Die wichtigsten Fragen und Infos

Kunden benötigen eine sofort verfügbare Produktivitätslösung, die sicher und vertrauenswürdig ist. Wir zeigen Ihnen, woran Sie eine geeignete Produktivitätslösung in der Cloud erkennen und einen Cloudanbieter wählen, der all Ihre Sicherheitsanforderungen erfüllt. Um Ihnen eine fundierte Entscheidung zu ermöglichen, haben wir außerdem die wichtigsten Überlegungen zu Sicherheit und Datenschutz zusammengefasst.

Mithilfe dieser drei Listen sparen Sie Zeit und treffen eine sichere Entscheidung.

 
Alle anzeigen

1. Wem gehören die Daten, die wir in dem Dienst speichern? Werden unsere Daten für die Entwicklung von Werbeprodukten verwendet?

Als Kunde von Office 365 haben Sie als Besitzer Ihre Daten immer unter Kontrolle. Wir verwenden Ihre Daten für keine anderen Zwecke als für die Bereitstellung des Diensts, den Sie abonniert haben. Als Dienstanbieter scannen wir Ihre E-Mails oder Dokumente auch nicht zu Werbezwecken. Weitere Informationen finden Sie unter Wie wir Ihre Daten verwenden im Office 365 Trust Center.

2. Werden für den Dienst Datenschutzmechanismen angeboten?

Datenschutzmechanismen werden standardmäßig für alle Kunden des Diensts aktiviert. Sie entscheiden, welche Funktionen Sie entsprechend den Anforderungen Ihrer Organisation ein- oder ausschalten möchten. Mit unserer Vereinbarung zur Auftragsdatenverarbeitung (ADV) verpflichten wir uns zur Einhaltung der datenschutzrechtlichen Vorschriften.

3. Können wir sehen, wo unsere Daten im Dienst gespeichert werden?

Wir sind absolut transparent, was den Speicherort Ihrer Daten betrifft. Weitere Informationen finden Sie unter Wo befinden sich meine Daten? im Office 365 Trust Center.

4. Welcher Sicherheitsansatz wird verfolgt, und welche Sicherheitsfunktionen schützen den Dienst vor externen Angriffen?

Sicherheit gehört zu den wichtigsten Entwurfsprinzipien und Funktionen von Office 365. Im Mittelpunkt stehen die Sicherheit von Hardware und Software, die physische Sicherheit unserer Rechenzentren, Richtlinien und Kontrollmechanismen sowie die regelmäßige Überprüfung durch unabhängige Prüfstellen.

Wir unterscheiden zwei Arten von Sicherheitsfunktionen: 1) integrierte Sicherheit und 2) Kontrollfunktionen für Kunden. Die integrierte Sicherheit umfasst sämtliche Maßnahmen, die Microsoft für alle Office 365-Kunden ergreift, um Kundendaten zu schützen und einen hochgradig verfügbaren Dienst bereitzustellen. Die Kontrollfunktionen für Kunden machen es möglich, Office 365 individuell auf die Anforderungen einer Organisation abzustimmen. Einzelheiten zu beiden Arten von Sicherheitsfunktionen finden Sie im Abschnitt Sicherheit im Office 365 Trust Center.

5. Können wir unsere Daten jederzeit aus dem Dienst abrufen?

Ihre Daten gehören Ihnen, und Sie behalten sämtliche Rechte, Eigentums- und Nutzungsansprüche an den Daten, die Sie in Office 365 speichern. Während der Laufzeit Ihres Abonnements und bis 90 Tage nach Ablauf können Sie jederzeit und aus beliebigen Gründen eine Kopie all Ihrer Daten herunterladen, und zwar ohne jede Unterstützung seitens Microsoft. Weitere Informationen finden Sie unter Ihre Daten gehören Ihnen im Office 365 Trust Center.

6. Werden wir über Änderungen am Dienst informiert, und erfahren wir, wenn unsere Daten manipuliert wurden?

Wir informieren Sie über alle wichtigen Änderungen im Hinblick auf Sicherheit, Datenschutz und Compliance. Darüber hinaus werden Sie umgehend informiert, wenn ein nicht autorisierter Zugriff auf Ihre Daten stattgefunden hat.

7. Erfolgen die Nutzung und der Zugriff auf unsere Daten transparent?

Wir teilen Ihnen wichtige Aspekte der Datenspeicherung mit. So erfahren Sie, an welchem geografischen Speicherort sich Ihre Daten befinden, welcher Microsoft-Mitarbeiter darauf zugreifen darf und wie Ihre Daten intern verarbeitet werden. Weitere Informationen finden Sie unter Wer kann auf Ihre Daten zugreifen? im Office 365 Trust Center.

