Die wichtigsten Fragen zum Datenschutz, die ein Kunde seinem Anbieter von Clouddiensten stellen sollte

Microsoft Office 365 stellt allen Office 365-Kunden die wesentlichen Datenschutzfunktionen bereit. Hier erfahren Sie, um welche Datenschutzfunktionen es geht und wie diese die hohen Datenschutz-Standards der EU erfüllen. Am 1. Juli 2012 hat die Artikel-29-Arbeitsgruppe der EU (bestehend aus Mitgliedern der nationalen Datenschutzbehörden der EU) die Stellungnahme 05/2012 zum Cloud Computing verabschiedet. Darin hebt die Artikel-29-Arbeitsgruppe die Vorteile des Cloud Computing hervor, einschließlich der verbesserten Effizienz und der höheren Sicherheit. Dabei wird betont, wie wichtig es ist, einen Anbieter von Clouddiensten zu wählen, der seine Datenschutzpraktiken transparent macht und die Schutzwürdigkeit von Kundendaten respektiert.

Die Stellungnahme der Artikel-29-Arbeitsgruppe der EU stellt einen Leitfaden für aktuelle und potenzielle Cloudnutzer dar. Es werden eine Reihe von Fragen angesprochen, die Cloudkunden in ihrer Rolle als Datenverantwortlicher berücksichtigen sollten, wenn sie einen Anbieter von Clouddiensten wählen. Lesen Sie hier die wichtigsten Fragen zum Datenschutz und wie diese in Office 365 umgesetzt werden.

 
 
Alle anzeigen

Stellungnahme der Artikel-29-Arbeitsgruppe der EU: In Abschnitt 4.1 (erster Abschnitt unter der Überschrift "Einhaltung der grundlegenden Datenschutzgrundsätze" führt die Arbeitsgruppe Folgendes aus: "Cloud-Anbieter sollten die Cloud-Anwender während der Vertragsverhandlungen über alle (datenschutzrechtlich) relevanten Aspekte ihrer Dienste informieren. Die Anwender sollten insbesondere über alle Unterauftragnehmer informiert sein, die zur Bereitstellung des jeweiligen Cloud-Dienstes beitragen und über alle Orte, an denen Daten vom Cloud-Anbieter und/oder seinen Unterauftragnehmern aufbewahrt oder verarbeitet werden können". Abschnitt 3.4.1.1 ("Transparenz") unterstreicht darüber hinaus die Wichtigkeit der Transparenz in der Kundenbeziehung zwischen Clouddienstanbieter und Kunde.

Office 365: Microsoft stellt leicht zugängliche Informationen über seine Datenschutz- und Sicherheitspraktiken im Office 365 Trust Center bereit. Das Office 365 Trust Center enthält Informationen darüber, wo die Daten gespeichert werden, wer und unter welchen Umständen auf die Daten zugreifen darf, und welche Unterauftragnehmer an der Datenverarbeitung beteiligt sind.

Stellungnahme der Artikel-29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung). Die Arbeitsgruppe stellt klar, dass "dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden" dürfen. Darüber hinaus muss im Sinne des Cloud-Anwenders "sichergestellt werden, dass personenbezogene Daten nicht (gesetzeswidrig) für weitere Zwecke von dem Cloud-Anbieter oder von einem seiner Unterauftragnehmer verarbeitet werden".

Office 365: Die Microsoft-Clouddienste für Unternehmen verwenden Kundendaten nur für die Bereitstellung der Dienste. Dies kann die Verhinderung, Erkennung und Behebung von Problemen einschließen, die Auswirkungen auf den Betrieb der Dienste haben, sowie die Verbesserung von Funktionen, die der Erkennung und dem Schutz vor neuen Bedrohungen dienen (wie Schadsoftware oder Spam). Office 365 verwendet Kundendaten nicht zu Werbezwecken. Wir scannen keine E-Mails und keine Dokumente, weder für Analysen, Data Mining und Werbezwecke noch für anderweitige Veränderungen des Diensts.

Microsoft legt Kundendaten nicht gegenüber Dritten offen (einschließlich Strafverfolgungsbehörden, anderen Regierungsbehörden oder Parteien in einem Zivilprozess, jedoch ausgenommen unserer Unterauftragnehmer), es sei denn, wir werden von unserem Kunden dazu aufgefordert oder sind gesetzlich dazu verpflichtet.

Stellungnahme der Artikel-29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter).

Office 365: Die Microsoft-Cloud-Server für Unternehmen sind physisch und/oder logisch von den Servern für Privatanwender getrennt. Die Daten von Unternehmenskunden, Privatanwendern der Microsoft-Onlinedienste und die durch Scanning, Indizierung oder Data Mining gesammelten Daten werden nicht vermischt, es sei denn, der Kunde hat dem im Voraus zugestimmt.

Stellungnahme der Artikel-29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter).

Office 365: Microsoft scannt Ihre E-Mails oder Dokumente nicht zu Werbezwecken. Mithilfe der Microsoft-Unternehmensdienste werden Kundendaten gepflegt, gescannt und indiziert, um den vollen Funktionsumfang bereitzustellen, der es dem Kunden ermöglicht, auf Kundendaten zuzugreifen und diese zu organisieren. Auf diese Weise kann der Endbenutzer beispielsweise seine Dokumente und andere Inhalte in Office 365 einfach durchsuchen.

Stellungnahme der Artikel-29-Arbeitsgruppe der EU: Abschnitt 3.4.3 (Technische und organisatorische Maßnahmen des Datenschutzes und der Datensicherheit).

Office 365: Der Office 365-Dienst für Unternehmen ist von den Onlinediensten für Privatanwender logisch getrennt. Die Daten von Unternehmenskunden und die Daten von Privatanwendern der Microsoft-Onlinedienste werden niemals gemischt, es sei denn, der Kunden hat dem im Voraus zugestimmt.

Die Artikel-29-Arbeitsgruppe der EU kommt zu dem Schluss, dass es für die traditionellen Mechanismen des Datentransfers in Länder außerhalb des Europäischen Wirtschaftsraums "Einschränkungen" geben muss, wenn es um die Cloud geht. Die Arbeitsgruppe bezieht sich insbesondere auf die Safe-Harbor-Richtlinien und rät den Kunden bei der Übermittlung von Daten an US-Cloudanbieter, "sich nicht nur auf die Erklärung des Datenimporteurs zu verlassen, dass er eine Safe-Harbor-Zertifizierung hat". Die Artikel-29-Arbeitsgruppe erinnert Cloudkunden zudem daran, dass sie verpflichtet sind, sich an alle geltenden nationalen Gesetze zu halten.

Mit Office 365 wird ein umfassender Vertrag zur Auftragsdatenverarbeitung (ADV) geschlossen, der die EU-Standardvertragsklauseln ebenso wie die Selbstzertifizierung gemäß dem Safe-Harbor-Abkommen zwischen den USA und der EU umfasst. Während die EU-Standardvertragsklauseln den Kunden in der EU angeboten werden, umfasst der ADV-Vertrag die wirksamsten Datenschutzpraktiken der einzelnen Mitgliedsländer. Er wird ungeachtet des Standorts und der Größe allen Kunden zur Verfügung gestellt. Die Prozesse, die in Office 365 zur Einhaltung der EU-Standardvertragsklauseln entwickelt wurden, sind nicht auf EU-Kunden beschränkt, sondern stehen allen Kunden zur Verfügung.