Der heutige Tag markiert einen weiteren wichtigen Meilenstein: Microsoft übernimmt als erster der führenden Anbieter von Cloud-Diensten den weltweit ersten internationalen Standard für Datenschutz in der Cloud. Dies ist ein weiterer Grund dafür, dass Kunden voller Vertrauen in die Microsoft Cloud wechseln können.
Dieser Standard mag technisch ausgelegt sein, ist gleichzeitig für Unternehmenskunden auf der ganzen Welt mit wichtigen praktischen Vorteilen verbunden. Bekannt unter der Bezeichnung ISO/IEC 27018 wurde der Standard von der International Organization for Standardization (ISO) mit dem Ziel entwickelt, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen.
Das British Standards Institute (BSI) hat nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice“ des Standards zum Schutz von personenbezogenen Daten (Personally Identifiable Information, PII) in Public Clouds entsprechen. Zudem wurde dieser Test für Microsoft Intune vom Bureau Veritas durchgeführt.
Warum ist das von Bedeutung?
Dafür gibt es mehrere Gründe. Unternehmenskunden erhalten durch die Übernahme von ISO 27018 Gewissheit, dass der Datenschutz auf unterschiedliche Weise gewährleistet wird:
- Sie behalten die Kontrolle über Ihre Daten. Mit der Einhaltung des Standards stellen wir sicher, dass wir personenbezogene Daten ausschließlich entsprechend den Anweisungen verarbeiten, die Sie uns als unser Kunde gegeben haben.
- Sie wissen, was mit Ihren Daten geschieht. Die Einhaltung des Standards gewährleistet Transparenz bei unseren Richtlinien bezüglich Rückgabe, Übermittlung und Vernichtung von personenbezogenen Daten, die Sie in unseren Rechenzentren speichern.Wir teilen Ihnen nicht nur mit, wo sich Ihre Daten befinden, sondern auch, mit welchen Firmen wir gegebenenfalls zusammenarbeiten, falls diese Firmen Zugriff auf Ihre Daten benötigen. Außerdem werden Sie informiert, falls es zu unerlaubten Zugriffen auf personenbezogene Daten oder auf die Verarbeitungseinheit oder die Anlagen kommt, die zu Verlust, Offenlegung oder Änderung dieser Daten führen.
- Wir sorgen für einen wirksamen Schutz Ihrer Daten. Mit der Einhaltung von ISO 27018 sind eine Reihe wichtiger Sicherheitsmaßnahmen gewährleistet. So wird sichergestellt, dass wir als Provider genau definierten Beschränkungen im Hinblick auf die Handhabung personenbezogener Daten unterliegen. Das sind unter anderem Beschränkungen bei der Datenübertragung über öffentliche Netze, bei der Speicherung auf transportablen Medien sowie bei geeigneten Prozessen für die Datensicherung und -wiederherstellung. Außerdem legt der Standard fest, dass sämtliche Personen, die mit der Verarbeitung personenbezogener Daten betraut werden – also auch unsere Mitarbeiter –, eine Geheimhaltungsverpflichtung eingehen müssen.
- Ihre Daten werden nicht für Werbezwecke genutzt. Von Unternehmenskunden werden zunehmend Befürchtungen geäußert, dass Anbieter von Cloud-Diensten ihre Daten ohne vorherige Zustimmung zu Werbezwecken nutzen. Mit der Übernahme dieses Standards wird noch einmal unsere langjährige Verpflichtung bekräftigt, Daten von Unternehmenskunden nicht für Werbezwecke zu verwenden.
- Wir informieren Sie über Zugang von Behörden auf Ihre Daten. Durch den Standard wird vorgeschrieben, dass Sie als Unternehmenskunde darüber informiert werden müssen, falls durch Ermittlungsbehörden die Herausgabe personenbezogener Daten gefordert wird – es sei denn, diese Information ist rechtlich untersagt. Wir folgen diesem Ansatz (und weitergehenden Ansätzen) bereits seit langem, und unsere Übernahme des Standards bestätigt noch einmal unsere diesbezügliche Verpflichtung.
Alle diese Verpflichtungen sind vor dem Hintergrund des aktuellen rechtlichen Umfelds, in dem Unternehmenskunden zunehmend eigene Datenschutzverpflichtungen einhalten müssen, von noch größerer Bedeutung. Wir sind optimistisch, dass ISO 27018 als gute Vorlage sowohl für Regulierungsbehörden als auch für Kunden dienen kann, wenn es um die Gewährleistung eines wirksamen Datenschutzes über Ländergrenzen und vertikale Branchensektoren hinweg geht.
Diese Mitteilung von heute ist ein weiterer Baustein in unserem Engagement zur Stärkung des Datenschutzes und zur Einhaltung von „Compliance“ Vorschriften für unsere Kunden in der Cloud. Bereits im letzten Frühjahr erhielten wir die Bestätigung der europäischen Datenschutzbehörden, dass die von Microsoft angebotenen Verträge für Cloud-Unternehmenskunden den „Model Clauses“ (Standardvertragsklauseln) des EU-Datenschutzrechts zur internationalen Datenübertragung entsprechen. Und letzten Herbst hat Microsoft als eines der ersten Unternehmen den „Student Privacy Pledge“ unterzeichnet, eine gemeinsam vom „Future of Privacy Forum and the Software & Information Industry Association“ entwickelte Verpflichtung, allgemeine Grundprinzipien für den Datenschutz bei Schülern und Studenten aufzustellen.
Wie wir bereits betont haben, nutzen Kunden nur solche Services, denen sie auch vertrauen. Die Tatsache, dass wir uns diesem Standard verpflichten, ist ein weiterer Beweis für unser dauerhaftes Engagement in Sachen Online-Datenschutz unserer Kunden.
Mit der Microsoft Cloud behalten Sie die Kontrolle.
Posted by Brad Smith
Executive Vice President and General Counsel, Microsoft Corporation
(Hinweis: Zum englischen Blog Post von Brad Smith "Microsoft adopts first international cloud privacy standard" gelangen Sie hier)