Immer wieder gibt es Schlagzeilen und Annahmen, Microsoft sei nicht datenschutzkonform. Dabei fallen Aussagen wie „Die US-Regierung liest alles mit.“ oder „Die Cloud ist unsicher.“. Doch was ist überhaupt dran an diesen Aussagen?
Auf die Frage, ob Microsoft datenschutzkonform ist, antwortet Microsoft selbst folgendermaßen:
„Ja. Alle Microsoft Produkte und Dienste können in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden und sind auch selbst datenschutzkonform. Microsoft hält die Anforderungen des geltenden Datenschutzrechts ein.“ Quelle
Anhand des folgenden FAQs haben wir aufbereitet, wie die Datenschutzkonformität zustande kommt.
Wie wird sichergestellt, dass Microsoft Produkte und Dienste datenschutzkonform genutzt werden können?
- Microsoft macht vertragliche Zusagen, dass Kundendaten nicht für sachfremde Zwecke (z. B. Werbung) genutzt werden.
- Es werden rechtliche Schutzmaßnahmen gegen unrechtmäßige Herausgabeverlangen von Behörden/Dritten ergriffen.
- Dritten wird – falls überhaupt – nur im vertraglich vorgesehenen Umfang Zugriff auf Kundendaten gewährt.
- Für die Verschlüsselung von Kundendaten verwendete Plattform-Schlüssel werden nicht preisgegeben.
- Dritten wird nicht die Möglichkeit eingeräumt, diese Verschlüsselung zu überwinden.
- Daten können technisch abgesichert werden, z. B. durch Verschlüsselung, Pseudonymisierung, differenzierte Zugriffsberechtigungen und die Automatisierung von sicherheitsrelevanten Prozessen
Wer überprüft diese Datenschutzkonformität?
Microsoft unterzieht sich mindestens einmal im Jahr Überprüfungen von international anerkannten, unabhängigen Auditoren. Diese überprüfen auf Grundlage des ISO/IEC 27001-Standards, ob Microsoft die Richtlinien und Verfahren für Sicherheit, Datenschutz, Kontinuität und Konformität gewährleistet. Weiterhin erfüllt Microsoft den Anforderungskatalog Cloud Computing (C5) des BSI6 und verfügt über eine Vielzahl weiterer relevanter Zertifizierungen und Attestierungen wie z. B. den ISO/IEC 27018-Standard für Datenschutz in der Cloud und den ISO/IEC 27701-Standard zum Datenschutz-Risikomanagement.
Quelle
Speichert Microsoft Kundendaten in den USA?
Bereits jetzt speichert Microsoft Daten weitgehend regional in Rechenzentren in der EU. Zusätzlich – obwohl es keine gesetzliche Verpflichtung dazu gibt – wird die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.
Quelle
Sind Datentransfers in Drittstaaten (USA) nicht unzulässig?
- Die DSGVO erlaubt Übermittlungen in Drittstaaten, einschließlich in die USA, unter Nutzung von geeigneten Garantien (z. B. Standardvertragsklauseln 2021/914 und zusätzliche Maßnahmen).
- Dabei ist eine Risikoanalyse im Lichte der Schrems II-Rechtsprechung des EuGH durchzuführen und es sind ggf. zusätzliche Maßnahmen zu implementieren.
- Microsoft bietet für Datenübermittlungen in Drittstaaten zusätzliche, rechtlich anerkannte Schutzmechanismen, wie zusätzliche vertragliche Klauseln.
Überwacht Microsoft die Nutzer seiner Produkte und Dienste?
Nein. Die Verbindung zwischen Nutzer und Microsoft (z. B. über Server und Rechenzentren) ist technisch notwendig: Cloud-Dienste funktionieren nur, wenn Nutzeraktionen übermittelt werden, damit die jeweilige Reaktion der Applikation ausgeführt werden kann. Das ist technisch mit Verarbeitungen bei on-premise Lösungen vergleichbar.
Ist die Cloud-Nutzung nicht total unsicher?
Nein, denn tatsächlich führt die Cloud-Nutzung zu einer erhöhten Sicherheit und Verfügbarkeit von Daten im Vergleich zu on-premise Lösungen. Vorschriften zum technologischen Schutz von Daten (z. B. Art. 32 DSGVO) machen es erforderlich, den Schutz an die technischen Gegebenheiten fortwährend anzupassen und weiterzuentwickeln. Cloud-Lösungen bilden fortlaufend die aktuellen Sicherheitsanforderungen ab.
Ist der Einsatz von Microsoft 365 für Unternehmen sicher?
Kurze Antwort: Ja! Denn: Microsoft treibt mit enormer Wirtschaftskraft die Sicherheit der eigenen Lösungen voran.
Sven Hillebrecht, General Manager und Sicherheitsexperte bei Adlon, sagt hierzu:
„Wir fühlen uns in Sachen IT-Sicherheit bei Microsoft schon ziemlich gut aufgehoben. Nicht nur das: Wir setzen sogar darauf, dass wir mit Microsoft-Technologien die Security unserer Kunden stärken und sichern können.
Allerdings muss man die Möglichkeiten kontinuierlich administrieren, organisieren und pflegen. Gerade weil Microsoft einen großen Fundus an technischen Möglichkeiten, Informationen und Hilfestellungen bereitstellt, benötigt es einen Kümmerer, der am Ball bleibt und sich darin fortbildet. Die Verantwortung für die Sicherheit im Unternehmen bleibt im Unternehmen.“
Sven Hillebrecht führt weiter aus, dass es für Firmen ohne IT-Kapazitäten und fachliche Ressourcen Sinn macht, einen Partner ins Boot zu holen: „Zur Minimierung relevanter Risiken gibt es Partner, die sich um die IT-Security ganzheitlich kümmern. ADLON setzt die gesamte Palette an Möglichkeiten ein, die Microsoft bietet.“
Wir bieten beispielsweise folgende Möglichkeiten:
Managed M365 Base
Mit Managed Workplace Base haben Sie die Mindestanforderungen an Transparenz, Kontinuität, Sicherheit und Entwicklung Ihres digitalen Arbeitsplatzes abgedeckt. Dabei werden die Funktionen von Microsoft 365 mit der Erfahrung von Adlon zu maßgeschneiderten Services geschnürt und stellen zusammen die Basis für den Betrieb Ihres digitalen Arbeitsplatzes dar. Die Base!
Zum Service
Managed Security
Mit Managed Security kommen wir den Anforderungen von Firmen mit individuellen Sicherheitsanforderungen an den digitalen Arbeitsplatz nach. Wir identifizieren relevante Risiken und integrieren davon abgeleitet die geeigneten Managed Security Bausteine. Darauf aufbauend überwachen wir Ihre Arbeitsplatzumgebung, beheben kleinere Störfälle und entwickeln Ihre Sicherheitsmaßnahmen kontinuierlich weiter. Sie profitieren von einem umfassenden Sicherheits- und Risiko-Management Ihrer Arbeitsplatzstrukturen.
Zum Service
Zurück