NIERO@net e.K. – Corporate Blog

Wir sichern Ihre digitalen Unternehmenswerte!

Microsoft Office 365–Wo sind denn die Standardvertragsklauseln der EU?

Wer das Microsoft Office 365 Trustcenter besucht, um die neu angebotenen Vertragsbestandteile einzusehen, seinem Rechtsanwalt vorzulegen und dann hinterher anzunehmen, muss ein bischen suchen.

Das liegt daran, dass der entsprechende Passus etwas versteckt ist.

Weil ich auch ein wenig suchte, hier kurz eine Anleitung:

1. Auf der Startseite des Trustcenters herunterscrollen bis zu dem im Ausschnitt gezeigten Abschnitt

Trustcenter 1

2. Klicken Sie dann auf das “hier” und melden sich mit einem administrativen Account an

Trustcenter 2

Hier finden Sie nun die neuen Verträge als pdf zum herunterladen und lesen.

Sie können die Verträge auswählen und haben dann unter diesen drei Verträgen eine Schaltfläche “zustimmen” und einen Kasten, wo Sie Ihren Namen, sozusagen als digitale Unterschrift eintragen müssen.

Es erscheint “Die Zustimmung wurde gespeichert” und Sie können sich abmelden. Ab diesem Zeitpunkt sind diese Ergänzungen Teil Ihres Vertrags. Sie müssen nicht noch einmal zustimmen.

Für Organisationen mit hohen Anforderungen an Datenschutz und Vertraulichkeit empfiehlt es sich immer, einen Rechtsanwalt aufzusuchen, bevor man Cloud Services bucht!

Übrigens der folgende Artikel ist in dem Zusammenhang interessant: http://www.searchsecurity.de/themenbereiche/plattformsicherheit/cloudvirtualisierung/articles/347011

10. Februar 2012 Posted by | Microsoft Cloud | , , , , | Kommentare deaktiviert für Microsoft Office 365–Wo sind denn die Standardvertragsklauseln der EU?

verbesserter Datenschutz bei Microsoft Cloud Services und mehr Transparenz

Ich denke, das Folgende ist ein wesentlicher Schritt, den Skeptikern Wind aus den Segeln zu nehmen.

In Zusammenarbeit mit den Datenschutzbeauftragten des Bundes und der Länder, verbessert Microsoft den Datenschutz für Cloud Services und schafft mehr Transparenz für den Kunden.

Den Bestandskunden von Microsoft Office 365 und auch den Interessierten mit einem Trial-Account werden ab sofort die EU Standardvertragsklauseln (EU Model Clauses) mit einer ebenfalls standardisierten Vereinbarung zur Auftragsdatenverarbeitung (ADV) angeboten.

Diese regeln

  • wo sich die Daten eines Kunden befinden
  • wer Zugang zu diesen Daten hat
  • wie Microsoft diese Daten schützt und welche Zertifizierungen Microsoft erfüllt

In der Zusammenarbeit mit den Datenschutzbeauftragten wurde darüber hinaus auch zum ersten Mal vernünftig festgestellt, dass die Nutzung von sog. Nicht-EU-Clouds unter bestimmten Voraussetzungen möglich ist (Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder).

Forderung

Maßnahme Microsoft

Ergebnis

ADV-Vertrag mit EU-Auftragnehmer

  • Dataprocessing
    Agreement (DPA

clip_image002[14]

Offenlegung
von Subunternehmern (inkl. Relevanter Vertragsinhalte)

  • Model Clauses (Ziffer 5j, 11.4)
  • Trust Center

clip_image002[15]

Technische und organisatorische Maßnahmen
(TOM)

  • Dataprocessing Agreeement (Ziffer 5a)
  • In Model Clauses (Appendix 2)

clip_image002[16]

Kontrolle durch AG Vorort-Kontrollen oder
Zertifizierungs/Gütesiegelverfahren einer

unabhängigen Prüfstelle

  • Model Clauses
  • Zertifizierung nach ISO 27001 plus TOM nach § 9 BDSG (DPA Ziffer 5b)

clip_image002[17]

