgenden: Wo werden die Daten gespeichert, wer kann unter welchen Umständen auf die Daten zugreifen, und welche Untervertragsnehmer sind in die Datenverarbeitung einbezogen?
Stellungnahme der Artikel 29-Arbeitsgruppe der EU: In Abschnitt 4.1 (erster Abschnitt unter der Überschrift "Einhaltung der grundlegenden Datenschutzgrundsätze" (Compliance with fundamental data protection principles)) gibt die Artikel 29-Arbeitsgruppe Folgendes an: "Cloud-Anbieter sollten die Cloud-Anwender während der Vertragsverhandlungen über alle (datenschutzrechtlich) relevanten Aspekte ihrer Dienste informieren. Die Anwender sollten insbesondere über alle Unterauftragnehmer informiert sein, die zur Bereitstellung des jeweiligen Cloud-Dienstes beitragen und über alle Orte, an denen Daten vom Cloud-Anbieter und/oder seinen Unterauftragnehmern aufbewahrt oder verarbeitet werden können". Abschnitt 3.4.1.1 ("Transparenz") unterstreicht darüber hinaus die Wichtigkeit der Transparenz in der Kundenbeziehung zwischen Clouddienstanbieter und Kunde.
Office 365: Microsoft stellt unmittelbar verfügbare Informationen über seine Datenschutz- und Sicherheitspraktiken im Office 365-Trust Center bereit. Das Office 365 Trust Center enthält Informationen darüber, wo die Daten gespeichert werden, wer und unter welchen Umständen auf die Daten zugreifen kann, und welche Untervertragsnehmer in die Datenverarbeitung einbezogen werden.
AnzeigenAusblenden
Verwendet der Anbieter von Clouddiensten Kundendaten für irgendwelche anderen Zwecke und in irgendeiner anderen Weise als der, die für die Bereitstellung des Diensts erforderlich sind? Wenn ja, für welchen speziellen Zweck? Werden Kundendaten beispielsweise für die Erstellung von Profilen für Werbezwecke oder für beliebige andere kommerzielle Zwecke genutzt? Werden sie in irgendeiner Weise für Dritte offengelegt (außer für Untervertragsnehmer oder im Rahmen von juristisch zwingenden Verfahren)?
Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung). Die Artikel 29-Arbeitsgruppe stellt klar, dass "dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden" dürfen. Darüber hinaus muss im Sinne des Cloud-Anwenders "sichergestellt werden, dass personenbezogene Daten nicht (gesetzeswidrig) für weitere Zwecke von dem Cloud-Anbieter oder von einem seiner Unterauftragnehmer verarbeitet werden".
Office 365: Die Microsoft-Clouddienste für Unternehmen verwenden Kundendaten nur für die Bereitstellung der Dienste. Dies kann die Problembehandlung einschließen, die darauf abzielt, Probleme zu verhindern, zu erkennen und zu beheben, die Auswirkungen auf den Betrieb der Dienste haben, und auf die Verbesserung von Funktionen, die der Erkennung von und dem Schutz vor neu aufkommende und bereits bestehende Bedrohungen dienen (wie Schadsoftware oder Spam). Office 365 verwendet Kundendaten nicht zu Werbezwecken. Wir durchsuchen weder Ihre E-Mails noch Ihre Dokumente, um Analysen zu erstellen, Data Mining zu betreiben, Werbung zu versenden oder den Dienst auf andere Weise zu verbessern.
Microsoft legt Kundendaten nicht gegenüber Dritten offen (einschließlich Strafverfolgungsbehörden, andere Regierungsbehörden oder zivile Prozessführer, jedoch ausschließlich unserer Unterauftragsverarbeiter), es sei denn, wir werden von unserem Kunden dazu aufgefordert oder sind vom Gesetzgeber dazu gezwungen.
AnzeigenAusblenden
Wenn ein Anbieter von Clouddiensten sowohl Dienste für Unternehmen als auch Dienste für den Endkunden anbietet, kombiniert der Anbieter dann die Daten von Unternehmenskunden mit den Daten, die er mithilfe von Privatkundendiensten sammelt? Wenn ja, in welcher Weise und zu welchem Zweck?
Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter).
Antwort von Office 365: Die Microsoft-Cloud-Server für Unternehmen sind physisch und/oder logisch von den Servern für Privatanwender getrennt. Die Daten von Unternehmenskunden, die Daten in den Microsoft-Onlinediensten für Privatanwender und die Daten, die im Zuge von Scanning-, Indizierungs- oder Data Mining-Aktivitäten durch Microsoft erstellt werden oder sich ergeben, werden nicht vermischt, es sei denn, der Kunde hat dem im Voraus zugestimmt.
AnzeigenAusblenden
Durchsucht der Anbieter von Clouddiensten Kundeninhalte wie E-Mails oder Dokumente, oder führt er ein Data Mining durch? Wenn ja, für welchen Zweck?
Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter).
Antwort von Office 365: Microsoft scannt Ihre E-Mails oder Dokumente nicht zu Werbezwecken. Mithilfe der Microsoft-Unternehmensdienste werden Kundendaten gepflegt, gescannt und indiziert, um den vollen Funktionsumfang bereitzustellen, der es dem Kunden ermöglicht, auf Kundendaten zuzugreifen und diese zu organisieren. Auf diese Weise kann der Endbenutzer beispielsweise seine Dokumente und andere Inhalte in Office 365 einfach durchsuchen.
AnzeigenAusblenden
Wenn der Anbieter von Clouddiensten zusätzlich Endbenutzerdienste anbietet, werden dann Unternehmensdaten und Daten, die in diesen Endbenutzerdiensten gesammelt wurden, gemischt?
Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.3 (Technische und organisatorische Maßnahmen des Datenschutzes und der Datensicherheit).
Antwort von Office 365: Der Office 365-Dienst für Unternehmen ist von den Onlinediensten für Privatanwender logisch getrennt. Die Daten von Unternehmenskunden und die Daten von Microsoft-Onlinediensten für Privatanwender werden niemals gemischt, es sei denn, der Kunden hat dem im Voraus zugestimmt.
AnzeigenAusblenden
Verfügt der Anbieter von Clouddiensten über stabile Schutzmechanismen für Datenübertragungen in der Cloud?
Die Artikel 29-Arbeitsgruppe der EU kommt zu dem Schluss, dass es für die traditionellen Mechanismen des Datentransfers in Länder außerhalb des europäischen Wirtschaftsbereichs "Einschränkungen" geben muss, wenn es um die Cloud geht. Die Artikel 29-Arbeitsgruppe bezieht sich insbesondere auf die Safe Harbor-Richtlinien und rät den Kunden von Cloudanbietern, dass die ausschließliche Verpflichtung des Datenimporteurs gemäß den Safe Harbor-Richtlinien für Datentransfers an in den USA ansässige Anbieter möglicherweise nicht ausreichen ist. Die Artikel 29-Arbeitsgruppe erinnert Cloudkunden zudem daran, dass sie verpflichtet sind, sich an alle ggf. gültigen nationalen Gesetze zu halten.
Mit Office 365 wird ein umfassender Auftragsdatenverarbeitungsvertrag (ADV bzw. Data Processing Agreement, DPA) geschlossen, der die EU-Standardvertragsklauseln ebenso wie die Selbstzertifizierung gemäß den Vereinbarungen zwischen dem US-Handelsministerium und der EU ("Safe Harbor") umfasst. Während die EU-Standardvertragsklauseln sich speziell an Kunden aus der EU wenden, ist das DPA ein Auftragsdatenverarbeitungsvertrag, der sich nach den Anforderungen der einzelnen EU-Mitgliedsländer richtet, und wird für alle Kunden bereitgestellt, ungeachtet des Standorts und der Größe. Die Prozesse, die für Office 365 entwickelt wurden, um den EU-Standardvertragsklauseln zu entsprechen, sind nicht auf EU-Kunden beschränkt, sondern gelten für alle Kunden.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}