Heute möchten wir Ihnen die Neuigkeiten über die behördliche Anerkennung der Datenschutz- und Sicherheitsbestimmungen unserer Enterprise Cloud Services (Office 365, Microsoft Azure, Microsoft Dynamics CRM und Windows Intune) gerne mitteilen.
Alle 28 nationalen Datenschutzbehörden, die Unternehmen mit Niederlassungen innerhalb der Europäischen Union beaufsichtigen, haben gemeinsam einen Brief verfasst (Article 29 Letter), der bestätigt, dass Microsoft ordnungsgemäße Vertragsbestimmungen für seine Enterprise Cloud Services verwendet. Kunden können unsere Services in dem Wissen verwenden, dass der Datentransfer weltweit die Datenschutzbestimmungen der EU erfüllt. Diese gehören zu den strengsten der Welt.
Wir sind der einzige große Cloud-Anbieter, der eine solche Anerkennung erhalten hat. Im Anhang finden Sie eine Kommunikation, die Sie in Verkaufs- und Informationsgesprächen mit Kunden verwenden können, um sie über diese Entwicklung zu informieren. Unser offizieller Microsoft Blog zu diesem Thema, verfasst von unserem Executive Vice President und General Counsel Brad Smith, enthält weitere Informationen darüber und über die Gründe, weshalb diese so wichtig für Kunden, die Enterprise Cloud Services verwenden, sind.
Wie Brads Blog-Eintrag erklärt, stellen wir diese Vertragsinhalte ab jetzt allen Kunden unserer Cloud Services zur Verfügung. Das europäische Gesetz verlangt es, dass sowohl Microsoft als auch unsere Kunden diese Vertragsinhalte unterzeichnen, damit sie in Kraft treten. Ab dem 1. Juli werden alle Vertragsformulare für unsere Kunden standardmäßig mit diesen neuen Inhalten versehen.
Wenn der Vertrag Ihres Kunden mit uns die Standardvertragsklauseln bereits beinhaltet, profitiert der Kunde von dieser aktualisierten Version.
Wir haben auch ein Fragen- & Antworten-Dokument für Sie vorbereitet, auf welches durch den Link zum Blog-Post zugegriffen werden kann. Dieses Dokument enthält weitere Informationen zum Brief und zu den europäischen Bestimmungen. Derzeit bietet kein anderer Cloud Anbieter diesen Standard für Sicherheit und Datenschutz, den wir als Microsoft in unsere Services integriert haben.
US-Internetunternehmen muessen im Ausland gespeicherte Daten herausgeben http://www.heise.de/ix/meldung/US-Internetunternehmen-muessen-im-Ausland-gespeicherte-Daten-herausgeben-2178454.html ... damit wäre doch wohl dieser Blog Eintrag hinfällig!
Microsoft punktet? Womit? Dass es uns Partner über die Sicherheit der Cloud Services in einen irrelevanten Diskussionsstrang führt? Meine Rückfrage beim bayerischen Landesamt für Datenschutzaufsicht www.lda.bayern.de hat folgendes ergeben: ### Die Aussage der Artikel-29-Gruppe besagt ...lediglich, dass der Vertragstext, soweit er geprüft wurde, vom Standardvertrag nicht nachteilig abweicht. Er besagt nicht, dass die gesamte Datenverarbeitung auf der Grundlage dieses Vertrags „EU-datenschutzkonform“ wäre; insbesondere besagt er nicht, dass ausreichende technisch-organisatorische Maßnahmen ergriffen wurden. Denn dies wurde von den Datenschutzbehörden, wie erläutert, nicht geprüft. Es handelt sich daher ganz ausdrücklich lediglich um eine Prüfung einiger datentschutzrechtlicher Teil-Aspekte bei Inanspruchnahme von Microsoft-Diensten unter Verwendung des o.g. Vertragsdokuments von Microsoft. Die Artikel-29-Gruppe hat dies ... in einer ergänzenden Pressemitteilung am 24.04.2014 noch detaillierter erläutert, nachzulesen unter http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20140424_pr_gen_approach_cloud_services.pdf. Die jeweiligen Kunden von Microsoft sind bei der Inanspruchnahme dieser Produkte grundsätzlich als „verantwortliche Stellen“ im Sinne von § 3 Abs. 7 BDSG anzusehen, während Microsoft Auftragsdatenverarbeiter i.S.v. § 11 BDSG ist. Damit bleibt der Kunde gemäß § 11 Abs. 1 Satz 1 BDSG datenschutzrechtlich voll in der Verantwortung, eigenverantwortlich die Rechtmäßigkeit der Datenverarbeitung abzuschätzen, insbesondere auch die technisch-organisatorischen Maßnahmen. Nach derzeitiger Rechtslage im deutschen und im EU-Datenschutzrecht ist nicht vorgesehen, dass die Datenschutzbehörden für einzelne Produkte (z.B. im Bereich von Cloud-Lösungen) nach entsprechender Prüfung „Freigaben“, „Unbedenklichkeitsbescheinigungen“, „Zertifizierungen“ oder Ähnliches aussprechen, um die Gesamt-Datenschutzkonformität derartiger Produkte auszusprechen. Im konkreten Fall haben die Aufsichtsbehörden sich darauf beschränkt zu prüfen, ob der angebotene Vertragstext nachteilig vom Text des Standardvertrags 2010/87/EU abweichen und haben dies verneint – beschränkt auf die o.g. Vertragstexte und ohne die Anlagen zum Standardvertrag (s.o.). Immerhin besagt dies, dass diese Vertragstexte dem EU-Standardvertrag entsprechend und daher zumindest für die entsprechende Datenübermittlungen – sofern tatsächlich diejenigen Vertragstexte verwendet werden, die von der Artikel-29-Gruppe geprüft wurden – keine Genehmigung der Datenschutzbehörden erforderlich ist. Der Auftraggeber (Kunde) bleibt jedoch für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und muss daher insbesondere (notfalls mit fachlicher Unterstützung) versuchen, abzuschätzen, ob die technisch-organisatorischen Maßnahmen (gemessen am Schutzbedarf betreffend der personenbezogenen Daten, die er verarbeiten lässt) ausreichend im Sinne von § 9 BDSG und der Anlage zu § 9 BDSG sind. ### Beste Grüße Eberhard Schneider
Lieber Heise Verlag Leser, Sie verweisen in Ihrem Blog auf das Urteil eines New Yorker Richters. Dieser hatte angeordnet, dass Microsoft die Emails und sonstigen digitalen Inhalte eines Kunden an US-Behörden herauszugeben habe. Das gelte selbst dann, wenn die Daten nicht in den USA, sondern in Europa gespeichert seien. Wichtig ist in diesem Zusammenhang, dass es zu erwarten war, dass der Richter, der den Durchsuchungsbeschluss ursprünglich erlassen hatte, diesen auch, nachdem wir hiergegen Widerspruch eingelegt haben, in seinem entsprechenden Urteil bestätigt. Im nächsten Schritt werden wir den Fall jetzt einem US District Court Richter zur Entscheidung vorlegen. Dieser muss den Fall dann erneut prüfen und entscheiden. Weitere Informationen zu dem Fall finden Sie in dem von uns entworfenen Blog: http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/04/25/one-step-on-the-path-to-challenging-search-warrant-jurisdiction.aspx Aus alledem ergibt sich, dass unsere Ausführungen in Bezug auf den Brief der Art. 29 Gruppe keinesfalls hinfällig sind. Microsoft ist der erste und bisher einzige große Cloud Anbieter, der sich der Prüfung seiner Vertragsdokumente durch die EU-Datenschutzaufsichtsbehörden gestellt hat. Dies wird durch ein nicht rechtskräftiges New Yorker Urteil nicht in Frage gestellt.
Lieber Herr Schneider, ich habe Ihr Anliegen an die Rechtsabteilung weitergeleitet und kann Ihnen folgende Antwort zukommen lassen: "Wir, von Microsoft, halten die Bewertung der Artikel 29-Datenschutzgruppe, dem Abstimmungsgremium der EU-Datenschutzaufsichtsbehörden, für bedeutsam und auch bezüglich unserer Partner für wichtig: Microsoft ist der erste und bisher einzige große Cloud Anbieter, der sich der Prüfung seiner Vertragsdokumente durch die EU-Datenschutzaufsichtsbehörden gestellt hat. Aufgrund der Diskussionen mit der Artikel 29-Datenschutzgruppe hat Microsoft seine Verträge angepasst, so dass die Artikel 29-Datenschutzgruppe im Rahmen ihrer Prüfung eine Bestätigung ausgesprochen hat. Microsoft bietet diese angepassten Verträge auch Kunden mit bereits bestehenden Verträgen an. Wir denken, dass all dies Microsoft positiv im Wettbewerb hervorhebt. Inhaltlich haben die Datenschutzaufsichtsbehörden die Übereinstimmung des vorlegten Microsoft-Vertragswerks mit den sog. Standardvertragsklauseln 2010/87/EU bestätigt. Das bedeutet, dass das gesamte vorgelegte Vertragswerk die hohen EU Datenschutzstandards erfüllt und die Geltung dieser Standards auch außerhalb der EU sicherstellt. Es ist zutreffend, dass die Datenschutzaufsichtsbehörden nicht die von Microsoft in seinem Cloud Services angebotenen technischen und organisatorischen Maßnahmen bewertet haben. Das ist abstrakt auch nicht möglich, weil dies jeweils vom Schutzbedarf der in der Cloud verarbeiteten Daten abhängt. Dieser Aspekt ist im Schreiben der Artikel 29-Datenschutzgruppe, auf das wir in unserem Blog verlinkt haben, auch ausdrücklich aufgeführt. Wir haben gehofft, insofern Transparenz herzustellen.“
thanks
Impressum | Datenschutz und Cookies | Nutzungsbedingungen | Markenzeichen