Wien. Microsoft setzt einen ersten internationalen Standard für Datenschutz in der Cloud um. Dabei handelt es sich um den ISO/IEC 27018-Standard, eine Erweiterung des etablierten ISO 27001-Standards, der von der International Organization for Standardization (ISO) mit dem Ziel entwickelt wurde, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen. Das British Standards Institute (BSI) hat nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice” des Standards zum Schutz von personenbezogenen Daten (Personally Identifiable Information, PII) in Public Clouds entsprechen. Zudem wurde dieser Test für Microsoft Intune vom Bureau Veritas durchgeführt.
Wichtige Maßnahmen
Mit der Einhaltung des Standards stellt Microsoft sicher, dass personenbezogene Daten ausschließlich entsprechend den Anweisungen verarbeitet werden, die Kunden gegeben haben.Die Einhaltung des Standards gewährleistet Transparenz bei den Richtlinien bezüglich Rückgabe, Übermittlung und Vernichtung von personenbezogenen Daten, die in Rechenzentren gespeichert sind. Microsoft teilt nicht nur mit, wo sich Daten befinden, sondern auch, mit welchen Firmen Microsoft gegebenenfalls zusammenarbeitet, falls diese Firmen Zugriff auf diese Daten benötigen. Außerdem werden Kunden informiert, falls es zu unerlaubten Zugriffen auf personenbezogene Daten oder auf die Verarbeitungseinheit oder die Anlagen kommt, die zu Verlust, Offenlegung oder Änderung dieser Daten führen.Mit der Einhaltung von ISO 27018 ist eine Reihe wichtiger Sicherheitsmaßnahmen gewährleistet. So wird sichergestellt, dass Microsoft als Provider genau definierten Beschränkungen im Hinblick auf die Handhabung personenbezogener Daten unterliegt. Das sind unter anderem Beschränkungen bei der Datenübertragung über öffentliche Netze, bei der Speicherung auf transportablen Medien sowie bei geeigneten Prozessen für die Datensicherung und -wiederherstellung. Außerdem legt der Standard fest, dass sämtliche Personen, die mit der Verarbeitung personenbezogener Daten betraut werden, eine Geheimhaltungs-verpflichtung eingehen müssen.Von Unternehmenskunden werden zunehmend Befürchtungen geäußert, dass Anbieter von Cloud-Diensten Daten ohne vorherige Zustimmung zu Werbezwecken nutzen. Mit der Übernahme dieses Standards wird noch einmal die langjährige Verpflichtung von Microsoft bekräftigt, Daten von Unternehmenskunden nicht für Werbezwecke zu verwenden.Durch den Standard wird vorgeschrieben, dass Unternehmenskunden darüber informiert werden müssen, falls durch Ermittlungsbehörden die Herausgabe personenbezogener Daten gefordert wird. Microsoft folgt diesem Ansatz bereits seit Langem, und die Übernahme des Standards bestätigt noch einmal eine diesbezügliche Verpflichtung. Bereits im letzten Frühjahr erhielt Microsoft die Bestätigung der europäischen Datenschutzbehörden, dass die von Microsoft angebotenen Verträge für Cloud-Unternehmenskunden den „Model Clauses” des EU-Datenschutzrechts zur internationalen Daten-übertragung entsprechen. www.microsoft.com
