Die wichtigsten Fragen zum Datenschutz, die Kunden ihren Anbietern von Clouddiensten stellen sollten

  • Microsoft Office 365 stellt für alle Office 365-Kunden die wesentlichen Datenschutzfunktionen bereit. In diesem Abschnitt werden die Datenschutzfunktionen beschrieben, und es wird gezeigt, dass sie den hohen Standards für den Datenschutz entsprechen, die von den EU-Behörden festgelegt wurden. Am 1. Juli 2012 hat die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" (eine Gruppe, die sich aus Mitgliedern der nationalen Datenschutzbehörden der EU zusammensetzt), die Stellungnahme 05/2012 zu Cloud Computing beschlossen. Die Auffassung zu Cloud Computing hebt die Vorteile von Cloud Computing hervor, einschließlich der verbesserten Effizienz und der höheren Sicherheit. In ihrer Auffassung betont die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe", wie wichtig es ist, einen Anbieter von Clouddiensten auszuwählen, der seine Datenschutzpraktiken transparent macht und die Schutzwürdigkeit von Kundendaten respektiert.

    Die Auffassung der EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" stellt einen Leitfaden für aktuelle und potenzielle Cloudbenutzer dar. Hierin werden auch eine Reihe von Fragen angesprochen, die Cloudkunden in ihrer Rolle als für die Datenverarbeitung Verantwortliche bei der Auswahl eines Anbieters von Clouddiensten berücksichtigen sollten. Hierin werden die wichtigsten den Datenschutz betreffenden Fragen sowie die Antworten von Office 365 aufgeführt.

    Verweis auf die Stellungnahme der EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe": In Abschnitt 4.1 (erster Abschnitt unter der Überschrift "Einhaltung der grundlegenden Datenschutzgrundsätze" (Compliance with fundamental data protection principles)) gibt die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" an, dass "die Anbieter von Clouddiensten ihre Kunden über alle (datenschutzrelevanten) Aspekte ihrer Dienste informieren müssen ...insbesondere müssen die Kunden über alle Untervertragsnehmer informiert werden, die zur Bereitstellung des entsprechenden Clouddienstes beitragen, und über alle Standorte, an denen ihre Daten vom Anbieter der Clouddienste und/oder dessen Untervertragsnehmer ggf. gespeichert oder verarbeitet werden". Abschnitt 3.4.1.1 ("Transparenz") unterstreicht darüber hinaus die Wichtigkeit der Transparenz in der Kundenbeziehung zwischen Clouddienstanbieter und Kunde.

    Office 365: Microsoft stellt unmittelbar verfügbare Informationen über seine Datenschutz- und Sicherheitspraktiken im Office 365-Trust Center bereit. Das Office 365-Trust Center enthält Informationen darüber, wo die Daten gespeichert werden, wer und unter welchen Umständen auf die Daten zugreifen kann und welche Untervertragsnehmer in die Datenverarbeitung einbezogen werden.
    Verweis auf die Stellungnahme der EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe": Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung). Die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" stellt klar, dass "personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden".

    Antwort von Office 365: Die Microsoft-Clouddienste für Unternehmen nutzen Kundendaten nur, um die jeweiligen Dienste bereitzustellen. Dies kann auch die Problembehandlung umfassen, die darauf abzielt, Probleme zu verhindern, zu erkennen und zu beheben, die den Betrieb der Dienste und die Verbesserung von Funktionen betreffen, was die Erkennung von und den Schutz vor entstehenden und sich entwickelnden Bedrohungen des Benutzers (wie Schadsoftware oder Spam) einschließt. Office 365 entwickelt keine Werbeprodukte aus Kundendaten. Wir untersuchen Ihre E-Mails oder Dokumente nicht, um Analysen zu erstellen, zum Zweck des Data Minings, zu Werbezwecken oder um den Dienst auf andere Weise zu verbessern.

