Wie sieht es mit dem Datenschutz des neuen Angebots aus? Unterstützt Microsoft auch in der globalen Microsoft Cloud die Anforderungen des deutschen und europäischen Datenschutzes (DSGVO/GDPR)?

Microsoft unterstützt für die Online-Dienste aus der globalen Microsoft Cloud eine Vielzahl von internationalen, europäischen und deutschen Datenschutzstandards, mehr Details dazu finden Sie auf dieser Seite von Microsoft. Dies stellt die Basis dafür dar, dass die Nutzung dieser Dienste grundsätzlich den Anforderungen der DSGVO bzw. GDPR entspricht. Der Kunde ist jedoch letztlich dafür verantwortlich, einen DSGVO-konformen Umgang mit Daten zu gewährleisten. Microsoft oder auch die Deutsche Telekom unterstützen dies durch entsprechend zertifizierte Dienste und Plattformen sowie Sicherheits- und Datenschutzfunktionen.

Umfassende Informationen zum Datenschutz von Microsoft finden Sie auf dieser Seite.

Wer hat Zugriff auf meine Daten?

Die Cloud Services von Microsoft unterliegen strengen Regeln, damit Kundendaten vor unerlaubtem Zugriff geschützt sind, inklusive einer Zugriffseinschränkung für Microsoft-Mitarbeiter und Vertragspartner. Auch die Bedingungen für Behördenfragen sind im Detail definiert. Als Kunde können Sie jedoch auf Ihre eigenen Kundendaten jederzeit und aus jedem Grund zugreifen.

Ist im neuen Angebot auch das Datentreuhänderangebot (Data Trustee) durch T-Systems enthalten?

Das Datentreuhändermodell, das den Zugriff auf die Daten ausschließlich nach deutschem Recht gewährleistet, steht ausschließlich in der Microsoft Cloud Deutschland zur Verfügung und kann für die globale Microsoft Cloud-Plattform nicht mehr angeboten werden.

Welche Möglichkeiten habe ich, wenn meine Daten besonders geschützt werden müssen oder ich besonderen Auflagen beim Schutz der Daten unterliege?

Kundendaten werden in den Rechenzentren der Microsoft Cloud grundsätzlich durch eine Vielzahl von Technologien und Prozessen geschützt, einschließlich verschiedener Formen der Verschlüsselung.

Erweiterte Anforderungen an den Schutz der gespeicherten Daten ermöglicht eine sogenannte End-to-End-Verschlüsselung, die auf Software/Client-Basis wie auch auf Netzwerk-Basis erhältlich sind. Der Unterschied zur Verschlüsselung durch Microsoft ist, dass nur der Kunde im Besitz des Schlüssels ist und die Daten auch von Microsoft zu keinem Zeitpunkt der Datenverarbeitung oder -speicherung entschlüsselt werden können.

Bei Bedarf beraten Sie unsere Cloud-Experten gerne.

Wie werden meine Daten in den Microsoft Rechenzentren geschützt?

Microsoft hat ein umfassendes Sicherheitskonzept, um die in den deutschen oder internationalen Rechenzentren abgelegten Daten zu schützen. Dazu gehört der physische Schutz der Rechenzentren durch ein Mehr-Schichten-Prinzip u. a. von Barrieren, Zäunen, Bewegungssensoren, Videoüberwachung und Alarmanlagen.

Der Zugriff auf die Daten wird über eine rollenbasierte Zugriffssteuerung für autorisierte Experten und Mitarbeiter bis hin zu Maßnahmen für Georedundanz und Notfallwiederherstellung, um einen unterbrechungsfreien Betrieb der Microsoft Cloud-Dienste zu gewährleistet.

Wie ist Übertragung von Daten in andere Länder geregelt?

Microsoft hält internationale Datenschutzgesetze ein, die die länderübergreifende Übertragung von Kundendaten regeln. Damit Daten, zum Beispiel bei internationalen Unternehmen, ungehindert fließen können, bieten viele der Cloud Services von Microsoft die EU-Standardvertragsklauseln, die gemeinsam mit EU-Datenschutzbehörden implementiert wurden und den strengen Datenschutzstandards entsprechen, denen Unternehmen in EU-Mitgliedstaaten in Bezug auf internationale Datenübertragungen unterliegen. Microsoft versichert, keine Daten an Dritte zu übertragen, die Kunden Microsoft durch die Verwendung von Business Cloud Services zur Verfügung stellen und die unter die Nutzungsbedingungen der Microsoft Online Services fallen.

Was passiert mit meinen Daten, wenn ich einen Microsoft-Dienst kündige oder ein Abonnement ausläuft?

In seinen Online Services-Nutzungsbedingungen beschreibt Microsoft die Prozesse für den Umgang mit Kundendaten, falls ein Kunde die Nutzung eines Cloud-Dienst beendet oder ein Abonnement ausläuft.
 
