Datenschutz in der Cloud im Griff: Die wichtigsten Microsoft-Ressourcen zu DSGVO, Privacy Shield, Telemetrie & Co.

Mit der zunehmenden Nutzung von Cloud-Services müssen sich Unternehmen auch intensiver mit Themen wie Datenschutz und Compliance befassen. Wie komplex, und oft auch unsicher die Lage ist, zeigte zuletzt wieder das EuGH-Urteil gegen das Privacy-Shield-Abkommen zwischen der EU und den USA. Zu den weiteren wichtigen Sicherheits- und Datenschutzaufgaben zählen DSGVO, Telemetriedaten oder der Umgang mit Geschäftsgeheimnissen. Microsoft unterstützt seine Kunden inzwischen mit etlichen Services und Infoseiten – die wichtigsten davon haben wir hier zusammengestellt.

Privacy Shield unwirksam – was heißt das?

Wie sicher ist der Datenaustausch mit den großen Anbietern in den Vereinigten Staaten? Das EuGH-Urteil zur Ungültigkeit von ‚Privacy Shield‘, oder auch Schrems II, wirft genau diese alte Frage wieder neu auf und dürfte vielen Anbietern und Anwendern Kopfzerbrechen bereiten. Keine großen Sorgen müssen sich hier aber die Microsoft-Kunden machen, denn für die Microsoft-Cloud-Dienste gelten die Standardvertragsklauseln, wie Microsoft in einer Stellungnahme erläutert. Und deren Gültigkeit hat der EuGH bestätigt.

DSGVO bleibt weiter ein Thema

Das große Thema von 2018 war die Datenschutzgrundverordnung (DSGVO, englisch GDPR), die seither in allen EU-Mitgliedsstaaten gilt. Als erledigt kann man das aber keinesfalls bezeichnen, denn zum einen sind viele Firmen noch mit der Umsetzung befasst, außerdem werden in Cloud-Diensten laufend Änderungen vorgenommen, die unter Umständen einer neuen Bewertung bedürfen.

Office-Telemetriedaten lassen sich abstellen

Für Wirbel sorgte im letzten Jahr ein Gutachten der holländischen Regierung , das die Erfassung und Sendung von Telemetriedaten aus den Office-Anwendungen (Office ProPlus) für unzulässig befand. Microsoft hat inzwischen darauf reagiert und eine Auswahloption eingeführt, mit der sich die Übertragung der laut Microsoft anonymisierten Daten abstellen lässt. Außerdem wurden Anfang 2020 die „Online Services Terms“ erweitert, das Data Protection Addendum ist als separates Dokument erhältlich (Microsoft Online Services Terms).

Gesetzt zum Schutz von Geschäftsgeheimnissen

Ein nicht so ganz populäres, aber nicht minder sensibles Thema ist der Schutz von Geschäftsgeheimnissen, der seit dem letzten Jahr auch per Gesetz geregelt ist. Zwar gibt es hier keinen unmittelbaren Bezug zur DSGVO, jedoch lassen sich viele technische Maßnahmen auch dafür nutzen. Ein Beispiel dafür wäre die Datenverschlüsselung mit Information Protection.

Übersicht I: DSGVO und Compliance

Microsoft stellt Kunden und Partnern eine Vielzahl an Informationen und Diensten zur Verfügung, um die Befolgung dieser Vorgaben, Audits oder Gesetze umzusetzen. Die Fülle der Informationen ist allerdings enorm, und über diverse Websites und Portale verstreut. Hier haben wir die wichtigsten Quellen zusammengefasst:

Dazu ist noch zu ergänzen, dass der Compliance Manager Classic und die Accountability Readiness Checklist eher auf die juristische Perspektive fokussieren, während sich das neue Compliance Manager Portal und der Microsoft Compliance Score an die IT-Sichtweise. Das kann man an diesen beiden Bildern sehen:

Übersicht II: Telemetriedaten

Wenn es um Telemetriedaten beim Einsatz von Microsoft-Cloud-Services geht, stellt Microsoft folgende Informationen zur Verfügung:

Leitfaden für Datenverantwortliche, die Microsoft Office 365 verwenden

Mit den Datenschutz-Folgenabschätzung im Office 365-Kontext befasst sich der Leitfaden Datenschutz-Folgenabschätzung – Leitfaden für Office 365

guest
0 Comments
Inline Feedbacks
View all comments