Microsoft setzt internationalen Standard für Datenschutz in der Cloud um

Die Norm ISO/IEC 27018 definiert ein einheitliches Konzept zum Schutz personenbezogener Daten in Public Clouds. Sie gilt nicht nur für Azure, sondern auch für Office 365, Dynamics CRM Online und Intune. Microsoft garantiert hohe Transparenz hinsichtlich der Verarbeitung der Daten sowie im Fall eines unautorisierten Zugriffs.

Microsoft hat den ersten internationalen Standard für Datenschutz in der Cloud umgesetzt. Der ISO/IEC-27018-Standard, eine Erweiterung der Norm ISO/IEC 27001, wurde von der International Organization for Standardization (ISO) mit dem Ziel entwickelt, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen.

Cloud Computing (Bild: Shutterstock)

Zusätzlich zu Microsoft Azure sollen auch Office 365 und Dynamics CRM Online den Verhaltensvorschriften („Codes of Practice“) des Standards zum Schutz personenbezogener Daten in Public Clouds entsprechen. Gleiches gilt für Microsoft Intune, wie Brad Smith, Executive Vice President und Chefjustiziar von Microsoft, in einem Blogbeitrag betont. Das sei durch unabhängige Tests des British Standards Institute und Bureau Veritas belegt.

Konkret sollen Unternehmenskunden durch Einführung des neuen Standards die vollständige Kontrolle über ihre Daten behalten. Sie werden darüber informiert, was mit ihren in der Cloud gespeicherten Informationen geschieht. Das schließt etwa die Rückgabe, Übermittlung und Vernichtung personenbezogener Daten ein. Microsoft teilt nicht nur mit, wo genau sich die Daten befinden, sondern auch, mit welchen Firmen es gegebenenfalls zusammenarbeitet, falls diese Zugriff auf die Daten benötigen. Außerdem werden Kunden informiert, falls es zu unerlaubten Zugriffen auf personenbezogene Daten oder auf die Verarbeitungseinheit respektive die Anlagen kommt, die zu Verlust, Offenlegung oder Änderung dieser Daten führen.

Zugleich verspricht Microsoft einen wirksamen Schutz der Daten. Beispielsweise legt der ISO/IEC-27018-Standard fest, dass sämtliche Personen, die mit der Verarbeitung personenbezogener Daten betraut werden, einer Geheimhaltungsverpflichtung unterliegen. Microsoft garantiert ebenfalls, die Daten nicht zu Werbezwecken zu nutzen.

Darüber hinaus schreibt der internationale Cloud-Datenschutz-Standard vor, dass Unternehmenskunden darüber informiert werden müssen, falls Ermittlungsbehörden die Herausgabe personenbezogener Daten fordern – es sei denn, diese Information ist rechtlich untersagt. Laut Smith folgt Microsoft diesem Ansatz bereits seit langem, bestätige seine diesbezügliche Verpflichtung durch die Übernahme des Standards aber nochmals.

„Alle diese Verpflichtungen sind vor dem Hintergrund des aktuellen rechtlichen Umfelds, in dem Unternehmenskunden zunehmend eigene Datenschutzverpflichtungen einhalten müssen, von noch größerer Bedeutung“, so Smith. „Wir sind optimistisch, dass ISO 27018 als gute Vorlage sowohl für Regulierungsbehörden als auch für Kunden dienen kann, wenn es um die Gewährleistung eines wirksamen Datenschutzes über Ländergrenzen und vertikale Branchensektoren hinweg geht.“

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cloud-Computing, Datenschutz, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Microsoft setzt internationalen Standard für Datenschutz in der Cloud um

Kommentar hinzufügen
  • Am 17. Februar 2015 um 13:01 von SELL

    Was nutzt die Rückgabe und sichere Löschung, wenn NSA per Gesetz alle USA kontrollierte Firmen zwingt Eure Daten bereit zustellen?

    Microsoft, wie alle USA- Firmen können / werden gesetzlich gezwungen, für NSA & Co, Hintertür für Spionage Euer Daten + Kommunikation + Standorte usw. einzubauen, um die Nutzer weltweit auszuspionieren… Auch EUCH in EU !
    Viele der ausspionierten Daten werden sehr lange gespeichert, und können auch in Jahrzehnten gegen EUCH verwendet werden !
    Das muss sich JEDER bewusst werden und bleiben, bevor der USA – Hardware oder Software nutzt oder kauft !!!
    Das gilt auch für alle Tochterfirmen von USA- Firmen ! Also auch für EU- Firmen die aus USA kontroliert werden.
    Auch Server in USA kontrollierten Gebieten werden ausspioniert, und damit auch Welt- Firmen die USA-Server nutzen.
    Prominente Beispiele sind folgende USA Firmen: Apple, Microsoft, Skype, Google, Android, Gmail, Hotmail, Outlook, Youtube, Facebook, Yahoo, AOL, PalTalk, SkyDrive und Web- Space Firmen mit Server in USA, uva.

