Die wichtigsten den Datenschutz betreffenden Fragen, die ein Kunde seinem Anbieter von Clouddiensten stellen sollte

Microsoft Office 365 stellt für alle Office 365-Kunden die wesentlichen Datenschutzfunktionen bereit. In diesem Abschnitt werden die Datenschutzfunktionen beschrieben, und es wird gezeigt, dass sie den hohen Standards für den Datenschutz entsprechen, die von den EU-Behörden festgelegt wurden. Am 1. Juli 2012 hat die Artikel 29-Arbeitsgruppe der EU (eine Gruppe, die sich aus Mitgliedern der nationalen Datenschutzbehörden der EU zusammensetzt), die Stellungnahme 05/2012 zum Cloud Computing beschlossen. Die Stellungnahme zum Cloud Computing hebt die Vorteile von Cloud Computing hervor, einschließlich der verbesserten Effizienz und der höheren Sicherheit. In ihrer Stellungnahme betont die Artikel 29-Arbeitsgruppe der EU, wie wichtig es ist, einen Anbieter von Clouddiensten auszuwählen, der seine Datenschutzpraktiken transparent macht und die Schutzwürdigkeit von Kundendaten respektiert.

Die Stellungnahme der Artikel 29-Arbeitsgruppe der EU stellt einen Leitfaden für aktuelle und potenzielle Cloudbenutzer dar. Hierin werden auch eine Reihe von Fragen angesprochen, die Cloudkunden in ihrer Rolle als für die Datenverarbeitung Verantwortliche bei der Auswahl eines Anbieters von Clouddiensten berücksichtigen sollten. Hier werden die wichtigsten den Datenschutz betreffenden Fragen sowie die Antworten von Office 365 aufgeführt.

Alle anzeigen

Stellungnahme der Artikel 29-Arbeitsgruppe der EU: In Abschnitt 4.1 (erster Abschnitt unter der Überschrift "Einhaltung der grundlegenden Datenschutzgrundsätze" (Compliance with fundamental data protection principles)) gibt die Artikel 29-Arbeitsgruppe Folgendes an: "Cloud-Anbieter sollten die Cloud-Anwender während der Vertragsverhandlungen über alle (datenschutzrechtlich) relevanten Aspekte ihrer Dienste informieren. Die Anwender sollten insbesondere über alle Unterauftragnehmer informiert sein, die zur Bereitstellung des jeweiligen Cloud-Dienstes beitragen und über alle Orte, an denen Daten vom Cloud-Anbieter und/oder seinen Unterauftragnehmern aufbewahrt oder verarbeitet werden können". Abschnitt 3.4.1.1 ("Transparenz") unterstreicht darüber hinaus die Wichtigkeit der Transparenz in der Kundenbeziehung zwischen Clouddienstanbieter und Kunde.

Office 365: Microsoft stellt unmittelbar verfügbare Informationen über seine Datenschutz- und Sicherheitspraktiken im Office 365 Trust Center bereit. Das Office 365 Trust Center enthält Informationen darüber, wo die Daten gespeichert werden, wer und unter welchen Umständen auf die Daten zugreifen kann, und welche Untervertragsnehmer in die Datenverarbeitung einbezogen werden.

Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung). Die Artikel 29-Arbeitsgruppe stellt klar, dass "dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden" dürfen. Darüber hinaus muss im Sinne des Cloud-Anwenders "sichergestellt werden, dass personenbezogene Daten nicht (gesetzeswidrig) für weitere Zwecke von dem Cloud-Anbieter oder von einem seiner Unterauftragnehmer verarbeitet werden".

Office 365: Die Microsoft-Clouddienste für Unternehmen verwenden Kundendaten nur für die Bereitstellung der Dienste. Dies kann die Problembehandlung einschließen, die darauf abzielt, Probleme zu verhindern, zu erkennen und zu beheben, die Auswirkungen auf den Betrieb der Dienste haben, und auf die Verbesserung von Funktionen, die der Erkennung von und dem Schutz vor neu aufkommende und bereits bestehende Bedrohungen dienen (wie Schadsoftware oder Spam). Office 365 verwendet Kundendaten nicht zu Werbezwecken. Wir durchsuchen weder Ihre E-Mails noch Ihre Dokumente, um Analysen zu erstellen, Data Mining zu betreiben, Werbung zu versenden oder den Dienst auf andere Weise zu verbessern.

