1

Daten in der

Microsoft-Cloud

Agenda

2

• Daten in der EU-Cloud

• Auswirkungen vom Wegfall von Safe Harbor

• Deutsches Treuhänder Cloud Modell

3

Für deutsche Kunden werden standardmäßig die wesentlichen Kundendaten (Core

Customer Data) der Microsoft Enterprise Services (Office 365, Microsoft Azure, CRM

Online, Windows Intune) in den Microsoft-Rechenzentren in Dublin und Amsterdam

gespeichert. (Das deutsche Modell kommt sogleich.)

Österreich und Finnland stehen als zusätzliche Lokationen für Exchange Online zur

Verfügung.

Das Land oder die Region des Kunden, das bei der erstmaligen Einrichtung der

Dienste gewählt wird, bestimmt den primären Speicherort für die Daten des Kunden.

Weitere Informationen finden Sie hier:

http://aka.ms/dataflowmap

Speicherort der Daten in der Microsoft-EU-Cloud

4

Rechenzentren in anderen EU-Ländern sind Rechenzentren in Deutschland

datenschutzrechtlich gleichgestellt. Datenschutzrechtlich ist es also unerheblich, wo

sich ein Rechenzentrum in der EU befindet. Dies folgt aus der Waren- und

Dienstleistungsfreiheit in der Europäischen Union. Die Dienstleistungsfreiheit ist eine

der vier Grundfreiheiten des Europäischen Binnenmarktes. Sie ermöglicht Anbietern

den freien Zugang zu den Dienstleistungsmärkten aller Mitgliedsstaaten der

Europäischen Union. Ein Rechenzentrum in Deutschland ist datenschutzrechtlich nicht

anders zu behandeln als ein Rechenzentrum in einem anderen Mitgliedsstaat der EU.

(Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland

Stand: Februar 2015)

Beachte!

5

Die Anforderungen zur Bereitstellung der Dienste können im Einzelfall beinhalten,

dass einige Daten Mitarbeitern bzw. Zulieferern von Microsoft außerhalb der primären

Speicherregion zugänglich gemacht werden. Darüber hinaus kann es vorkommen,

dass sich die Mitarbeiter mit der meisten technischen Erfahrung für die Behandlung

spezieller Dienstprobleme an anderen Standorten als am primären Standort befinden,

und sie ggf. Zugriff auf Systeme oder Daten benötigen, um das Problem lösen zu

können.

Für den Teil der Services, die Microsoft von außerhalb der EU erbringt, bietet Microsoft

seinen Kunden die EU-Standardvertragsklauseln an (dazu später).

(Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland

Stand: Februar 2015)

Datenzugriff von Microsoft-Mitarbeitern aus anderen Regionen

6

Microsoft und die Zusammenarbeit mit den Datenschutzbehörden

Mai 2011

Bestätigung der

Vertragsstruktur

durch die

Bayerische

Aufsichtsbehörde

Besprechung mit

den Aufsichts-

behörden in der EU

zum Inhalt der

Verträge

Übertragung der

Zusammenarbeit

an die Artikel 29

Gruppe

Finale Abstimmung

mit der Artikel 29

Gruppe zum

genauen Wortlaut

der Verträge im

April 2014.

7

Auszug des Schreibens der Art. 29 Gruppe an Microsoft EMEA

8

Rechtliche Grundlagen der Microsoft-Cloud-Nutzung

Lizenz-bedingungen

Online Service Terms

Anlagen + +

9

Online Service Terms (OST)

10

OST Germany

11

Datenschutzrechtliche Vertragsbeziehungen

12

Wegfall

Safe-Harbor

13

Reaktionen

14

Reaktionen

15

Reaktionen

In der Zwischenzeit wird die Datenschutzgruppe weiter untersuchen, wie sich

das EuGH-Urteil auf andere Übermittlungsinstrumente auswirkt. Die

Datenschutzbehörde gehen während dieser Zeit davon aus, dass die

Standardvertragsklauseln und BCR weiter verwendet werden können.