Sollte ein Abonnement enden oder beendet werden speichert Microsoft, außer bei kostenlosen Testversionen, Daten für 90 Tage (Aufbewahrungsfrist) unter einem Konto mit eingeschränkter Funktionalität, damit man Zeit hat, die Daten zu extrahieren oder das Abonnement zu verlängern. Während dieses Zeitraums erhält man mehrere Benachrichtigungen von Microsoft, in denen man über die bevorstehende Löschung der Daten informiert werden.
 
Nach der 90-tägigen Aufbewahrungsfrist deaktiviert Microsoft das Konto und löscht die Kundendaten, einschließlich aller zwischengespeicherten Daten und Sicherungskopien. Für die im Leistungsumfang enthaltenen Dienste erfolgt die Löschung innerhalb von 90 Tagen nach Ende der Aufbewahrungsfrist.
 
Wenn ein zu Speicherzwecken genutztes Laufwerk aufgrund eines Hardwarefehlers ausfällt, werden enthaltene Daten gelöscht oder das Gerät unbrauchbar gemacht, bevor es von Microsoft zum Austausch oder zur Reparatur an den Hersteller zurückgegeben wird. Die Daten auf dem Laufwerk werden vollständig überschrieben, um sicherzustellen, dass sie unter keinen Umständen wiederherstellbar sind.

Welchen Vorteil bieten die neuen deutschen Rechenzentren beim Datenschutz im Vergleich zu den europäischen Rechenzentren der globalen Microsoft Cloud-Plattform?

Neben der Unterstützung einer Vielzahl von internationalen und europäischen Datenschutzstandards und Zertifizierungen werden in den neuen deutschen Rechenzentren folgende Standards zusätzlich unterstützt:

Cloud Computing Compliance Controls Catalog (C5) des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Anforderungskatalog „Cloud Computing Compliance Controls Catalog“ (C5) im Jahr 2016 erstellt. Der C5 ist ein geprüfter Standard, der verbindliche Mindestanforderungen für die Cloudsicherheit und die Einführung von Public Cloud-Lösungen für deutsche Regierungsbehörden und Organisationen, die mit der Regierung zusammenarbeiten, festlegt. Der C5 wird auch zunehmend im privaten Sektor genutzt.
Ziel des C5-Katalogs ist ein einheitlicher Sicherheitsrahmen für die Zertifizierung von Clouddienstanbietern und die Zusicherung für Kunden, dass ihre Daten sicher verwaltet werden. 
Wie Microsoft nach der C5-Zertifizierung vorgeht bzw. eine Zertifizierung von Kunden unterstützt lesen Sie hier.

IT-Grundschutz (BSI)

Zur Unterstützung von Organisationen bei der Erkennung und Umsetzung von Maßnahmen zum Schutz von IT-Systemen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) grundlegende Standards zum Schutz der Informationstechnologie erstellt, den sogenannten IT-Grundschutz. Diese BSI-Standards umfassen:

• Ein Information Security Management System (ISMS) nach ISO/IEC 27001-Standards (BSI-Standard 100-1)
• Die IT-Grundschutz-Methodik, welche die Einrichtung und den Betrieb eines ISMS beschreibt (BSI-Standard 100-2)
• Eine Methode zur Risikoanalyse (BSI-Standard 100-3)
• Die IT-Grundschutz-Kataloge, einen Standardsatz von potenziellen Gefahren und entsprechenden Schutzmaßnahmen für typische Geschäftsumgebungen.

Wie Microsoft die IT-Grundschutz-Zertifizierung unterstützt lesen Sie hier.

Automotive: Trusted Information Security Assessment Exchange (TISAX)

Um die immer weiter zunehmende Vernetzung in der Automobilindustrie zu sichern, hat der Verband der Automobilindustrie (VDA) einen Kriterienkatalog zur Bewertung der Informationssicherheit entwickelt. Das VDA Information Security Assessment (Deutsch und Englisch) basiert auf den Grundlagen der internationalen Normen ISO/IEC 27001 und 27002, die an die Automobilindustrie angepasst sind. Im Jahr 2017 wurde es aktualisiert, um die Kontrollen für die Nutzung von Cloud-Diensten abzudecken. 
Details, welche Microsoft-Dienste einer TISAX Bewertung unterzogen wurden, lesen Sie hier.

Institut der Wirtschaftsprüfer in Deutschland: PS 951 (IDW)

Der Prüfungsstandard 951 des Instituts der Wirtschaftsprüfer in Deutschland e.V., in der Regel abgekürzt als IDW PS 951 n.F., ist ein vom Institut der Wirtschaftsprüfer in Deutschland (IDW) veröffentlichter Prüfungsstandard, in dem die Prüfung eines ausgelagerten internen Kontrollsystems auf ein Dienstleistungsunternehmen geregelt ist.