Microsoft legt Kundendaten nicht gegenüber Dritten offen (einschließlich Strafverfolgungsbehörden, andere Regierungsbehörden oder zivile Prozessführer, jedoch ausschließlich unserer Unterauftragsverarbeiter), es sei denn, wir werden von unserem Kunden dazu aufgefordert oder sind vom Gesetzgeber dazu gezwungen.

Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter).

Antwort von Office 365: Die Microsoft-Cloud-Server für Unternehmen sind physisch und/oder logisch von den Servern für Privatanwender getrennt. Die Daten von Unternehmenskunden, die Daten in den Microsoft-Onlinediensten für Privatanwender und die Daten, die im Zuge von Scanning-, Indizierungs- oder Data Mining-Aktivitäten durch Microsoft erstellt werden oder sich ergeben, werden nicht vermischt, es sei denn, der Kunde hat dem im Voraus zugestimmt.

Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter).

Antwort von Office 365: Microsoft scannt Ihre E-Mails oder Dokumente nicht zu Werbezwecken. Mithilfe der Microsoft-Unternehmensdienste werden Kundendaten gepflegt, gescannt und indiziert, um den vollen Funktionsumfang bereitzustellen, der es dem Kunden ermöglicht, auf Kundendaten zuzugreifen und diese zu organisieren. Auf diese Weise kann der Endbenutzer beispielsweise seine Dokumente und andere Inhalte in Office 365 einfach durchsuchen.

Stellungnahme der Artikel 29-Arbeitsgruppe der EU: Abschnitt 3.4.3 (Technische und organisatorische Maßnahmen des Datenschutzes und der Datensicherheit).

Antwort von Office 365: Der Office 365-Dienst für Unternehmen ist von den Onlinediensten für Privatanwender logisch getrennt. Die Daten von Unternehmenskunden und die Daten von Microsoft-Onlinediensten für Privatanwender werden niemals gemischt, es sei denn, der Kunden hat dem im Voraus zugestimmt.

Die Artikel 29-Arbeitsgruppe der EU kommt zu dem Schluss, dass es für die traditionellen Mechanismen des Datentransfers in Länder außerhalb des europäischen Wirtschaftsbereichs "Einschränkungen" geben muss, wenn es um die Cloud geht. Die Artikel 29-Arbeitsgruppe bezieht sich insbesondere auf die Safe Harbor-Richtlinien und rät den Kunden von Cloudanbietern, dass die ausschließliche Verpflichtung des Datenimporteurs gemäß den Safe Harbor-Richtlinien für Datentransfers an in den USA ansässige Anbieter möglicherweise nicht ausreichen ist. Die Artikel 29-Arbeitsgruppe erinnert Cloudkunden zudem daran, dass sie verpflichtet sind, sich an alle ggf. gültigen nationalen Gesetze zu halten.

Mit Office 365 wird ein umfassender Auftragsdatenverarbeitungsvertrag (ADV bzw. Data Processing Agreement, DPA) geschlossen, der die EU-Standardvertragsklauseln ebenso wie die Selbstzertifizierung gemäß den Vereinbarungen zwischen dem US-Handelsministerium und der EU ("Safe Harbor") umfasst. Während die EU-Standardvertragsklauseln sich speziell an Kunden aus der EU wenden, ist das DPA ein Auftragsdatenverarbeitungsvertrag, der sich nach den Anforderungen der einzelnen EU-Mitgliedsländer richtet, und wird für alle Kunden bereitgestellt, ungeachtet des Standorts und der Größe. Die Prozesse, die für Office 365 entwickelt wurden, um den EU-Standardvertragsklauseln zu entsprechen, sind nicht auf EU-Kunden beschränkt, sondern gelten für alle Kunden.

Was this information helpful?

Great! Any other feedback?

How can we improve it?


To protect your privacy, please do not include contact information in your feedback. Review our privacy policy.

×