Aufgrund einiger Nachfragen und da es zur Zeit doch einige Unsicherheiten bei der Nutzung von cloud Diensten zu geben scheint, möchten wir Euch einige Informationen von Microsoft zum Thema “Datenschutz und Datensicherheit bei Microsoft Office 365” aufzeigen.

Microsoft veröffentlicht unter der Webseite

 

 

 

 

einige sehr hilfreiche Informationen, welche Dir bei der Fragestellung “Darf ich meine Daten und eventuell personenbezogene Daten bei Microsoft Office365 in der cloud speichern? Vorneweg, es werden und können nicht alle Fragen von Microsoft beantwortet werden. Einige bleiben offen und müssen je nach Anwendungsfall im einzelnen mit der jeweiligen zuständigen Behörde eventuell indiviuell vereinbahrt werden. Dies ist zum Beispiel auch zwischen einem deutschen Steuerberater und der zuständigen Finanzbehörde nach Durchsicht aller von Microsoft veröffentlichen Informationen passiert. Leider kenne ich dazu keine Kontaktdaten um dies bestätigen zu lassen. Aber zumindest gibt es damit die Hoffnung, das nicht alle deutschen Behörden gegen cloud basierte Applikationen sind.

Eine wichtige Voraussetzung zur Nutzung von cloud basierten Diensten, im übrigen gilt das für jede Person (privat, juristisch oder persönlich), ist die Informationsfreigabe des Anbieters und die persönliche Aufbereitung dieser Informationen des Dateninhabers. Über die Einsicht der Informationen auf der obrigen Seiten erfüllst Du die Verpflichtung nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG). Bitte darauf achten, das BDSG und das TMG mehrere Verpflichtungen definieren , es obliegt Deiner Verantwortung diesen nach zu kommen.

Was steht aber als Bespiel in so einem Text?

So sollten beispielsweise Organisationen, für die die EU-Datenschutzrichtlinie gilt, über eigene Richtlinien, Sicherheiten und Schulungsprogramme verfügen, um sicherzustellen, dass ihre Mitarbeiter den Dienst Microsoft Online Services nicht in einer Weise verwenden, die gegen diese Richtlinie verstößt. Wir von Microsoft Online Services tragen unseren Teil dazu bei, indem wir unsere Versprechen halten und Ihnen damit bei der Einhaltung der Konformität helfen.

Hier ein Beispiel: Ein EU-Kunde speichert möglicherweise eine Kundenliste mit Kontaktinformationen. Microsoft Online Services verfügt über Sicherheitsverfahren, mit denen gewährleistet wird, dass Microsoft-Personal nicht unzweckmäßig auf diese Informationen zugreift bzw. diese offenlegt. Einer der Mitarbeiter des Kunden, der Microsoft Exchange Online nutzt, könnte jedoch den Dienst dazu verwenden, um eine solche Kundenliste ohne vorherige entsprechende Zustimmung an einen Händler zu senden. Alle resultierenden Verletzungen der EU-Datenschutzanforderungen, die daraus entstehen, dass Microsoft Online Services die Richtlinie des Kunden befolgt hat – nämlich dass der Versand einer E-Mail im normalen Verlauf der Dienstbereitstellung veranlasst wurde – liegen in der Verantwortung des Kunden.

Im Grunde genommen, klare Aussagen. Zum einen, Microsoft garantiert durch den Vertragsabschluss (nur dann kommt ein Auftrag erst zu Stande) das durch die Microsoft Mitarbeiter keine unzweckmässigen Zugriffe auf die gehosteten Daten erfolgen. Dies nennt man häufig auch “Zweckbestimmung” welches häufig auch in internen Absprachen wie zum Beispiel mit einer Betriebsratsvereinbahrung getroffen wird. Erst wenn ein Mitarbeiter des Microsot Kunden, in diesem Fall der Nutzer des Dienstes oder eine zur Nutzung berechtigte Person diese Mail oder diese daten unbefugt (also unzweckmässig) verwendet, erfolgt ein Bruch dieser speziellen “Datenschutzrelevanten Nutzung”, aber ebend nicht durch Microsoft, sondern durch den Datenbesitzer selbst. Damit hat Microsoft auch nicht die Haftung zu tragen. Nun gibt es leider einige, die gerade deswegen eines “drauf setzen”, in dem verlangt wird, das die Nutzer selbst überwacht und kontrolliert werden. Im Falle von Sharepoint wäre das zum Beispiel die Protokollierung von “administrativen” Vorgängen eines jeden Benutzers. SharePoint 2010 besitzt schon gute Möglichkeiten, Richtlinienbasierte Protokolle zu definieren und aufzuschreiben, leider reichen die manchen deutschen Datenschützern nicht immer aus.

Für sensible Daten, welche normal lokal gehostet werden (on-premises), könnt ezum Beispiel mit dem Produkt von AvePoint “DocAve Auditor” diese Anforderung erfüllt werden. Meines Wissens nach, eines der preiswertesten Produkte auf dem Markt für SharePoint. Informationen sind als Link im Produktnamen verknüpft.

So, nun viel Spass beim studieren. Ein letzter Tipp noch. Es hilft zur Erfüllung der BDSG Vorgaben übriegends, das man sich notiert, wann man welche Informationen (mit Quellennachweis) gelesen hat (Nachweis der Kontrolle bzw. Durchsicht aller Informationen eines cloud Anbieters).

Hier nun die groben Artikelverknüpfungen von Microsoft zum Thema Office 365:

 

 

 

 

The short URL of the present article is: http://wp.me/p1MQAv-kH

Tagged with:

Filed under: Office 365 GridOffice365