Falls bis Ende Januar 2016 noch keine angemessene Lösung in

Zusammenarbeit mit den US-amerikanischen Behörden gefunden wurde

und je nachdem, wie die Einschätzung der Datenschutzgruppe zu den

Übermittlungsinstrumenten aussieht, sind die EU-Datenschutzbehörden

verpflichtet, alle notwendigen und angemessen Maßnahmen zu ergreifen,

einschließlich koordinierter Durchsetzungsmaßnahmen.

16

Reaktionen

17

Reaktionen

18

Was kommt?

Besonderheit: Verschlüsselung

Es ist fraglich, ob der Datenschutz dann überhaupt zum Tragen kommt. Sofern eine

Verschlüsselung sowohl auf dem Transportweg zwischen Kunde und Microsoft als

auch der gespeicherten Daten in der Cloud erfolgt und der Schlüssel allein beim

Kunden liegt, fehlt es bereits an der Übermittlung personenbezogener Daten.

Microsoft bietet seinen Kunden hierzu an, ihren eigenen Schlüssel für die

Verschlüsselung von Daten in Windows Azure Rights Management zu verwenden.

Besonderheit: Verschlüsselung

https://azure.microsoft.com/de-de/services/key-vault/

Eine sichere Schlüsselverwaltung ist essenziell, um Daten in der Cloud zu schützen. Mit Azure

Key Vault können Sie Schlüssel und geheime Daten wie Kennwörter mithilfe von Schlüsseln

verschlüsseln, die in HSMs (Hardware Security Module) gespeichert sind. Für zusätzliche

Sicherheit importieren oder generieren Sie Ihre Schlüssel in HSMs, die mit den FIPS 140-2 Level

2-Standards konform sind.

Damit stellen Sie sicher, dass Ihre Schlüssel das HSM-System nicht verlassen.

Mit Key Vault sind Ihre Schlüssel für Microsoft nicht sichtbar und können auch nicht extrahiert

werden.

21

Microsoft Cloud mit deutscher Datentreuhand

Globale Rechenzentren

AUSTRALIA WEST MELBOURNE

Frankfurt Magdeburg

• 1 M Server weltweit

• 100+ Rechenzentren

in 40 Ländern

AUSTRALIA EAST SYDNEY

EAST ASIA HONG KONG

JAPAN WEST OSAKA

JAPAN EAST SAITAMA

CHINA SOUTH* SHANGHAI CHINA NORTH*

BEIJING

INDIA EAST TBD

INDIA WEST TBD

WEST EUROPE NETHERLANDS

NORTH EUROPE IRELAND

NORTH CENTRAL US ILLINOIS

US GOV IOWA

CENTRAL US IOWA

WEST US CALIFORNIA

SOUTH CENTRAL US TEXAS

EAST US VIRGINIA

EAST US 2 VIRGINIA

US GOV VIRGINIA

BRAZIL SOUTH SAO PAULO

SE ASIA SINGAPORE

23

Kundendaten werden in deutschen Rechenzentren gespeichert

Kundendaten werden in Deutschland gespeichert

Der deutsche Datentreuhänder kontrolliert und überwacht

jeden erteilten Zugriff

Microsoft kann nur mit Genehmigung des

Datentruehänder oder Kunden Zugriff erhalten

Rechenzentren sind in Deutschland, Zugang/Zugriff werden durch den deutschen Datentreuhänder kontrolliert

Geo-Replikation zwischen den deutschen Rechenzentren ermöglicht Business Kontinuität und Wiederherstellung in Notfällen

Zugang/ Zugriff wird durch den deutschen Datentreuhänder kontrolliert

State-of-the-art Sicherheitsmaßnahmen inklusive 24-Stunden Überwachung und Sicherheitspersonal

Physische Barrieren, Zäune und extensive Schutzmaßnahmen gegen Naturkatastrophen

PRW Rechtsanwälte

Wilfried Reiners, MBA

Leonrodstr. 54

80636 München

Tel: +49 (89) 2109770

reiners@prw.de

Kontakt