Microsoft und der Datenschutz

Cloud Computing ist mittlerweile für viele Unternehmen eine wichtige Säule der Unternehmensorganisation. Doch die jüngsten Medienberichte über Internet-Spionage, die Weitergabe von sensiblen Daten an Regierungsbehörden oder Datendiebstahl sorgen für immer mehr Rechtsunsicherheit – auch bei Unternehmen. In einem aktuellen Paper beschäftigt sich Microsoft nun mit der juristischen und praktischen Natur des Cloud Computings.

Wer ist für Datensicherheit verantwortlich?

Ob Office 365, Dynamics CRM oder das simple ERP-Hosting: Allen drei angebotenen Web-Services zu eigen ist, dass Unternehmen sensible Daten in das Microsoft Rechenzentrum auslagern. Angesichts der jüngsten Ereignisse stellt sich die Frage, wer bei Datenmissbrauch die Verantwortung trägt: das eigne Unternehmen oder Microsoft?

In der Regel gilt: Für die Einhaltung gesetzlicher Bestimmungen hinsichtlich der Nutzung personenbezogener Daten ist derjenige verantwortlich, der diese erhebt und verarbeitet. Dennoch sind Hosting-Anbieter nicht gänzlich unverantwortlich. Bestimmte gesetzliche Richtlinien müssen hier eingehalten werden.

Präventive Maßnahmen von Microsoft

In einem Paper hat Microsoft nun alle bisherigen und zukünftigen Bestrebungen bezüglich des Datenschutzes zusammengefasst. Hier heißt es unter anderem, dass beispielsweise bereits die EU Model Clauses für einige Lösungen (CRM Online und Office 365) implementiert wurden. Aktuell arbeite man an einer einheitlichen Regelung für das gesamte Cloud-basierte Lösungsportfolio. Dass das Thema Datenschutz ernst genommen wird, zeigt auch das Initiativprojekt Trust Center, mit dem Microsoft seine Kunden über Datenschutzmaßnahmen aktiv informiert und Hilfestellungen bereitstellt.

Im Überblick hat sich Microsoft aktuell folgenden gesetzlichen Bestimmungen unterworfen:

• Safe Harbor-Abkommen:

Das Abkommen zwischen den USA und der EU stellt sicher, dass US-Unternehmen personenbezogene Daten auf vergleichbarem Datenschutzniveau wie innerhalb Europas speichern. Grundlage dazu ist eine entsprechende Zertifizierung.

• EU Model Clauses:

Die EU-Standardvertragsklausen stellen Richtlinien zum Datentransfer zwischen Unternehmen innerhalb der EU fest, wozu unter anderem auch ein ausdifferenziertes Auditrecht oder die Offenlegung von Subunternehmen zählen.

• Patriot Act:

Das US-Bundesgesetz zur Terrorbekämpfung regelt, unter welchen bestimmten und stark reglementierten Bedingungen US-Behörden auf Daten von Unternehmen und Privatpersonen zugreifen können.

• ISO/IEC 27001

Die internationale Norm definiert, wie Informationssicherheitsmanagementsysteme implementiert, betrieben, geprüft und verbessert werden. Die ISO-Norm gilt als Maßstab für sichere Cloud-Anbieter.

Das vollständige Paper können Sie hier herunterladen: Microsoft und der Datenschutz.