Wir vertreten beim Thema Datenzugriff folgende Position:
Sie haben jederzeit Zugriff auf Ihre Kundendaten. Der Zugriff wird streng kontrolliert und protokolliert, und seitens Microsoft und von Dritten werden Audits durchgeführt, um zu attestieren, dass der Zugriff nur zu den geeigneten geschäftlichen Zwecken erfolgt. Wir sind uns der besonderen Wichtigkeit der Inhalte unserer Kunden bewusst. Wenn z. B. ein Microsoft-Mitarbeiter, ein Partner oder einer Ihrer Administratoren auf Inhalte im Dienst zugreift, können wir Ihnen auf Anfrage einen Bericht zu diesem Zugriff bereitstellen.

8. Welche Verpflichtungen hat Microsoft im Hinblick auf Sicherheit und Datenschutz?

Im Rahmen von Office 365 erklären wir uns bereit, mit jedem Kunden eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) zu schließen. Diese umfasst auch eine HIPAA-Geschäftspartnervereinbarung und EU-Standardvertragsklauseln. Darüber hinaus werden Standards wie ISO 27001, ISO 27018, FISMA und FedRAMP eingehalten. Weitere Informationen finden Sie im Abschnitt Unabhängige Prüfungen im Office 365 Trust Center.

9. Wie wird die Zuverlässigkeit des Diensts sichergestellt?

Bei Konzeption und Betrieb setzen wir auf bewährte Verfahren wie Redundanz, Ausfallsicherheit, verteilte Dienste und Überwachung, um nur einige zu nennen. Wir haben kürzlich damit begonnen, Quartalszahlen zur aktiven Betriebszeit des Diensts zu veröffentlichen. Weitere Informationen finden Sie unter Transparente Vorgänge im Office 365 Trust Center.

10. Welche Verpflichtungen hat Microsoft im Hinblick auf die kontinuierliche Verfügbarkeit meines Diensts?

Wir bieten eine Hochverfügbarkeit von 99,9 % für unsere Dienste. Wenn die aktive Betriebszeit bei einem Kunden im Monat unter 99,9 % liegt, wird der entsprechende Kunde von uns mit einer Gutschrift auf die Gebühren entschädigt.

Weitere Informationen sowie Nachweise, wie Microsoft Office 365 den Kunden zu den vorstehenden Fragen Gewissheit gibt, finden Sie im Office 365 Trust Center.

1. Wir beschränken den physischen Zugriff im Rechenzentrum auf autorisierte Mitarbeiter und haben mehrere physische Sicherungsebenen implementiert, wie biometrische Lesegeräte, Bewegungsmelder, Zugangskontrollen rund um die Uhr, Überwachung per Videokamera und Alarm bei Sicherheitsverletzungen.

2. Wir ermöglichen die Verschlüsselung von gespeicherten Daten und von Daten, die über das Netzwerk zwischen dem Rechenzentrum und einem Benutzer übertragen werden.

3. Wir durchsuchen Ihre Daten nicht für Werbezwecke bzw. greifen nicht für Werbezwecke auf Ihre Daten zu.

4. Wir verwenden Kundendaten nur für die Bereitstellung des Diensts. Wir greifen ohne Ihre Zustimmung nicht anderweitig auf Ihr Postfach zu.

5. Wir führen regelmäßige Sicherungen Ihrer Daten durch.

6. Wir löschen die Daten in Ihrem Konto am Ende des Bereitstellungszeitraums des Diensts erst, wenn Sie die Zeit gefunden haben, die von uns gebotene Datenportabilität zu nutzen.

7. Ihre Kundendaten werden von uns standortnah gehostet. Momentan betreiben wir für Kunden in Europa Rechenzentren in Dublin, Irland, und Amsterdam, Niederlande.

8. Wir erzwingen "starke" Kennwörter, um die Sicherheit Ihrer Daten zu erhöhen.

9. Sie entscheiden, welche Funktionen mit Auswirkungen auf den Datenschutz Sie entsprechend den Anforderungen Ihrer Organisation nutzen möchten.

10. Mit den Bestimmungen zur Auftragsdatenverarbeitung (ADV) in Ihrem Volumenlizenzvertrag verpflichten wir uns zur Einhaltung der hier gegebenen Versprechen. Weitere Informationen finden Sie unter Unabhängige Überprüfung im Office 365 Trust Center.

1. HIPAA (Health Insurance Portability and Accountability Act):

HIPAA stellt an die ggf. betroffenen Kundenunternehmen Sicherheitsanforderungen in Bezug auf die Verarbeitung elektronisch gespeicherter Patientendaten. Microsoft stellt Office 365 mit physischen, administrativen und technischen Sicherheitsvorkehrungen zur Verfügung, die es unseren Kunden erleichtern, die HIPAA-Anforderungen umfassend zu erfüllen. Mit jedem Kunden wird eine HIPAA-Geschäftspartnervereinbarung unterzeichnet. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu HIPAA/HITECH (in Englisch).

