Die wichtigsten FAQ: DSGVO-konforme Nutzung der Microsoft Cloud-Dienste

Frage:

Wer Cloud-Anwendungen plant, macht verschiedene Kriterien bei der Auswahl eines Cloud-Dienstleisters zur Voraussetzung. Die Konformität mit der Datenschutz-Grundverordnung (DSGVO) ist dabei am wichtigsten. Das gaben fast alle befragten Unternehmen (96 Prozent) im Cloud-Monitor 2020 von Bitkom und KPMG an. Welche Bedeutung hat Datenschutz für Microsoft?

Antwort:

Microsoft sieht Privatsphäre als ein Grundrecht an. Die Einhaltung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) ist für uns mehr als notwendige Compliance für unsere Kunden aus der EU. Mit der Anwendbarkeit der DSGVO im Mai 2018 haben wir die neuen Regeln für die Verarbeitung personenbezogener Daten nicht nur in Europa, sondern weltweit zum Standard gemacht.

Für Microsoft ist Datenschutz nie ein abgeschlossenes Thema. Mit der Einführung der DSGVO haben wir nicht aufgehört, in den Datenschutz zu investieren. Wie wichtig das Thema für Microsoft ist, zeigt auch das folgende Statement von Brad Smith, President und Chief Legal Officer: "Wenn wir unsere Kunden nicht schützen können, haben wir ihr Vertrauen nicht verdient."

Satya Nadella, CEO von Microsoft, gab Nutzern von Microsoft-Lösungen ein klares Versprechen: "Wir bei Microsoft möchten alle Benutzer und Unternehmen dabei unterstützen, mehr zu erreichen. Wir entwickeln eine intelligente Cloud, neue Bürosoftware sowie Geschäftsprozesse und gestalten die Computerarbeit persönlicher. Bei all dem setzen wir selbstverständlich wie schon immer auf Datenschutz. Sie behalten die Kontrolle über Ihre Daten."

Der Microsoft-CEO betont dabei die Datenhoheit der Microsoft-Nutzer: "Sie entscheiden, wie und warum Daten erfasst und genutzt werden. Außerdem stellen wir sicher, dass Sie stets informierte Entscheidungen zu unseren Produkten und Diensten treffen können."

Im Microsoft-Blog finden Sie zudem die Datenschutzprinzipien von Microsoft, nach denen wir Daten verarbeiten.

Frage:

Die virtuelle Zusammenarbeit ist in Zeiten der Corona-Pandemie noch wichtiger geworden. Microsoft bietet hier eine Reihe führender Lösungen an, wie Microsoft 365 und Microsoft Teams. Können diese Lösungen auch nach dem Ende von Privacy Shield datenschutzkonform genutzt werden?

Antwort:

Unternehmen können die Microsoft Cloud und damit auch Lösungen wie Microsoft 365 und Microsoft Teams auf Basis der jeweils aktuellen Standardvertragsklauseln der EU (Standard Contractual Clauses, SCCs) nutzen, um den Mitarbeitern einen sicheren Weg von moderner Arbeit bereitzustellen. Gerade im Zeitalter von COVID-19 und der vermehrten Heimarbeit bietet Microsoft Lösungen für Unternehmen, Schüler, Studierende, aber auch Privatpersonen an, die datenschutzkonform genutzt werden können.

Mitte November 2020 hat die EU-Kommission Entwürfe zu neuen Standardvertragsklauseln für internationale Datentransfers vorgelegt. Diese wurden bereits durch Microsoft analysiert. Microsoft gehört immer zu den Ersten, die auf rechtliche Entwicklungen reagieren, um unseren Kunden stets den bestmöglichen Datenschutz zu bieten.

Konkret zu den Lösungen Microsoft 365 und Microsoft Teams hat Microsoft bereits im Vorfeld umfassende Informationen zu den Funktionen der Datensicherheit veröffentlicht, so dass unsere Kunden genau wissen, wie Microsoft den Datenschutz auch technisch umsetzt. Auch für IT-Administratoren haben wir die Datenschutz-Funktionen von Microsoft Teams ausführlich dargestellt.

Nach dem Urteil des Europäischen Gerichtshofs im Juli 2020 trägt das Privacy-Shield-Abkommen zwischen EU und USA nicht mehr. Nun müssen neue Rechtsgrundlagen für eine Datenübermittlung in ein Drittland wie die USA gefunden werden.
Foto: Microsoft

Frage:

Das Urteil des EuGH hat ja die Standardvertragsklauseln bestätigt, jedoch auf den Bedarf ergänzender Maßnahmen für Datensicherheit und Datenschutz hingewiesen. Wie sehen die ergänzenden Maßnahmen zur Nutzung der Microsoft Cloud-Dienste unter Standardvertragsklauseln aus?

