1
Daten in der
Microsoft-Cloud
Agenda
2
• Daten in der EU-Cloud
• Auswirkungen vom Wegfall von Safe Harbor
• Deutsches Treuhänder Cloud Modell
3
Für deutsche Kunden werden standardmäßig die wesentlichen Kundendaten (Core
Customer Data) der Microsoft Enterprise Services (Office 365, Microsoft Azure, CRM
Online, Windows Intune) in den Microsoft-Rechenzentren in Dublin und Amsterdam
gespeichert. (Das deutsche Modell kommt sogleich.)
Österreich und Finnland stehen als zusätzliche Lokationen für Exchange Online zur
Verfügung.
Das Land oder die Region des Kunden, das bei der erstmaligen Einrichtung der
Dienste gewählt wird, bestimmt den primären Speicherort für die Daten des Kunden.
Weitere Informationen finden Sie hier:
http://aka.ms/dataflowmap
Speicherort der Daten in der Microsoft-EU-Cloud
4
Rechenzentren in anderen EU-Ländern sind Rechenzentren in Deutschland
datenschutzrechtlich gleichgestellt. Datenschutzrechtlich ist es also unerheblich, wo
sich ein Rechenzentrum in der EU befindet. Dies folgt aus der Waren- und
Dienstleistungsfreiheit in der Europäischen Union. Die Dienstleistungsfreiheit ist eine
der vier Grundfreiheiten des Europäischen Binnenmarktes. Sie ermöglicht Anbietern
den freien Zugang zu den Dienstleistungsmärkten aller Mitgliedsstaaten der
Europäischen Union. Ein Rechenzentrum in Deutschland ist datenschutzrechtlich nicht
anders zu behandeln als ein Rechenzentrum in einem anderen Mitgliedsstaat der EU.
(Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland
Stand: Februar 2015)
Beachte!
5
Die Anforderungen zur Bereitstellung der Dienste können im Einzelfall beinhalten,
dass einige Daten Mitarbeitern bzw. Zulieferern von Microsoft außerhalb der primären
Speicherregion zugänglich gemacht werden. Darüber hinaus kann es vorkommen,
dass sich die Mitarbeiter mit der meisten technischen Erfahrung für die Behandlung
spezieller Dienstprobleme an anderen Standorten als am primären Standort befinden,
und sie ggf. Zugriff auf Systeme oder Daten benötigen, um das Problem lösen zu
können.
Für den Teil der Services, die Microsoft von außerhalb der EU erbringt, bietet Microsoft
seinen Kunden die EU-Standardvertragsklauseln an (dazu später).
(Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland
Stand: Februar 2015)
Datenzugriff von Microsoft-Mitarbeitern aus anderen Regionen
6
Microsoft und die Zusammenarbeit mit den Datenschutzbehörden
Mai 2011
Bestätigung der
Vertragsstruktur
durch die
Bayerische
Aufsichtsbehörde
Besprechung mit
den Aufsichts-
behörden in der EU
zum Inhalt der
Verträge
Übertragung der
Zusammenarbeit
an die Artikel 29
Gruppe
Finale Abstimmung
mit der Artikel 29
Gruppe zum
genauen Wortlaut
der Verträge im
April 2014.
7
Auszug des Schreibens der Art. 29 Gruppe an Microsoft EMEA
8
Rechtliche Grundlagen der Microsoft-Cloud-Nutzung
Lizenz-bedingungen
Online Service Terms
Anlagen + +
9
Online Service Terms (OST)
10
OST Germany
11
Datenschutzrechtliche Vertragsbeziehungen
12
Wegfall
Safe-Harbor
13
Reaktionen
14
Reaktionen
15
Reaktionen
In der Zwischenzeit wird die Datenschutzgruppe weiter untersuchen, wie sich
das EuGH-Urteil auf andere Übermittlungsinstrumente auswirkt. Die
Datenschutzbehörde gehen während dieser Zeit davon aus, dass die
Standardvertragsklauseln und BCR weiter verwendet werden können.
