Datenschutz-Zertifizierung für Microsoft Cloud-Dienste

News

Microsoft hat mit Zertifizierung der Cloud-Dienste Office 365, Azure und Dynamics CRM Online nach ISO/IEC 27018 einen internationalen Standard für Datenschutz in der Cloud umgesetzt. ISO/IEC 27018 ist der erste internationale Standard für Cloud-Dienste und ist erst im Jahr 2014 eingeführt worden.

Schutz von personenbezogenen Daten in der Cloud

ISO/IEC 27018 formuliert datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten, die der Sicherstellung des Schutzes von personenbezogenen Daten dienen sollen. Zu den Anforderungen gehört unter anderem die Information an den Kunden, wo seine Daten verarbeitet werden, eine Anzeigepflicht bei Verletzung der Datensicherheit sowie eine Informationspflicht bei Anfragen von Strafverfolgungsbehörden. Letzteres jedoch nur, soweit eine Information rechtlich nicht untersagt ist. Auch sollen die Kundendaten nicht für Werbezwecke verwendet werden.

Weitere Informationen zur Einführung des Standards finden Sie in unserem Artikel:
ISO/IEC 27018: Der neue Datenschutz-Standard für Cloud-Dienste.

Wer wird durch die Zertifizierung nach ISO/IEC 27018 geschützt?

Nachdem zunächst Microsoft Azure den Standard umgesetzt hat, haben sich nun auch Office 365 und Dynamics CRM Online nach ISO/IEC 27018 zertifizieren lassen.

Der Standard gilt jedoch nur für Geschäftskunden und soll Unternehmen dabei unterstützen, ihren eigenen datenschutzrechtlichen Verpflichtungen nachzukommen. Die Zertifizierung entspricht auf jeden Fall dem Trend der zunehmenden Datenverarbeitung in Cloud-Diensten, schafft Vertrauen in den Service und hilft Unternehmen, sich bei der Vielzahl an Angeboten, zu entscheiden.

Sicherheit in der Cloud

Eine 100-prozentige Sicherheit wird es in der Cloud kaum jemals geben können und die Diskussion um das Ausspähen von Daten wird sicherlich auch zukünftig ein wichtiges Thema bleiben. Die Etablierung eines einheitlichen Standards für Cloud-Dienste ist aus datenschutzrechtlicher Sicht aber durchaus begrüßenswert und angesichts des zunehmenden Bedürfnisses der Nutzung solcher Dienste ein wichtiger Fortschritt.

Update vom 20.02.2015:

ISO/IEC 27018 ist eine Guideline, ein „Code of practice”  des Standards zum Schutz personenbezogener Daten in Clouds (personally identifiable information (PII) in public clouds). Produkte können diesem Standard entsprechen, nicht aber danach zertifiziert werden.

4 Kommentare zu diesem Beitrag

  1. Liebe Redaktion,

    ein kleiner Hinweis: Microsoft ist nicht nach ISO/IEC 27018 zertifiziert.

    Die ISO 27018 ist ein Leitfaden (code of practice) und keine Norm. Eine Zertifizierung nach einem Leitfaden ist nicht möglich. Dementsprechend ist Microsoft nicht nach ISO/IEC 27018 zertifiziert. Kein Unternehmen ist nach ISO/IEC 27018 zertifiziert.

    Das ist auch der Grund, warum Microsoft in der entsprechenden Meldung in seinem Blog nie von einer Zertifizierung schreibt, stattdessen von “überprüft” oder “Test”: “Das British Standards Institute (BSI) hat nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice“ des Standards zum Schutz von personenbezogenen Daten (Personally Identifiable Information, PII) in Public Clouds entsprechen. Zudem wurde dieser Test für Microsoft Intune vom Bureau Veritas durchgeführt.” (http://blogs.technet.com/b/microsoft_presse/archive/2015/02/16/microsoft-252-bernimmt-ersten-internationalen-standard-f-252-r-datenschutz-in-der-cloud.aspx).

    Ein schönes Wochenende

  2. Hallo! Können Sie ein paar praktische Tipps liefern, was bei der Implementierung von Azure zu beachten ist? Vielen Dank schon im Voraus, Dr. D!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.