Microsoft bringt Datenschutz in die Cloud: Office 365 erhält neue EU-konforme Verträge

Office 365 LogoIm Zuge der Datenschutzdebatte erhielt die Euphorie vieler Cloud-Anbieter einen ordentlichen Dämpfer. So musste beispielsweise Microsoft beim Office-365-Start einräumen, dass es wie alle US-Anbieter bei Ermittlungen zur Herausgabe von Kundendaten gezwungen werden könne. Zudem stellte der deutsche Anwaltsverein fest, dass Cloud-Computing mit ausländischen Anbietern nicht rechtmäßig sei. Deshalb habe das Unternehmen in den letzten Monaten hart gearbeitet, um den strengen deutschen Datenschutzbestimmungen gerecht zu werden, sagte gestern Microsofts Deutschlandchef Ralph Haupter im Rahmen der Vorstellung der neuen Verträge und Datenschutzservices für Office 365.

Microsoft ergreift mehrere Maßnahmen, um einerseits seine Cloud-Angebote wie Office 365 rechtssicher zu gestalten, und andererseits seine Kunden umfassend über alle Aspekte des Datenschutzes zu informieren. Zum einen richteten die Redmonder auf der Website trustcenter.office365.de ein Trustcenter ein, das ab Mitte Dezember unter anderem Links zu den “EU Model Clauses” enthalten wird. Auch direkt aus der Office-365-Konsole wird es dann einen Zugang geben. Kunden können sich hier informieren, wo sich ihre Daten befinden, wer darauf Zugriff hat, wie Microsoft diese Daten schützt und welche Zertifizierungen alles erfüllt werden. Genannt wurden bei der gestrigen Vorstellung ISO 27001, SAS 70 Type II, FISMA und Save Harbour.

Office 365 erhält außerdem ab Mitte Dezember neue Vertragsbestimmungen, die den datenschutzrechtlichen EU-Standardvertragsklauseln (EU Model Clauses) entsprechen. “Microsoft nimmt hier eine Vorreiterrolle ein, indem es jedem Kunden Model Clauses in Kombination mit einer Vereinbarung zur Auftragsdatenverarbeitung anbietet”, kommentierte auf der Veranstaltung Peter Bräutigam, der Anwalt für IT-Recht und Honorarprofessor an der Universität Passau ist.

Als problematischer Punkt wurde das Thema Auditing bezeichnet, da in großen Rechenzentren ein regelrechter Tourismus zur Vor-Ort-Besichtigung mit zusätzlichen Datenschutzrisiken zu befürchten sei. Zukünftig sollen deshalb neutrale Wirtschaftsprüfer die Kontrolle und Zertifizierung durchführen. Die datenschutzrechtliche Verantwortung liegt aber am Ende immer beim Kunden, weder Microsoft noch seine Partner können dafür Haftung übernehmen.

wm@sharepoin