    Microsoft legt Kundendaten nicht für Dritte offen (was auch die Strafverfolgungsbehörden, Anforderungen anderer Behörden oder Zivilklagen einschließt), es sei denn, wir werden von unserem Kunden dazu aufgefordert oder es ist gesetzlich vorgeschrieben.
    Verweis auf die Auffassung der der EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe": Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter)

    Antwort von Office 365: Die Microsoft-Cloud-Server für Unternehmen sind physisch und/oder logisch von den Servern für Privatanwender getrennt. Die Daten von Unternehmenskunden, die Daten in den Microsoft-Onlinediensten für Privatanwender und die Daten, die im Zuge von Scanning-, Indizierungs- oder Data Mining-Aktivitäten durch Microsoft erstellt werden oder sich ergeben, werden nicht vermischt, es sei denn, der Kunde hat dem im Voraus zugestimmt.
    Verweis auf die Stellungnahme der EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe": Abschnitt 3.4.1.2 (Zweckbestimmung und -begrenzung) und Abschnitt 3.3.1 (Cloud-Anwender und Cloud-Anbieter)

    Antwort von Office 365: Microsoft scannt Ihre E-Mails oder Dokumente nicht zu Werbezwecken. Mithilfe der Microsoft-Unternehmensdienste werden Kundendaten gepflegt, gescannt und indiziert, um den vollen Funktionsumfang bereitzustellen, der es dem Kunden ermöglicht, auf Kundendaten zuzugreifen und diese zu organisieren. Auf diese Weise kann der Endbenutzer beispielsweise seine Dokumente und andere Inhalte in Office 365 einfach durchsuchen.
    Verweis auf die Stellungnahme der EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe": Abschnitt 3.4.3 (Technische und organisatorische Maßnahmen des Datenschutzes und der Datensicherheit)

    Antwort von Office 365: Der Office 365-Dienst für Unternehmen ist von den Onlinediensten für Privatanwender logisch getrennt. Die Daten von Unternehmenskunden und die Daten von Microsoft-Onlinediensten für Privatanwender werden niemals gemischt, es sei denn, der Kunden hat dem im Voraus zugestimmt.
    Die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" kommt zu dem Schluss, dass es für die traditionellen Mechanismen für die Übertragung von Daten in Länder außerhalb des europäischen Wirtschaftsbereichs "Einschränkungen" geben muss, wenn es um die Cloud geht. Die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" bezieht sich insbesondere auf die Safe Harbor-Richtlinien und rät den Kunden von Cloudanbietern, dass die ausschließliche Verpflichtung des Datenimporteurs gemäß den Save Harbor-Richtlinien für Datenübertragungen an in den USA ansässige Anbieter möglicherweise nicht ausreichen ist. Die EU-Arbeitsgruppe zum Datenschutz "Artikel 29-Gruppe" erinnert Cloudkunden zudem daran, dass sie verpflichtet sind, sich an alle ggf. gültigen nationalen Gesetze zu halten.

    Mit Office 365 wird ein umfassender Auftragsdatenverarbeitungsvertrag (ADV bzw. Data Processing Agreement, DPA) geschlossen, der die EU-Standardvertragsklauseln ebenso wie die Selbstzertifizierung gemäß den Vereinbarungen zwischen dem US-Handelsministerium und der EU ("Safe Harbor") umfasst. Während die EU-Standardvertragsklauseln sich speziell an Kunden aus der EU wenden, ist das DPA ein Auftragsdatenverarbeitungsvertrag, der sich nach den Anforderungen der einzelnen EU-Mitgliedsländer richtet und wird für alle Kunden bereitgestellt, ungeachtet des Standorts und der Größe. Die Prozesse, die für Office 365 entwickelt wurden, um den EU-Standardvertragsklauseln zu entsprechen, sind nicht auf EU-Kunden beschränkt, sondern gelten für alle Kunden.

  • Office 365-Trust Center