Datenschutz in der Cloud, wie z.B. bei Office 365, ist ein zentrales Thema. Der Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragen des Bundes und der Länder hat eine Orientierungshilfe für Cloud Computing erarbeitet und diese veröffentlicht. Details dazu finden Sie hier.
Microsoft übernimmt eine führende Rolle als Cloud-Anbieter und sorgt über die entsprechenden Anpassungen und in Verbindung mit den entsprechenden Zertifizierungen für mehr Transparenz und Vertrauen. Office 365 ist somit einer der ersten Public Cloud Service-Anbieter, der jedem Kunden die „EU-Model Clauses“ als Standardvertragsklauseln anbietet.
Microsoft kombiniert die EU Model Clause Standardvertragsklauseln mit einer ebenfalls standardisierten Erklärung zur Auftragsdatenverarbeitung (ADV). Jeder Office 365-Kunde kann auf der “EU Model Clause Zeichnungsseite” die EU Model Clauses in Kombination mit einer standardisierten Erklärung zur Auftragsdatenverarbeitung zu seinem Office 365 Online Services-Vertrag hinzufügen. Zur nachhaltigen Verbesserung der Transparenz und Stärkung des Vertrauens in die Cloud Services wird Microsoft zeitnah die neuen Rahmenbedingungen im Trust Center veröffentlichen.
Das neue Trust Center ist unkompliziert über die Office 365-Homepage zu finden. Es bietet Klarheit und Transparenz darüber,
- wo sich die Daten eines Kunden befinden,
- wer Zugang zu diesen Daten hat,
- wie Microsoft diese Daten schützt und
- welche Zertifizierungen Microsoft erfüllt.
Microsoft hat sich mit seiner Trustworthy Computing-Initiative zu einem führenden Anbieter von IT-Lösungen in diesem Bereich entwickelt und nutzt diese Erfahrungen und Marktreife ebenso für die Microsoft Cloud Services.
Mit der Einführung der EU Model Clauses ADV-Konstruktion erfüllt Microsoft die jüngst vom Düsseldorfer Kreis zur Nutzung von Cloud Services veröffentlichten Orientierungshilfen.
Unterhalb finden Sie eine kleine Übersicht, welche die neuen Microsoft-Compliance-Leistungen den Forderungen der Orientierungshilfe gegenüberstellt.
| Forderung Düsseldorfer Kreis | Maßnahmen Microsoft | Ergebnis |
|---|---|---|
| ADV-Vertrag mit EU-Auftragnehmer | Dataprocessing Agreeement (DPA) mit MIOL | OK |
| Offenlegung von Subunternehmern (inkl. relevanter Vertragsinhalte) |
Model Clauses mit Microsoft Corp. (Ziffer 5j, 11.4) Trust Center |
OK |
| Technische und organisatorische Maßnahmen (TOM) | In DPA mit MIOL (Ziffer 5a) In Model Clauses mit MSFT Corp (Appendix 2) | OK |
| Kontrolle durch AG, Vorort-Kontrollen oder Zertifizierungs/Gu?tesiegelverfahren einer unabhängigen Pru?fstelle |
Model Clauses mit MSFT Corp Zertifizierung nach ISO 27001 plus TOM nach § 9 BDSG (DPA Ziffer 5b) | OK |
| Drittstaatentransfer: angemessene Garantien, z.B. Model Clauses | Model Clauses mit MSFT Corp | OK |
| Drittstaatentransfer: zusätzlich ADV-Vertrag |
Ergänzende Regelungen zu Model Clauses mit MSFT Corp (Appendix 1 und 2) | OK |
Die Zuordnung zu einem bestehenden Office 365 Services-Vertrag [MOSA] wird online auf der “EU Model Clauses Zeichnungsseite” vorgenommen. Ab dem 7. Dezember, also schon bevor das neue Trust center live gehen wird, kann sich jeder Kunde mit seiner Office 365 Admin-Kennung auf dieser Seite anmelden und danach die neuen zusätzlichen Bedingungen im Detail ansehen und prüfen bzw. prüfen lassen (z.B. von seinem Datenschutzbeauftragten oder einer Anwaltskanzlei). Am Ende des Prozesses erhält der Kunde eine elektronische Gültigkeitsbestätigung von Microsoft.
