Office 365 – CRM Online – AZURE Datenschutzbestimmungen

Microsoft hat auf seinen Informationsseiten um den Datenschutz einige Aktualisierungen vorgenommen.
Ebenfalls sind auch für die neue Wave 15 Online Version, unter dem Codenamen “Office 365 Preview” die wesentlichen Dokumente eingebunden worden. Zusätzlich fallen nun unter den meisten Verträgen, wie den “EU Model Clauses” oder der Vertrag über eine “Auftragsdatenverarbeitung” auch für CRM Online zusammen.

Folgende Verträge stehen derzeit bereit:

Office 365 and CRM Online Data Processing Agreement (with EU Standard Contractual Clauses) [English]
Office 365 and CRM Online HIPAA/HITECH Business Associate Agreement [English]
Office 365 and CRM Online Data Processing Agreement [English]

Den Verträgen muss mann auf seiner eigenen Online Administrationsseite manuell zustimmen.

 

Um auf diese Seite zu kommen, muss man hier klicken:

EU Model Clauses. In addition to EU Safe Harbor, Office 365 is the first major business productivity public cloud service provider to sign the standard contractual clauses created by the European Union (“EU Model Clauses”) with all customers. EU Model Clauses address international transfer of data. Visit here to get a signed copy of the EU Model Clauses from Microsoft.

Der Klick geht je nachdem, wo man seinen Account hat entweder auf die laufende produktive Office 365 Seite oder auf die Preview Seite. Ist also abhängig vom angemeldeten Benutzer. Es zeigt aber, das auch schon die Preview Version von Anfang an den Vertrag für jeden anbietet.

Auf den Seiten “Security and Privacy for Other Microsoft Services” (in englisch) werden alle Elemente aufgezeigt.
Die deutsche Seite ist dann hier zu finden “Sicherheit und Datenschutz für andere Microsoft-Dienste

.

Diese Website umfasst die folgenden, direkt von Microsoft erworbenen Microsoft Office 365- und Microsoft Dynamics CRM Online-Angebote: Office 365 Plan E1, E2, E3, E4, P1, K1 und K2; Exchange Online Plan 1, Plan 2 und Kiosk; SharePoint Online Plan 1 und 2; Office Web Apps Plan 1 und 2; Lync Online-Dienste sowie Microsoft Dynamics CRM Online Professional.

Diese Seite enthält möglicherweise nicht die richtigen Informationen für Sie, wenn Sie:

  • Ein Endbenutzer von Microsoft Online Services sind, z. B. ein Mitarbeiter eines unserer Geschäftskunden. Wenn Sie Informationen zu den Datenschutzpraktiken in Ihrer Organisation benötigen, wenden Sie sich bitte an Ihren Systemadministrator oder eine andere Person, die mit den Datenschutzpraktiken in Ihrer Organisation vertraut ist.
  • Ein Kunde der Business Productivity Online Services, Azure-Dienstplattform oder von Windows Intune sind. Informationen zu diesen Diensten finden Sie in diesen Datenschutzbestimmungen.
  • Ein Kunde von Microsoft Dynamics CRM Online sind, und Ihre Onlinedienste nicht über das Microsoft Online Services-Portal verwalten.
  • Ein Benutzer der Verbraucherdienste von Microsoft sind, darunter Windows Live, Bing, MSN oder Xbox. Siehe diese Datenschutzbestimmungen.
  • Ein Kunde sind, der Microsoft Online Services durch einen Microsoft-Partner erworben hat und die Abrechnung für den Dienst von diesem Partner erhält. Wenden Sie sich bitte an den Partner, über den Sie den Dienst erworben haben, um Informationen zu bestimmten Datenschutzpraktiken bei Ihrer Dienstversion zu erhalten.
.

Im gesamten wirkt allerdings das Trust-Center inzwischen sehr aufgeräumt.

Aber auch CRM Online hat ein eigenes Trust Center, wobei, wie man oben sehen konnte, das eine oder andere sich wiederholt. Das ist ebend der Vorteil, wenn auch ein Online Dienstanbieter seine Applikationen konsolodiert.

Hier geht es zum “Das Microsoft Dynamics CRM Online Trust Center

Eine interessante Sache habe ich dann in dem verlinkten Dokument zu den Geografischen Grenzen entdeckt.
Bisher ging ich immer davon aus, das die Daten auch nach USA (auf Basis des Safe Harbor Abkommens) transferiert werden. Dies scheint aber gar nocht so zu stimmen.

Denn wenn man isch das aus einer technischen Brille genauer anschaut, geht es durchaus zwar um Datentransfer, dieser ist aber in mehreren Verwendungszwecken aufgegliedert.

Technische Administratorrollen, kaufmännische Besitzer und ähnliche Informationen werden wie bei eBay und PayPal in den USA zusätzlich gespeichert.

Die Inhaltsdaten allerdings, nur in den zwei Rechenzentren Irland und Niederlande. Wobei jeweils das eine ein primäres Rechenzentrum ist und das zweite ein Backup Rechententrum. Hier die Auszüge aus dem PDF