Antwort:

Nach dem Urteil des EuGH müssen bei Datenübermittlungen in die USA die Standardvertragsklauseln um zusätzliche Maßnahmen ergänzt werden. Welche dies genau sein müssen, ist Gegenstand einer Einzelfallprüfung, die man als Cloud-Nutzer durchführen muss.

Der Europäische Datenschutzausschuss (EDSA) hat im November 2020 Empfehlungen zu diesen ergänzenden Maßnahmen veröffentlicht. Microsoft hat umgehend reagiert und erweitert die Vertragswerke für die Microsoft Cloud-Dienste. Neben den Online Service Terms (OST) und den Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) hat Microsoft nun als dritten Bestandteil für alle Microsoft Kundenverträge im Cloud-Bereich eine Vereinbarung zu den "Additional Safeguards" veröffentlicht.

Diese Maßnahmen gehen zum Teil über die Empfehlungen des EDSA hinaus:

Microsoft hat sich verpflichtet, dass jede Anfrage einer staatlichen Stelle - egal von welcher Regierung - nach Daten der Unternehmenskunden oder der Kunden aus dem öffentlichen Sektor angefochten wird, wenn es dafür eine rechtliche Grundlage gibt.
Microsoft wird zudem die Nutzer der Kunden finanziell entschädigen, wenn ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) offengelegt werden müssen.

Frage:

Datensicherheit in der Cloud ist eine gemeinsame Aufgabe für Cloud-Nutzer und Cloud-Anbieter. Welche Sicherheitsmaßnahmen von Microsoft sind für den Datenschutz besonders wichtig?

Antwort:

Microsoft ergreift eine Vielzahl an Maßnahmen für den Schutz der Kundendaten. Wir haben im Microsoft Trust Center ausführlich dargestellt, welche Maßnahmen auf Seiten von Microsoft für Sicherheit, Datenschutz und Compliance ergriffen werden.

Um globale, nationale, regionale und branchenspezifische Vorschriften einzuhalten, unterstützen die Microsoft Cloud-Lösungen mehr als 90 regulatorische Standards und Gesetze, einschließlich ISO 27001, ISO 27018, ISO 27701, SOC 1,2 und 3, C5, TISAX, KRITIS, BAIT und andere.

Frage:

Eine Sorge von Cloud-Nutzern in Deutschland ist, dass zum Beispiel US-Behörden auf ihre Cloud-Daten zugreifen könnten. Welche konkreten Maßnahmen ergreift Microsoft hier?

Antwort:

Microsoft hat bereits seit mehreren Jahren ein Verfahren etabliert, wie mit Behördenanfragen umgegangen wird, mit denen ein Zugriff auf bestimmte Kundendaten angefordert wird.

Nach dem sogenannten LENS-Verfahren (Law Enforcement National Security) prüft ein Team von Rechtsexperten sehr genau entsprechende Behördenanfragen. Gibt es eine legitime Grundlage für die Behördenanfrage, verweist Microsoft die Behörden wo immer möglich an den Kunden selbst und gibt somit keine Kundendaten weiter.

Das Verfahren bei Microsoft ist absolut transparent. Microsoft veröffentlicht einen detaillierten Law Enforcement Requests Report zu eingegangenen Behördenanfragen. Zusätzlich gibt es einen solchen Bericht speziell zu Anfragen von US-Behörden, den U.S. National Security Orders Report.

Sie möchten die Flexibilität eines Data Warehouse aber auch den Schutz vertraulicher Informationen? Hier finden Sie bewährte Methoden zur Realisierung einer nachhaltigen Strategie die Datenschutz und Sicherheit vereint.

Mehr Sicherheit in der Zukunft

Alle Artikel im Überblick

Kein SOC ohne Teamarbeit und Automatisierung

Nur wer seine Daten kennt, kann sie schützen

Vor Ort oder digital – Hauptsache emotional verbunden

Erfolgsfaktoren in der Softwareentwicklung

Mit Cloud-Services intelligente Applikationen erstellen

So gelingt die Doppeltransformation

Keine Nachhaltigkeit ohne fundierte Datenbasis

So stellen sich Firmen in Krisenzeiten zukunftsfähig auf

Damit ein IT-Notfall nicht zur Katastrophe wird

Wie Tools die Wertschöpfung mit Mitarbeitenden fördern

Wie Lieferketten-Management zum Wettbewerbsvorteil wird

KI und Kamera machen den Roboter zum Qualitätsprüfer

So verändern sich Meetings durch hybride Arbeitsmodelle

Neue Vielfalt in der Arbeitsplatzkultur

Wie KMU den Weg zum digitalen Unternehmen finden

Nachhaltigkeit plus Prozessoptimierung plus Kosteneinsparungen

Battery Associates will die Energiewende voranbringen

Vorteile eines digitalen All-in-One-Servicecenter

Microsofts Sustainability Manager schafft Überblick

Das Managed SOC – eine Leitstelle für IT-Sicherheit?