  • Am 17. Februar 2015 um 13:46 von Kalle

    Es wäre besser, die Firmen würden die Klartexte gar nicht sehen können. Somit sollte MS nur verkryptete Daten bekommen und speichern. Dann ist die Verwendung der Daten schon kein Problem mehr, weil man sie nicht verwenden könnte…
    Es ist doch „hirnlos“ Leuten Daten zu geben, damit die dann versprechen nichts böses damit tun zu wollen.
    Alles was mitgelesen werden kann und nicht verschlüsselt ist, ist potentiell unsicher.

    Jede Cloud sollte unter diesem Gesichtspunkt betrachtet werden. Ich speichere nur unwichtige Dinge dort, weil ich eh davon ausgehe, dass alles mitgelesen werden.

  • Am 17. Februar 2015 um 16:47 von Boah

    Hier fliegt ja schon abenteuerliches paranoides Geschwurbel durch die Gegend.
    Natürlich, Microsoft als US-Konzern unterliegt der US-amerikanischen Gesetzgebung, die NSA kann im begründeten Fall alles in die Wege leiten, um Daten auf amerikanischen Servern zu erhalten.
    Und was ist daran jetzt verkehrt?
    Zur Erinnerung: In Deutschland können IT-Unternehmen auch verpflichtet werden, Vollzugsbehörden Zugang zu Daten im Rahmen der Aufklärung von Kriminalfällen zu geben, Voraussetzung auch hier wieder: Ein begründeter Verdacht. Kein vernünftiger Bürger würde dagegen protestieren, wenn bspw. SAP aufgefordert würde, Unternehmensdaten zur Aufklärung eines Verbrechnes zur Verfügung zu stellen.

    Zu dem Punkt:
    „Das gilt auch für alle Tochterfirmen von USA- Firmen ! Also auch für EU- Firmen die aus USA kontroliert werden.“

    Falsch. Secusmart ist mittlerweile ein deutsches Tochterunternehmen von Blackberry, als eigenständiges Unternehmen unterliegen sie dennoch in keiner Weise auf deutschem Boden der US-Gerichtsbarkeit.

    Natürlich, nach den Snowden-Enthüllungen darf man offen die Integrität von NSA und co. anzweifeln – überbewerten sollte man die Leaks jedoch nicht. Zahlreiche angebliche Einbrüche in ausländische IT Systeme sind bis heute unbegründet (siehe Telekom-Server).

    Für den Otto-Normal-Bürger und Otto-Normal-Anwendungen ist der ganze NSA-Skandal somit erstmal völlig uninteressant. Man muss schon sehr verblendet sein zu glauben, dass man als kleiner irrelevanter Bürger so wichtig wäre, als dass sich Geheimdienste mit einem beschäftigen.

  • Am 18. Februar 2015 um 22:08 von hermannk

    Im Artikel wird wiederholt darauf hingewiesen, dass der Datenschutz für Firmenkunden gilt. Kann ich daraus schließen, dass es für Privatkunden keinen Datenschutz gibt?

    Und was soll: „ …, dass Unternehmenskunden darüber informiert werden müssen, falls Ermittlungsbehörden die Herausgabe personenbezogener Daten fordern – es sei denn, diese Information ist rechtlich untersagt.“

    Erstens: Privatkunden sind ausgeschlossen.

    Zweitens: Damit Ermittlungsbehörden nicht schlecht dastehen, werden sie in fast allen Fällen die Weitergabe der Information untersagen.

    Also: Wo ist hier der Datenschutz? Habe ich da was überlesen?

  • Am 24. März 2015 um 17:39 von Gill Bates

    @Boah
    Diese Argumentation ist so schwach wie blöd ist. Bei der NSA Infrastruktur handelt es sich um eine 6-stellige Zahl von Personen, die mit dem Erheben und auswerten von Daten betraut werden. Die sind alle so vertrauenswürdig und moralisch wie unsere Volksvertreter, lol. Ich kennen in meinem beruflichen Umfeld, mindestens 3 Firmen, die leichtsinnigerweise sehr früh mit Cloudlösungen begonnen haben und heute feststellen, dass ihre Entwicklungen schon patentiert, geschützt oder in China für amerikanische Firmen nachgebaut werden. Natürlich ist alles nicht zu beweisen, weil vielleicht hatte ja zufällig eine andere Person in den USA, kurze Zeit nachdem man seine IT umgestellt hatte, die gleiche Idee …. Wer so leichtsinnig sein Kapital, die Arbeitsplätze seine Mitarbeiter, mit deiner einfältigen Argumentation aufs Spiel setzt, gehört auf seinen geistige Zurechnungsfähigkeit hin untersucht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *