Sicherheit und Datenschutz stehen obenan
Von Gerald Strömer im Auftrag von Microsoft Deutschland
Die größte Hürde für die Akzeptanz von Cloud-Dienstleistungen im unternehmerischen Umfeld sind Bedenken bezüglich Datensicherheit und Datenkonformität. Das war beim Aufkommen der ersten Webmailer schon der Fall und ist nun bei den umfassenden Cloud-Services von heute nicht anders.
Teil 1 erläutert, wie kleine und mittlere Unternehmen von Microsoft Office 365 profitieren. Teil 2 dreht sich um Sicherheitsaspekte, über die Projektverantwortliche Bescheid wissen müssen. Teil 3 zeigt, wie Microsoft Office 365 in der Praxis funktioniert. Teil 4 zeigt, wie praktikabel der Wechsel auf Microsoft Office 365 ist.
Für Office 365 hat Microsoft daher alles unternommen, um die Bedenken deutscher Unternehmen in Sachen Cloud-Sicherheit auszuräumen. Einem Cloud-Service wie Microsoft Office 365 vertraut ein Unternehmen schließlich praktisch alle Facetten der modernen Bürokommunikation an: E-Mails, Kontakte, Kundeninformationen, Office-Dokumente, Präsentationen, Forschungsunterlagen, Studien und vieles mehr – all dies kann in den falschen Händen zu einer Informationsbombe werden. So ist es nur zu verständlich, dass Unternehmen den Umgang mit Datenschutz und Datenkonformität auf die Goldwaage legen.
International richtungsweisend
Microsoft hat zuletzt im Rahmen einer Datenschutzinitiative konkrete Vertragsbestimmungen für Office 365 verabschiedet, die potenziellen Kunden überprüfbare Sicherheit geben, ihnen die Angst vor dem Missbrauch sensibler Daten nehmen und ihnen gleichzeitig helfen sollen, ihren eigenen rechtlichen Verpflichtungen zum Datenschutz nachzukommen.
Seit Mitte Dezember 2011 stehen Interessenten die neuen Vertragsdokumente zur Verfügung, die eine überarbeitete Auftragsdatenverarbeitungsvereinbarung mit den EU-Standardvertragsklauseln (EU Model Clauses) kombinieren und damit die europäischen und deutschen Datenschutzbestimmungen reflektieren.
Diese von der EU-Kommission vorgegeben EU Model Clauses dürfen nicht abgeändert werden und sollen auch in einem nicht zur EU gehörigen Empfängerland für ein angemessenes Datenschutzniveau sorgen. Grundsätzlich ist der Transfer personenbezogener Daten in solche Drittstaaten nur dann erlaubt, wenn ein entsprechend hohes Datenschutzniveau oder eine andere rechtliche Legitimation vorliegt. Erst die EU-Standardvertragsklauseln machen es überhaupt möglich, dass Daten legal zu Dienstleistern außerhalb der EU-Staaten übertragen werden, so dass z.B. technischer Support aus solchen Drittländern erfolgen kann.
Office 365 ist weltweit das erste große Business-Cloud-Angebot, das diese Klauseln nicht nur allen Kunden anbietet, sondern sie auch offen legt und damit in Sachen Transparenz Zeichen setzt. Eine unterzeichnete Kopie der EU Model Clauses können alle Office-365-Kunden – auch Nutzer der Testversion – herunterladen und ihren juristischen Beratern zur genauen Prüfung vorlegen. Da die auf 30 Tage begrenzte Testversion komplett kostenlos und nicht an weitere Bedingungen geknüpft ist, können sich Interessenten so in Ruhe und ohne Risiko mit dem Thema befassen.
Basis für die neuen Vertragsdokumente ist übrigens die „Orientierungshilfe – Cloud Computing“, die der Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder als PDF verfügbar hat.
Neben den EU Model Clauses befolgt Office 365 noch weitere Industriestandards zur Datensicherheit – und das ebenfalls als weltweit erstes großes Business-Cloud-Angebot. Dazu gehört die ISO 27001, die ein rigoroses Set von physischen, logischen, Prozess- und Managementkontrollen definiert, aber auch das die Datensicherheit im medizinischen Bereich betreffende US-amerikanische HIPAA-Business Associate Agreement und die Vereinbarung zur Auftragsdatenverarbeitung, die die Sicherheit von und den Umgang mit Kundendaten regelt.
Mehr Informationen zu Microsoft Office 365 gibt es auf der Homepage der Lösung. Neben Artikeln und Tabellen erklären Videos das grundlegende Konzept und die einzelnen Möglichkeiten des Angebots. Wer Office 365 ausprobieren will, kann innerhalb von fünf Minuten seine kostenlose und unverbindliche 30-Tage-Testphase beginnen.
Es stehen zwei Versionen für den Test zur Wahl: Das Paket P1 für Selbstständige und kleine Unternehmen mit bis zu 50 Anwendern (für bis zu zehn Anwender in der Testphase) und das Paket E3 (für bis zu 25 Anwender in der Testphase) für Unternehmen jeder Größe, wobei sich mittelständische und große Unternehmen, aber sicher auch Start-ups hier besonders angesprochen fühlen werden.
Ein Schnellstart-Handbuch und ausführliche Erklärungen zu den ersten Schritten mit Office 365 hat Microsoft ebenfalls online bereitgestellt. Umfassende Informationen zu Datenschutz und Compliance gibt es im Office 365 Trust Center.
Microsoft verspricht außerdem, dass aus Kundendaten keine Werbeprodukte entwickelt werden, dass Kundendaten immer separat von Verbraucherdiensten aufbewahrt werden und Kunden ihre Daten jederzeit beliebig herunterladen oder entfernen können. Wie Microsoft Kundendaten verwendet, zeigt das Office 365 Trust Center im Überblick.
Wer sich eingehender mit den Themen Sicherheit, Datenschutz und Compliance im Zusammenhang mit Microsoft Office 365 befassen möchte, sollte sich im Office 365 Trust Center umsehen. Wer wirklich in die Tiefe gehen will, findet unter den Downloads zwei detaillierte Whitepapers:
- „Standard Response to Request for Information – Security and Privacy“, das alle Security-, Compliance- und Risk-Management-Maßnahmen beschreibt, die Microsoft nach der von der Cloud Security Alliance definierten Cloud Control Matrix umgesetzt hat, sowie
- „Privacy in the Public Cloud: The Office 365 Approach“, das speziell auf die Neuerungen in punkto Datenschutz eingeht.
Fazit: Offen zum Austesten
Wer grundsätzlich bereit ist, seine Daten der Cloud anzuvertrauen, sollte bei Microsoft mindestens so gut abgesichert sein wie bei einem Anbieter innerhalb Deutschlands – aller Wahrscheinlichkeit nach sogar deutlich besser. Nichtsdestotrotz empfiehlt es sich, das Testangebot von Office 365 zu nutzen und dabei nicht nur das Produkt selbst auf Herz und Nieren testen, sondern auch die dafür zur Verfügung gestellten standardisierten Unterlagen zu Sicherheit, Datenschutz und Compliance von juristischen Beratern prüfen zu lassen. Allein die Tatsache, dass dies überhaupt im Vorfeld möglich ist, macht Micrososft Office 365 in hohem Maße vertrauenswürdig.
