FernwartungKundenportalNoch Fragen?

Rechtliches, Sicherheit und Datenschutz

Gerade bei Cloud-Produkten gibt es Bedenken beim Datenschutz und auch die Gesetzeslage ist kompliziert. Ist die Cloud mit den europäischen Datenschutzgesetzen vereinbar? Diese und weitere Fragen möchten wir im Folgenden beantworten.

Wer hat Zugriff auf meine Daten?

Microsoft Cloud Dienste werden für europäische Kunden aus zwei Rechenzentren in Europa bereitgestellt. Konkret befinden sich die Rechenzentren in Amsterdam und in Dublin. Das bedeutet, dass diese Rechenzentren den europäischen Datenschutzgesetzen unterliegen. Die Rechenzentren sind so konzipiert, dass sie gegenseitig als Backup fungieren. Das wiederum bedeutet, dass die Daten der Kunden auch bei einer Störung den europäischen Rechtsraum nicht verlassen.

Die Einhaltung jener Rechtsvorschriften wird regelmäßig durch unabhängige Testinstitute überprüft und zertifiziert. Die von Microsoft angebotenen Cloud-Dienste sind die ersten, die die neue ISO 27018 einhalten. Die im August 2014 verabschiedete Norm formuliert die Regulierung zur Verarbeitung von personenbezogenen Daten in der Cloud. Als personenbezogene Daten gelten alle Informationen, die etwas über eine natürliche Person aussagen.

Microsoft legt großen Wert darauf, dass Daten, die in den eigenen Rechenzentren verarbeitet werden, nicht Eigentum von Microsoft sind, sondern im Besitz des jeweiligen Kunden bleiben. Das bedeutet, dass Microsoft nur Daten im Auftrag seiner Kunden verarbeitet. Damit darf Microsoft auch nicht über die Daten verfügen und sie an unbefugte Dritte weitergeben.

Wie wird verhindert, das Dritte in den Besitz der Daten gelangen?

Ein Team von Experten simuliert permanent Angriffe auf die Rechenzentren. Dadurch wird versucht, eventuelle Sicherheitslücken aufzudecken und entsprechende Gegenmaßnahmen zu ergreifen. Selbstverständlich werden die Rechenzentren rund um die Uhr überwacht und vor unbefugtem Zutritt geschützt. Beispielsweise durch entsprechende Sicherheitsmaßnahmen wie Fingerabdruck- und Iris-Scanner.

Als Kunde ist darauf zu achten, dass mit Microsoft ein entsprechender Vertrag zur Auftragsdatenverarbeitung abgeschlossen wird. Diese Verträge werden standardisiert und vorausgefüllt zum Download angeboten. Alles was Sie als Kunde tun müssen, ist diesen Vertrag zu unterschreiben und an Microsoft zurück zu senden.

Wie sieht es mit dem aktuellen Urteil des Europäischen Gerichtshofes aus?

Schließlich ist Microsoft ein amerikanisches Unternehmen und direkt von der Entscheidung betroffen!

Der Europäische Gerichtshof hat Anfang Oktober entschieden, dass die Safe Harbor Entscheidung der Europäischen Kommission nicht rechtsgültig ist. Mit Safe Harbour wäre es möglich gewesen, personenbezogene Daten aus einem Land der Europäischen Union, in Übereinstimmung mit den europäischen Datenschutzrichtlinien, in die USA zu übermitteln.

Auch in diesem Punkt übernimmt Microsoft eine Vorreiterrolle in Sachen Datenschutz. Für die extrem seltenen Fälle, in denen Daten Mitarbeitern oder Zulieferern außerhalb der primären Speicherregion, in diesem Fall Amsterdam und Dublin, zugänglich gemacht werden müssen, bietet Microsoft EU-Standardvertragsklauseln an. Diese EU-Standardvertragsklauseln werden ebenso wie die Verträge zur Auftragsdatenverarbeitung von Microsoft zum Download angeboten.

Was bewirken die EU-Standardvertragsklauseln?

Die EU-Standardvertragsklauseln haben den Zweck, ein entsprechendes Datenschutzniveau auch in Nicht-EU-Ländern sicherzustellen. Die EU-Standardvertragsklauseln sind dabei an die innereuropäischen Datenschutz-Regelungen angelehnt. Durch den Einsatz dieser Klauseln hat Microsoft den Datenschutz von Anfang an nicht auf Safe Harbor aufgebaut. Stattdessen wurde ein Vertragswerk entwickelt, das sich an der europäischen Datenschutzgrundverordnung orientiert. Durch die EU-Standardvertragsklauseln wird europäisches Datenschutzrecht auf Microsoft Rechenzentren außerhalb der EU übertragen. Microsoft hat also nicht wie andere Anbieter angenommen, dass die USA einen ausreichenden Datenschutz sicherstellen können, sondern hat den europäischen Datenschutz mit Hilfe von Verträgen geltend gemacht. Microsoft ist daher nicht von dem aktuellen Urteil des Europäischen Gerichtshofes betroffen.

Zusammenfassend ist zu sagen, dass der Einsatz von Microsoft Cloud Produkten rechtlich bedenkenlos möglich ist, wenn folgende Voraussetzungen erfüllt sind:

  • Abschluss eines Vertrags zur Auftragsdatenverarbeitung mit Microsoft
  • Abschluss der EU-Standardvertragsklauseln mit Microsoft

Der Schutz vor unbefugtem Zugriff der Daten ist durch Microsoft ohnehin höher als in den meisten Unternehmen und Organisationen. Unter anderem kommen hier die folgenden Sicherheitsvorkehrungen zum Einsatz:

Gezielte Suche nach Schwachstellen im System durch eigene Mitarbeiter Überwachung des Zutritts durch PIN-Codes, Fingerabdruck- sowie Iris-Scanner

Ihr Ansprechpartner
Marius van de Loo Telefon: 02151 349-1162
E-Mail: Marius.vandeLoo@gob.de
Diese Seite verwendet Cookies, weitere Informationen finden Sie hier.
OK!