Falls bis Ende Januar 2016 noch keine angemessene Lösung in
Zusammenarbeit mit den US-amerikanischen Behörden gefunden wurde
und je nachdem, wie die Einschätzung der Datenschutzgruppe zu den
Übermittlungsinstrumenten aussieht, sind die EU-Datenschutzbehörden
verpflichtet, alle notwendigen und angemessen Maßnahmen zu ergreifen,
einschließlich koordinierter Durchsetzungsmaßnahmen.
16
Reaktionen
17
Reaktionen
18
Was kommt?
Besonderheit: Verschlüsselung
Es ist fraglich, ob der Datenschutz dann überhaupt zum Tragen kommt. Sofern eine
Verschlüsselung sowohl auf dem Transportweg zwischen Kunde und Microsoft als
auch der gespeicherten Daten in der Cloud erfolgt und der Schlüssel allein beim
Kunden liegt, fehlt es bereits an der Übermittlung personenbezogener Daten.
Microsoft bietet seinen Kunden hierzu an, ihren eigenen Schlüssel für die
Verschlüsselung von Daten in Windows Azure Rights Management zu verwenden.
Besonderheit: Verschlüsselung
https://azure.microsoft.com/de-de/services/key-vault/
Eine sichere Schlüsselverwaltung ist essenziell, um Daten in der Cloud zu schützen. Mit Azure
Key Vault können Sie Schlüssel und geheime Daten wie Kennwörter mithilfe von Schlüsseln
verschlüsseln, die in HSMs (Hardware Security Module) gespeichert sind. Für zusätzliche
Sicherheit importieren oder generieren Sie Ihre Schlüssel in HSMs, die mit den FIPS 140-2 Level
2-Standards konform sind.
Damit stellen Sie sicher, dass Ihre Schlüssel das HSM-System nicht verlassen.
Mit Key Vault sind Ihre Schlüssel für Microsoft nicht sichtbar und können auch nicht extrahiert
werden.
21
Microsoft Cloud mit deutscher Datentreuhand
Globale Rechenzentren
AUSTRALIA WEST MELBOURNE
Frankfurt Magdeburg
• 1 M Server weltweit
• 100+ Rechenzentren
in 40 Ländern
AUSTRALIA EAST SYDNEY
EAST ASIA HONG KONG
JAPAN WEST OSAKA
JAPAN EAST SAITAMA
CHINA SOUTH* SHANGHAI CHINA NORTH*
BEIJING
INDIA EAST TBD
INDIA WEST TBD
WEST EUROPE NETHERLANDS
NORTH EUROPE IRELAND
NORTH CENTRAL US ILLINOIS
US GOV IOWA
CENTRAL US IOWA
WEST US CALIFORNIA
SOUTH CENTRAL US TEXAS
EAST US VIRGINIA
EAST US 2 VIRGINIA
US GOV VIRGINIA
BRAZIL SOUTH SAO PAULO
SE ASIA SINGAPORE
23
Kundendaten werden in deutschen Rechenzentren gespeichert
Kundendaten werden in Deutschland gespeichert
Der deutsche Datentreuhänder kontrolliert und überwacht
jeden erteilten Zugriff
Microsoft kann nur mit Genehmigung des
Datentruehänder oder Kunden Zugriff erhalten
Rechenzentren sind in Deutschland, Zugang/Zugriff werden durch den deutschen Datentreuhänder kontrolliert
Geo-Replikation zwischen den deutschen Rechenzentren ermöglicht Business Kontinuität und Wiederherstellung in Notfällen
Zugang/ Zugriff wird durch den deutschen Datentreuhänder kontrolliert
State-of-the-art Sicherheitsmaßnahmen inklusive 24-Stunden Überwachung und Sicherheitspersonal
Physische Barrieren, Zäune und extensive Schutzmaßnahmen gegen Naturkatastrophen
PRW Rechtsanwälte
Wilfried Reiners, MBA
Leonrodstr. 54
80636 München
Tel: +49 (89) 2109770
Kontakt