.
Microsoft’s Primary Data Centers
A primary data center is where the application software and the customer data running on the application software are hosted.  Office 365 uses several primary data centers.Microsoft’s data center in Ireland is the primary data center for ForeFront Online Protection for Exchange.
Microsoft’s data center in the Netherlands is its primary data center for SharePoint Online.
This includes the Office Web Apps when used as part of SharePoint Online.  Microsoft also uses its data centers in Ireland and in the Netherlands interchangeably as primary data centers for Exchange Online (including the Office Web Apps when used as part of Exchange Online) and Lync Online.
Microsoft maintains multiple data centers in the United States.   It uses these data centers, along with its data center in Ireland, as the primary data centers for the Microsoft Online Portal and for all Office 365 services’ directory data, with data replicated between locations. However, if you are accessing the Microsoft Online Portal from a region other than the U.S. or the EU, then web-pages you are viewing will be hosted in that region’s data center. Microsoft also uses data centers in the U.S. to host a small amount of data, including user email addresses, which is used for routing Lync Online communications.Microsoft also uses its U.S. data centers to load balance with its primary data center in Ireland for ForeFront Online Protection for Exchange.  Finally, Microsoft uses one or more U.S. data centers  as primary data centers for all Office 365 services’ authentication (this includes storing end users’ names, usernames, Online ID passwords, and universal identifiers used to log into the Office 365 services), and for Office Professional Plus.Microsoft’s Backup Data CentersA backup data center is used for failover purposes.  If the primary data center ceases functioning for any reason, the application software and customer data running on that application software will also be available from the backup data center. Customers may not be notified when failover occurs. Depending on the particular service, this may not result in any service interruption. Customers should assume that at any given time their data may be processed in either the primary or the backup data center.
Microsoft uses its data center in Ireland as the backup data center for SharePoint Online.  This includes the Office Web Apps when used as part of SharePoint Online. Microsoft also uses its data center in the Netherlands interchangeably with its data center in Ireland as a backup data center for Exchange Online (including the Office Web Apps when used as part of Exchange Online) and Lync Online.Microsoft maintains multiple data centers in the United States.  It uses these data centers, along with its data center in the Netherlands, as backup data centers for the Microsoft Online Portal and for all Office 365 services’ directory data, with data replicated between locations.  Microsoft also uses one or more of these data centers in the U.S. as backup data centers for all Office 365 services’ authentication, for ForeFront Online Protection for Exchange, and for Office Professional Plus.

 

.

Es ist also ziemlich deutlich beschrieben, das eben KEINE Inhaltsdaten oder eMails nach USA synchronisiert werden, wie in so manchen Foren und Diskussionen fälschlicherweise als Standardbehauptung, gegen eine Cloud Lösung genutzt wird.

Es ist richtig, das die Vertragsteilnehmerdaten in den Staaten gespeichert werden. Doch sehe ich hier kein Problem, schließlich muss auch eine amerikanische Firma ihrem Finanzamt Rechnungsunterlagen zur Verfügng stellen können. Das kein ausschließliches Recht von Deutschland oder der EU sein.

Beim Thema “Benutzerdatenbank” (hier als Authentifzierungsverzeichnis beschrieben) werden die Nutzerdaten weltweit verteilt. Dies liegt immerhin daran, das ein Benutzer sich weltweit am System anmelden kann (und möchte). Welche Daten sind dort gespeichert? Name, Passwort und eMail Adresse sowie der primäre Standort und die genutzten Lizenzen. Also ganz “normale” Informationen, die einheitlich nicht als kritisch oder “geheim” eingestuft sind. Alle weiteren Angaben, kann der Benutzer in der Regel selbständig eintragen, unterliegt hierbei dem “Selbstbestimmungsrecht” eines einzelnen Benutzers. Wenn im Enterprise Szenario die Daten zwischen dem lokalen Active Directory und dem Online Directory synchronisert werden, kann der Administrator die zu synchronisierenden Datenfelder definieren, zumindest bis auf die oben genannten “Pflichtfelder”. Die Abstimmung über weitere im AD vorhandenen Daten sind dann in Abstimmung mit den eigenen Gremien und Mitarbeiter zu definieren und abzustimmen.

Ich möchte abschliessend behaupten, das nach den vorliegenden Informationen, eine Nutzung wie zum Beispiel Microsoft CRM Online durchaus möglich ist, da keine Kundendaten (also der Inhalt eines CRM Datensatzes) die EU verlässt.

Selbstverständlich ist dieser Artikel keine Rechtsberatung. Es soll dem Leser aber Argumente in die Hand geben, den geforderten Anforderungen gerecht zu werden und sich ausreichend und objektiv informieren zu können.

Provokativ möchte ich aber auch die Frage stellen, was bleibt vom deutschen Internet eigentlich übrig, wenn jeder Nutzer mit einem Mal die Nutzung des Internets wortgetreu und gesetzesgetreu nach einigen Meinungen von weltfremden Leuten umsetzen würden?
Ich denke, kaum ein deutsches Online “Einkaufsportal” oder Plattformen wie ebay und PayPal hätten heute in Deutschland Kunden und diese wie auch andere Firmen wären praktisch von heute auf morgen insolvent. Es mag an der fehlenden Rechtssicherheit liegen, aber es kann nicht die Aufgabe des Bürgers oder einer Firma als Nutzer sein, Gesetze zu ändern oder so auszulegen, das eine seit über 15 Jahren andauernde Entwicklung scheinbar “Rechtskonform” ist. Dies müssen andere Menschen tun, nämlich diese, die dafür gewählt worden sind. Und zusätzlich stehen auch diese Menschen in der Verantwortung, jedem Bürger vorhandene Pflichten und Einschränkungen mit verständlichen Worten zu erklären.

Auf der einen Seite soll jeder Bürger an das Netz angebunden werden können, auf der anderen Seite werden aber die Nutzung mit unkontrollierten Abmahnungen verteuert oder die Nutzung durch eine herschende Rechtsunsicherheit erschwert.

Von daher, im Vergleich mit einem neuen deutschen Business Cloud Portal, ist die Darstellung und Transparenz von Microsoft über die Online Dienste inzwischen (meiner Meinung nach) unübertroffen.

Grüße

Michael

 

The short URL of the present article is: http://wp.me/p1MQAv-xR

Tagged with:

Filed under: AzureCloudCRM 2011 OnlineIntuneOffice 365 GridOffice365