Microsoft hat mit Zertifizierung der Cloud-Dienste Office 365, Azure und Dynamics CRM Online nach ISO/IEC 27018 einen internationalen Standard für Datenschutz in der Cloud umgesetzt. ISO/IEC 27018 ist der erste internationale Standard für Cloud-Dienste und ist erst im Jahr 2014 eingeführt worden.
Der Inhalt im Überblick
Schutz von personenbezogenen Daten in der Cloud
ISO/IEC 27018 formuliert datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten, die der Sicherstellung des Schutzes von personenbezogenen Daten dienen sollen. Zu den Anforderungen gehört unter anderem die Information an den Kunden, wo seine Daten verarbeitet werden, eine Anzeigepflicht bei Verletzung der Datensicherheit sowie eine Informationspflicht bei Anfragen von Strafverfolgungsbehörden. Letzteres jedoch nur, soweit eine Information rechtlich nicht untersagt ist. Auch sollen die Kundendaten nicht für Werbezwecke verwendet werden.
Weitere Informationen zur Einführung des Standards finden Sie in unserem Artikel:
ISO/IEC 27018: Der neue Datenschutz-Standard für Cloud-Dienste.
Wer wird durch die Zertifizierung nach ISO/IEC 27018 geschützt?
Nachdem zunächst Microsoft Azure den Standard umgesetzt hat, haben sich nun auch Office 365 und Dynamics CRM Online nach ISO/IEC 27018 zertifizieren lassen.
Der Standard gilt jedoch nur für Geschäftskunden und soll Unternehmen dabei unterstützen, ihren eigenen datenschutzrechtlichen Verpflichtungen nachzukommen. Die Zertifizierung entspricht auf jeden Fall dem Trend der zunehmenden Datenverarbeitung in Cloud-Diensten, schafft Vertrauen in den Service und hilft Unternehmen, sich bei der Vielzahl an Angeboten, zu entscheiden.
Sicherheit in der Cloud
Eine 100-prozentige Sicherheit wird es in der Cloud kaum jemals geben können und die Diskussion um das Ausspähen von Daten wird sicherlich auch zukünftig ein wichtiges Thema bleiben. Die Etablierung eines einheitlichen Standards für Cloud-Dienste ist aus datenschutzrechtlicher Sicht aber durchaus begrüßenswert und angesichts des zunehmenden Bedürfnisses der Nutzung solcher Dienste ein wichtiger Fortschritt.
Update vom 20.02.2015:
ISO/IEC 27018 ist eine Guideline, ein „Code of practice” des Standards zum Schutz personenbezogener Daten in Clouds (personally identifiable information (PII) in public clouds). Produkte können diesem Standard entsprechen, nicht aber danach zertifiziert werden.
Liebe Redaktion,
ein kleiner Hinweis: Microsoft ist nicht nach ISO/IEC 27018 zertifiziert.
Die ISO 27018 ist ein Leitfaden (code of practice) und keine Norm. Eine Zertifizierung nach einem Leitfaden ist nicht möglich. Dementsprechend ist Microsoft nicht nach ISO/IEC 27018 zertifiziert. Kein Unternehmen ist nach ISO/IEC 27018 zertifiziert.
Das ist auch der Grund, warum Microsoft in der entsprechenden Meldung in seinem Blog nie von einer Zertifizierung schreibt, stattdessen von „überprüft“ oder „Test“: „Das British Standards Institute (BSI) hat nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice“ des Standards zum Schutz von personenbezogenen Daten (Personally Identifiable Information, PII) in Public Clouds entsprechen. Zudem wurde dieser Test für Microsoft Intune vom Bureau Veritas durchgeführt.“ (http://blogs.technet.com/b/microsoft_presse/archive/2015/02/16/microsoft-252-bernimmt-ersten-internationalen-standard-f-252-r-datenschutz-in-der-cloud.aspx).
Ein schönes Wochenende
Vielen Dank für Ihren Hinweis. Wir haben ihn in unserem Update aufgenommen.
Ich kann im Web nicht die EU Standartvertragsklauseln für MS finden. Auf der MS Seite bekomme ich nur einen Error.
Hallo! Können Sie ein paar praktische Tipps liefern, was bei der Implementierung von Azure zu beachten ist? Vielen Dank schon im Voraus, Dr. D!