Drittstaatentransfer: angemessene Garantien, z.B. Model Clauses

  • Dataprocessing Agreeement (Ziffer 5a)
  • In Model Clauses (Appendix 2)

clip_image002[18]

Drittstaatentransfer: zusätzlich ADV-Vertrag

  • Ergänzende Regelungen zu Model Clauses mit MSFT Corp (Appendix 1 und 2)

clip_image002[19]

Übrigens: Das oben verlinkte pdf der Datenschutzbeauftragten erklärt vornweg auch recht anschaulich Begriffe, wie “Private Cloud”, “Public Cloud”, etc.

Die Vertragsklauseln können im (07.12.2011) neugestalteten Trustcenter unter www.trustcenter.office365.de eingesehen, von Juristen überprüft werden und dann von jedem Kunden als Vertragsbestandteil angenommen werden.

clip_image004

clip_image006

Diesen Schritt halte ich für wichtig, um Vertrauen zu schaffen, nachdem irgendwer aus Redmond Anfang des Jahres äußerte, dass im Zuge des Patriot Act die über 150 Geheimdienste der USA u.U. auch auf europäische Daten zugreifen könnten, was ein Verstoß gegen SafeHarbor und andere EU-Regeln wäre.

Wir leben im Post-PC-Zeitalter und Cloud-Dienste werden unsere Zukunft, denn die Vorteile gerade für SMB liegen auf der Hand, wenn man seinen Blick auf andere Dienste wie Dynamics CRM Online oder Cloud-Backup-Dienste ausweitet.

Oder wie Marina Roos (SBS MVP) am Freitag bei der SMB Roadshow sagte: Wir leben im SMB-Bereich, verglichen zu früher, in einer Welt fast unendlicher Möglichkeiten mit On-Premise- und Cloud-Lösungen. Marina hat Recht, es ist für Jeden etwas dabei.

http://community.office365.com/de-de/b/microsoft_office_365_blog/archive/2011/12/05/office365-microsoft-252-bernimmt-f-252-hrung-beim-datenschutz.aspx

http://blogs.technet.com/b/hritter/archive/2011/12/05/office365-microsoft-252-bernimmt-f-252-hrung-beim-datenschutz.aspx

http://www.microsoft.com/germany/presseservice/news/pressemitteilung.mspx?id=533455

6. Dezember 2011 Posted by | Microsoft Cloud | , , , , , , , , , | Kommentare deaktiviert für verbesserter Datenschutz bei Microsoft Cloud Services und mehr Transparenz

CIO.com: “The Two Biggest Lies About Cloud Security”

Unter dem URL http://www.cio.com/article/683075/Cloud_CIO_The_Two_Biggest_Lies_About_Cloud_Security findet man einen sehr empfehlenswerten Artikel zum Thema Sicherheit in der Cloud und der dazu geführten Grundsatzdiskusison.

Der Autor kommt zu dem Schluss, dass die laufende Diskussion zu vereinfacht, zu sehr “schwarz-weiß” verläuft und resümiert, dass die Sicherheitsverantwortung eine Geteilte ist, zwischen dem Cloud-Anbieter und dem Cloud-Anwender.

Dem stimme ich zu. Die Cloud ist sicher nicht das “Rundrum-Sorglos-Paket”, sondern erfordert genau wie on-premise Anwendungen ein Höchstmaß an Eigenverantwortung und Sorgfalt in der Implementierung.

Das passt auch zu Susans Aussage, die oft sinngemäß sagt: “Vertraue nie ganz Aussagen wie 100% Wartungs- und Überwachungsfrei. Irgendwer muss ja Verantwortung tragen, auch in der Cloud”.

Wer sich also zu blind auf den Cloud-Anbieter verlässt, ärgert sich natürlich hinterher, ähnlich der Reaktion auf den Amazon-Ausfall.

3. Juni 2011 Posted by | Microsoft Cloud | , , | Kommentare deaktiviert für CIO.com: “The Two Biggest Lies About Cloud Security”