2. Bestimmungen zur Auftragsdatenverarbeitung (ADV):

Wir bieten Kunden zusätzliche, vertragliche Sicherheiten durch ADVs, die die Verarbeitung und Sicherheit von Kundendaten durch Microsoft regeln. Entsprechend den Bestimmungen verpflichten wir uns zur Einhaltung von über 40 spezifischen Datensicherheitsanforderungen unterschiedlicher Länder weltweit. Wir verpflichten uns gegenüber allen Kunden zur Einhaltung der Bestimmungen der ADV-Vereinbarung.

3. FISMA (Federal Information Security Management Act)

erfordert, dass US-Regierungsbehörden Kontrollmechanismen entwickeln, dokumentieren und implementieren, um ihre Daten und Informationssysteme zu schützen. FedRAMP (Federal Risk and Authorization Program) ist ein Risikomanagementprogramm für Behörden, mit dem ein standardisierter Ansatz für die Bewertung und Überwachung der Sicherheit von Cloudprodukten und -diensten bereitsteht. Informationen dazu, wie der Office 365-Dienst Sicherheits- und Datenschutzprozesse für FedRAMP/FISMA einhält, finden Sie unter Häufig gestellte Fragen zu FedRAMP/FISMA (in Englisch).

4. ISO 27001:

ISO 27001:2013 ist einer der besten Sicherheitsbenchmarks der Welt. Zahlreiche Produkte in Office 365 erfüllen nachweislich die strengen physischen und logischen Kontrollanforderungen zum Schutz von Prozessen und Verwaltung, die von ISO 27001:2013 definiert werden. Dies schließt auch die Datenschutzkontrollen nach ISO 27018 ein, wie im jüngsten Audit bestätigt wurde. Mit der Aufnahme dieser neuen ISO 27018-Kontrollen in die ISO-Überprüfung wurde bestätigt, dass Office 365 seine Kunden zuverlässig vor der unzulässigen Offenlegung von Kundendaten schützen kann.

5. EU-Standardvertragsklauseln:

Gemäß der EU-Datenschutzrichtlinie, einem wichtigen Instrument der EU zur Durchsetzung von Datenschutz und Menschenrechten, müssen unsere Kunden in der EU den Transfer personenbezogener Daten in Länder außerhalb der EU legitimieren. Die EU-Standardvertragsklauseln gelten als die bevorzugte Methode zur Legitimierung des Transfers personenbezogener Daten in Cloudcomputing-Umgebungen außerhalb der EU. Das Angebot eines Vertragsschlusses unter den EU-Standardvertragsklauseln setzt Investitionen und die Entwicklung operativer Kontrollen und Prozesse voraus, um die hohen Anforderungen der EU-Standardvertragsklauseln zu erfüllen. Wenn ein Anbieter von Clouddiensten nicht willens ist, EU-Standardvertragsklauseln abzuschließen, kann der Kunde nicht darauf zu vertrauen, dass der Anbieter die EU-Datenschutzrichtlinie zum Transfer personenbezogener Daten aus der EU in Länder erfüllt, deren Rechtsordnung keinen "adäquaten Schutz" personenbezogener Daten bietet. Unter Häufig gestellte Fragen zu den EU-Standardvertragsklauseln wird der vom Gesetzgeber gebilligte Ansatz von Microsoft für EU-Standardvertragsklauseln erörtert.

6. ISO 27018:

Microsoft wurde als erster großer Anbieter von Cloudlösungen von unabhängiger Stelle nach Standard ISO 27018 verifiziert. In diesem Standard wird ein einheitlicher, internationaler Ansatz für den Schutz personenbezogener Daten in der Cloud festgelegt. Unsere Konformität mit ISO 27018 bedeutet, dass wir personenbezogene Daten nur gemäß den Anweisungen des Kunden verarbeiten, Transparenz hinsichtlich der Verwendung der Kundendaten walten lassen, strikte Schutzmechanismen für personenbezogene Daten in unserer Cloud bereitstellen, Kundendaten nicht zu Werbezwecken verwenden und unsere Kunden über Zugriffe von Behörden auf ihre Daten informieren.

7. Statement on Standards for Attestation Engagements No. 16 (SSAE 16):

Office 365 wurde von unabhängigen Dritten geprüft. Es können Berichte gemäß SSAE16 SOC 1 Typ I und Typ II sowie SOC 2 Typ II dazu vorgelegt werden, wie Kontrollmechanismen im Dienst implementiert werden.

8. HITRUST (Health Information Trust Alliance):

Das Office 365-Team hat gemeinsam mit einem unabhängigen Sachverständigen ein Gutachten zur Bewertung unserer Konformität mit HITRUST erstellt. HITRUST hat das CSF (Common Security Framework) geschaffen, ein zertifizierbares System, das von jeglichen Organisationen verwendet werden kann, die persönliche Patienten- und Finanzdaten erstellen, speichern, austauschen oder abrufen. Das HITRUST CSF gilt bei US-amerikanischen Organisationen aus dem Gesundheitswesen als wichtiger Standard.

Weitere Informationen zur Compliance in Office 365 finden Sie im Dokument Compliance Framework für Onlinedienste (in Englisch).