1 Daten in der Microsoft-Cloud
2 Agenda Daten in der EU-Cloud Auswirkungen vom Wegfall von Safe Harbor Deutsches Treuhänder Cloud Modell
3 Speicherort der Daten in der Microsoft-EU-Cloud Für deutsche Kunden werden standardmäßig die wesentlichen Kundendaten (Core Customer Data) der Microsoft Enterprise Services (Office 365, Microsoft Azure, CRM Online, Windows Intune) in den Microsoft-Rechenzentren in Dublin und Amsterdam gespeichert. (Das deutsche Modell kommt sogleich.) Österreich und Finnland stehen als zusätzliche Lokationen für Exchange Online zur Verfügung. Das Land oder die Region des Kunden, das bei der erstmaligen Einrichtung der Dienste gewählt wird, bestimmt den primären Speicherort für die Daten des Kunden. Weitere Informationen finden Sie hier: http://aka.ms/dataflowmap
4 Beachte! Rechenzentren in anderen EU-Ländern sind Rechenzentren in Deutschland datenschutzrechtlich gleichgestellt. Datenschutzrechtlich ist es also unerheblich, wo sich ein Rechenzentrum in der EU befindet. Dies folgt aus der Waren- und Dienstleistungsfreiheit in der Europäischen Union. Die Dienstleistungsfreiheit ist eine der vier Grundfreiheiten des Europäischen Binnenmarktes. Sie ermöglicht Anbietern den freien Zugang zu den Dienstleistungsmärkten aller Mitgliedsstaaten der Europäischen Union. Ein Rechenzentrum in Deutschland ist datenschutzrechtlich nicht anders zu behandeln als ein Rechenzentrum in einem anderen Mitgliedsstaat der EU. (Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland Stand: Februar 2015)
Datenzugriff von Microsoft-Mitarbeitern aus anderen Regionen Die Anforderungen zur Bereitstellung der Dienste können im Einzelfall beinhalten, dass einige Daten Mitarbeitern bzw. Zulieferern von Microsoft außerhalb der primären Speicherregion zugänglich gemacht werden. Darüber hinaus kann es vorkommen, dass sich die Mitarbeiter mit der meisten technischen Erfahrung für die Behandlung spezieller Dienstprobleme an anderen Standorten als am primären Standort befinden, und sie ggf. Zugriff auf Systeme oder Daten benötigen, um das Problem lösen zu können. Für den Teil der Services, die Microsoft von außerhalb der EU erbringt, bietet Microsoft seinen Kunden die EU-Standardvertragsklauseln an (dazu später). 5 (Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland Stand: Februar 2015)
6 Microsoft und die Zusammenarbeit mit den Datenschutzbehörden Mai 2011 Besprechung mit Übertragung der Finale Abstimmung Bestätigung der den Aufsichts- Zusammenarbeit mit der Artikel 29 Vertragsstruktur behörden in der EU an die Artikel 29 Gruppe zum durch die zum Inhalt der Gruppe genauen Wortlaut Bayerische Verträge der Verträge im Aufsichtsbehörde April 2014.
7 Auszug des Schreibens der Art. 29 Gruppe an Microsoft EMEA
8 Rechtliche Grundlagen der Microsoft-Cloud-Nutzung Lizenzbedingungen Online Service Terms + + Anlagen
9 Online Service Terms (OST)
10 OST Germany
11 Datenschutzrechtliche Vertragsbeziehungen
12 Wegfall Safe-Harbor
13 Reaktionen
14 Reaktionen
15 Reaktionen In der Zwischenzeit wird die Datenschutzgruppe weiter untersuchen, wie sich das EuGH-Urteil auf andere Übermittlungsinstrumente auswirkt. Die Datenschutzbehörde gehen während dieser Zeit davon aus, dass die Standardvertragsklauseln und BCR weiter verwendet werden können. Falls bis Ende Januar 2016 noch keine angemessene Lösung in Zusammenarbeit mit den US-amerikanischen Behörden gefunden wurde und je nachdem, wie die Einschätzung der Datenschutzgruppe zu den Übermittlungsinstrumenten aussieht, sind die EU-Datenschutzbehörden verpflichtet, alle notwendigen und angemessen Maßnahmen zu ergreifen, einschließlich koordinierter Durchsetzungsmaßnahmen.
16 Reaktionen
17 Reaktionen
18 Was kommt?
Besonderheit: Verschlüsselung Es ist fraglich, ob der Datenschutz dann überhaupt zum Tragen kommt. Sofern eine Verschlüsselung sowohl auf dem Transportweg zwischen Kunde und Microsoft als auch der gespeicherten Daten in der Cloud erfolgt und der Schlüssel allein beim Kunden liegt, fehlt es bereits an der Übermittlung personenbezogener Daten. Microsoft bietet seinen Kunden hierzu an, ihren eigenen Schlüssel für die Verschlüsselung von Daten in Windows Azure Rights Management zu verwenden.
Besonderheit: Verschlüsselung Eine sichere Schlüsselverwaltung ist essenziell, um Daten in der Cloud zu schützen. Mit Azure Key Vault können Sie Schlüssel und geheime Daten wie Kennwörter mithilfe von Schlüsseln verschlüsseln, die in HSMs (Hardware Security Module) gespeichert sind. Für zusätzliche Sicherheit importieren oder generieren Sie Ihre Schlüssel in HSMs, die mit den FIPS 140-2 Level 2-Standards konform sind. Damit stellen Sie sicher, dass Ihre Schlüssel das HSM-System nicht verlassen. Mit Key Vault sind Ihre Schlüssel für Microsoft nicht sichtbar und können auch nicht extrahiert werden. https://azure.microsoft.com/de-de/services/key-vault/
Microsoft Cloud mit deutscher Datentreuhand 21
Globale Rechenzentren 1 M Server weltweit 100+ Rechenzentren in 40 Ländern WEST US CALIFORNIA CENTRAL US IOWA US GOV IOWA NORTH CENTRAL US ILLINOIS NORTH EUROPE IRELAND Frankfurt WEST EUROPE NETHERLANDS INDIA EAST TBD Magdeburg CHINA NORTH* BEIJING CHINA SOUTH* SHANGHAI JAPAN EAST SAITAMA SOUTH CENTRAL US TEXAS EAST US VIRGINIA EAST US 2 VIRGINIA US GOV VIRGINIA INDIA WEST TBD SE ASIA SINGAPORE EAST ASIA HONG KONG JAPAN WEST OSAKA AUSTRALIA EAST SYDNEY BRAZIL SOUTH SAO PAULO AUSTRALIA WEST MELBOURNE
Kundendaten werden in deutschen Rechenzentren gespeichert Rechenzentren sind in Deutschland, Zugang/Zugriff werden durch den deutschen Datentreuhänder kontrolliert Geo-Replikation zwischen den deutschen Rechenzentren ermöglicht Business Kontinuität und Wiederherstellung in Notfällen Physische Barrieren, Zäune und extensive Schutzmaßnahmen gegen Naturkatastrophen Microsoft kann nur mit Genehmigung des Datentruehänder oder Kunden Zugriff erhalten Der deutsche Datentreuhänder kontrolliert und überwacht jeden erteilten Zugriff State-of-the-art Sicherheitsmaßnahmen inklusive 24-Stunden Überwachung und Sicherheitspersonal Zugang/ Zugriff wird durch den deutschen Datentreuhänder kontrolliert Kundendaten werden in Deutschland gespeichert 23
Kontakt PRW Rechtsanwälte Wilfried Reiners, MBA Leonrodstr. 54 80636 München Tel: +49 (89) 2109770 reiners@prw.de