Neue Leichtigkeit in der Anwendungsmodernisierung

Cloud-Sicherheit ist am besten in der Cloud aufgehoben

Neue Ziele für Hacker

Risiken aufspüren und analysieren mit Zero Trust

Daten liefern grüne Antworten

Es kommt auf jeden Einzelnen an

Modernes Arbeiten ist gekommen, um zu bleiben

3 Szenarien, an die Sie sicher noch nicht gedacht haben

Beim Rennen um Low-Code steht Microsoft auf der Pole Position

Mixed Reality wird fester Teil von Geschäftsprozessen

Ein Center of Excellence für die Low-Code-Entwicklung

Unterstützung für Innovationstreiber

Warum Quantencomputer keine Spielerei sind

Das Optimum aus Daten herausholen

Wachsam bleiben – Vorschriften wandeln sich beständig

Viel mehr als eine Cloud-Infrastruktur

Programmieren für die Umwelt

Brücken bauen in Sales und Marketing

Trust wird zur unternehmerischen Grundlage

Warum sich Unternehmen mit Microsoft Azure beschäftigen sollten

Von der lästigen Pflicht zum Innovationstreiber

Wie Unternehmen von der Umstellung auf Remote Development profitieren

Low Code erfordert neue Arbeitskultur

Das Datenverständnis ist bei Machine Learning der Schlüssel zum Erfolg

Wie Cloud Computing die Karten in der Sicherheitsindustrie neu mischt

Citizen Developer mit KI-Anschluss – weniger programmieren, mehr erreichen

So erlangen Sie spielerisch Cloud-Know-how

Wie Microsoft und eine CTO-Community das Eis zwischen den Generationen gebrochen haben

Wie digitales Know-how Generationen und Branchen zusammenbringt

Wertvolle Hilfe beim Schöpfen von Cloud-Mehrwert

Eine Workplace-Infrastruktur für das Cloud-Zeitalter. Macht jeden Wandel mit.

Home-Office mit Familie organisieren – nutzt auch dem Unternehmen

Digitalisierung braucht eine Datenkultur, Use Cases und ein Vorgehensmodell.

Digitaler Smalltalk hält Kunden. Und kann sogar die Vertriebseffizienz steigern.

99,99 Prozent Verfügbarkeit ermöglichen neue Anwendungen.

KI-Services aus der Cloud mit eingebautem Datenschutz. Kann das funktionieren?

Ein neues Verfahren könnte eine der größten Hürden beim KI-Einsatz niederreißen.

Wie CIOs den Weg zur digitalen Transformation ebnen. Ein How-to in 4 Steps

Jetzt testen: Online-Meetings bieten neue Potenziale für Gruppendynamik.

Trifft sich ein Team online, ist die Zeit kostbar. Sorgen Sie für den Fokus

Strategie, Kultur und Verantwortung – die AI Business School unterstützt alle Branchen.

Die Cloud lockt mit Flexibilität, doch ihr wahrer Mehrwert liegt tiefer

Daten, Systeme und Personen – so orchestrieren Sie all diese Player

Wie Monitoring und Kompetenz-Teams im Kampf gegen Verschwendung helfen

Brücke schlagen zwischen Hybrid- und Multi-Cloud-Welt

Zero Trust ist die Basis des New Normal

DSGVO-konforme Nutzung der Microsoft Cloud-Dienste

Wer alles am freien Informationsaustausch mitarbeitet

Was CIOs tun müssen, um Entwickler zu halten und Talente zu gewinnen

Wegbereiter für ein agiles Business: Cloud Native richtig nutzen.

Inner Source ermöglicht Technologiesprung in der Softwareentwicklung

Cloud, Container, Open Source – Knackpunkt bleibt das Plattform-Management

DevSecOps ermöglicht eine sichere Entwicklung - Auch mit Open Source

Heute arbeiten Entwickler bei Microsoft viel autonomer und effizienter

Wie ein radikaler Change den Entwicklern mehr Autonomie bescherte

Big Data vs. Big Brother: Wie Sie ihre digitale Privatsphäre wahren

Datensilos eliminieren für effiziente Analysen mit Microsoft Azure

Kostentreiber erkennen: So rechnet sich der Schritt in die Cloud

Erfolgsfaktoren in der Softwareentwicklung