Immer wieder erreichen uns Anfragen von Kunden, die Office 365 in ihrem Unternehmen einsetzen möchten. Ist denn ein datenschutzkonformer Einsatz überhaupt möglich? In unserem heutigen Blogartikel fühlen wir dem Cloud-Dienst auf den Zahn.

ADV-VERTRAG

Die Verantwortung für in der „Cloud“ gespeicherte personenbezogene Daten hat die verantwortliche Stelle, wie es in § 3 Abs. 7 BDSG festgehalten ist. Dies ist in Zusammenhang mit Cloud-Diensten immer das Unternehmen, das den Cloud-Dienst in Anspruch nimmt. Da hier ein Auftrags(daten)verarbeitungsverhältnis besteht, ist zwischen dem Unternehmen und Microsoft ein Auftrags(daten)verarbeitungsvertrag nach § 11 BDSG abzuschließen.

DATENVERARBEITUNG IN DEN USA?

Wenn die Daten an ein sogenanntes Drittland übertragen werden, zu denen auch die USA gehören, so bedarf es einer rechtlichen Grundlage dafür. Lange Zeit war dies das Safe Harbor Abkommen, nach dessen Scheitern kamen hier die EU-Standardvertragsklauseln in Frage und mittlerweile wurde das EU-US Privacy Shield errichtet, dem sich Microsoft auch bereits unterworfen hat. Besonders datensensible Branchen mit strengen Datenschutz-Richtlinien, wie z. B. dem öffentlichen Sektor, dem Bildungswesen oder der Finanzindustrie steht Microsoft 365 seit Februar diesen Jahres nun auch aus deutschen Rechenzentren in Frankfurt/Main und Magdeburg zur Verfügung. Die Kundendaten werden dann ausschließlich in Deutschland gespeichert. Der deutsche Datentreuhänder T-Systems International GmbH kontrolliert dabei den Zugang zu den Daten. Somit ist dieser immer etwas kritisch beäugte Punkt der Drittland-Thematik auch vom Tisch.

ISO 27018 ZERTIFIZIERUNG

Microsoft hat seinen Cloud-Dienst Office 365 ISO/IEC 27018 zertifiziert. Dieser ISO-Standard gilt als internationaler Standard für Datenschutz in der Cloud der im Jahr 2014 eingeführt wurde. Er soll garantieren, dass personenbezogene Daten beim Einsatz der Cloud geschützt bleiben. Außerdem kann die Zertifizierung auch als Ausübung der Kontrollrechte im Rahmen des ADV-Vertrags ausgelegt werden.

TOM FÜR DATENSICHERHEIT

Die TOM bzw. Technischen und Organisatorischen Maßnahmen zum Schutz der Daten, die Microsoft einsetzt sind umfangreich. Einen Überblick verschaffen die gelisteten Informationen und Videos zum Thema, die im Office 365 Trust Center zur Einsicht stehen. Nutzern und Admins haben weitreichende Kontrollen über ihre Daten: Sie können Logs zu Aktionen in Exchange Online und Sharepoint Online und Visualisierung der Logs in anderen Anwendungen abrufen, die „LockBox“ erlaubt das Einholen einer Einwilligung von Microsoft für den Zugriff auf Nutzerdaten und vor allem das Erstellen und Verwalten eigener Schlüssel durch den Nutzer sowie die Verschlüsselung von E-Mails in Office 365.