Das Urteil des EuGH zur (Un-)Gültigkeit von Safe Harbor schlägt wie erwartet große Wellen. Viele Unternehmen fragen sich nun, ob sie wie gewohnt auf ihre Dienstleister in den USA bauen können oder welche Alternativen ihnen andernfalls bleiben. Unternehmen, die bisher auf renommierte Software-Anbieter wie Salesforce oder Microsoft gesetzt haben, können erstmal durchatmen.
Der Inhalt im Überblick
EU-Standardvertragsklauseln in Verbindung mit Auftragsdatenverarbeitungsvertrag
Microsoft bietet für seine Produkte Azure Core Services, Office 365, Dynamics CRM Online und Microsoft Intune EU-Standardverträge an. Im April 2014 befand die Artikel 29 Gruppe, dass die so vorgenommene Vertragsgestaltung durch Microsoft ihren Anforderungen genüge. Es gibt auch eine FAQ-Liste, die nähere Informationen über den Einsatz der EU-Standardvertragsklauseln bereitstellt.
Wenn Sie ein Produkt von Microsoft nutzen, finden Sie die abgestimmten Standardvertragsklauseln nachdem Sie sich eingeloggt haben. Diesen Vertrag sollten Sie, falls nicht bereits geschehen, schnellstmöglich abschließen. Zusätzlich werden Verträge zur Auftragsdatenverarbeitung (Dataprocessing Agreement) angeboten.
Technische und organisatorische Maßnahmen
In den Trust Centern zu Office 365 und Microsoft Dynamics CRM erhält man unter anderem Informationen dazu, wo sich die Kundendaten befinden, wer Zugang zu diesen Daten hat und wie Microsoft diese Daten schützt.
Die administrativen Zugriffe in Office 365 und Microsoft Dynamics CRM, inklusive Protokollierung und Kontrollen, werden detailliert dargestellt. So wird aufgezeigt, wie der Kunde auf seine Daten zugreifen kann und wie durch Protokollierung aller (Fremd-)Zugriffe die Nachvollziehbarkeit gewährleistet wird.
Auch ein Überblick über die Funktionsweise und Standorte der Rechenzentren von Office 365 und Dynamics CRM Online wird gegeben.
ISO 27018
Microsoft fühlt sich der ISO/IEC 27018 verpflichtet. Dabei handelt es sich nicht um eine Zertifizierung, sondern einen Leitfaden, einen „Code of practice” des Standards zum Schutz personenbezogener Daten in Clouds. Die Produkte können diesem Standard entsprechen, nicht aber danach zertifiziert werden. Entscheidend ist dabei, was Microsoft innerhalb der ISO/IEC 27018 umgesetzt hat.
Als Nutzer der Produkte in Deutschland ist man an das Bundesdatenschutzgesetz (BDSG) gebunden. Dessen Regelungen sind strenger sind als der Leitfaden. Solange man die nationalen Gesetze beachtet und sich nicht blind auf die Erfüllung des Standards der ISO 27018 verlässt, ist man auf der sicheren Seite.
ISO 27001
Sowohl Office 356 als auch Microsoft Dynamics CRM Online sind ISO/IEC 27001 zertifiziert. Die Norm stellt den internationalen Standard für die Realisierung eines wirksamen Informationssicherheit-Managementsystems (ISMS) dar und bildet die strukturelle Basis zum Schutz von vertraulichen Daten, für die Sicherstellung ihrer Integrität sowie zur Verbesserung der Verfügbarkeit von Informationen.
Fazit
Wie wir auch schon früher festgestellt haben, ist ein datenschutzkonformer Einsatz verschiedener Microsoft-Produkte möglich. Man sollte jedoch die Rechtslage beobachten – oder durch den Datenschutzbeauftragten beobachten lassen – denn es ist noch nicht sicher, welche weiteren Folgen die Entscheidung haben wird.