Wir haben uns der Transparenz verpflichtet, um Sie bei der Einhaltung von behördlichen Anforderungen zu unterstützen.
Unsere Kunden auf der ganzen Welt unterliegen vielen verschiedenen Gesetzen und Vorschriften. Die rechtlichen Anforderungen in einem Land oder einer Branche stimmen möglicherweise nicht mit den rechtlichen Anforderungen in anderen Ländern oder Bereichen überein. Als Anbieter globaler Cloud-Dienste müssen wir unsere Dienste jedoch mit allgemeinen betrieblichen Praktiken und Features für mehrere Kunden und Gerichtsstände ausführen. Um unsere Kunden bei der Einhaltung ihrer eigenen Anforderungen zu unterstützen, berücksichtigen wir bei der Erstellung unserer Dienste allgemeine Datenschutz- und Sicherheitsanforderungen. Es liegt jedoch letztlich in der Verantwortung unserer Kunden, unsere Angebote anhand ihrer eigenen Anforderungen zu bewerten und so zu bestimmen, ob unsere Dienste ihre behördlichen Anforderungen erfüllen. Wir haben uns zum Ziel gesetzt, unseren Kunden detaillierte Informationen über unsere Cloud-Dienste zur Verfügung zu stellen, damit sie ihre eigenen behördlichen Bewertungen vornehmen können.
Informationen zu Zertifikaten, die für die Einhaltung von behördlichen Bestimmungen hilfreich sein könnten, finden Sie im Abschnitt Sicherheit, Überwachungen und Zertifizierungen.
Es liegt in Ihrer Verantwortung, Ihre behördlichen Verpflichtungen einzuhalten. Wir unterstützen Sie dabei mit Informationen, die wir Ihnen zur Verfügung stellen. Wir verpflichten uns zur Einhaltung von Vertraulichkeits- und Datenschutzgesetzen, die allgemein für Dienstanbieter im Bereich der IT gelten. Wenn Sie Branchen- oder gerichtlichen Anforderungen unterliegen, müssen Sie Ihre Konformität selbst einschätzen. Kunden vieler Branchen und Länder haben jedoch festgestellt, dass sie Microsoft Online Services auf eine Weise verwenden können, die geltende Vorschriften einhält, vorausgesetzt sie verwenden die Dienste in einer für die bestimmten Umstände geeigneten Art und Weise.
So sollten beispielsweise Organisationen, für die die EU-Datenschutzrichtlinie gilt, über eigene Richtlinien, Sicherheiten und Schulungsprogramme verfügen, um sicherzustellen, dass ihre Mitarbeiter den Dienst Microsoft Online Services nicht in einer Weise verwenden, die gegen diese Richtlinie verstößt. Wir von Microsoft Online Services tragen unseren Teil dazu bei, indem wir unsere Versprechen halten und Ihnen damit bei der Einhaltung der Konformität helfen.
Hier ein Beispiel: Ein EU-Kunde speichert möglicherweise eine Kundenliste mit Kontaktinformationen. Microsoft Online Services verfügt über Sicherheitsverfahren, mit denen gewährleistet wird, dass Microsoft-Personal nicht unzweckmäßig auf diese Informationen zugreift bzw. diese offenlegt. Einer der Mitarbeiter des Kunden, der Microsoft Exchange Online nutzt, könnte jedoch den Dienst dazu verwenden, um eine solche Kundenliste ohne vorherige entsprechende Zustimmung an einen Händler zu senden. Alle resultierenden Verletzungen der EU-Datenschutzanforderungen, die daraus entstehen, dass Microsoft Online Services die Richtlinie des Kunden befolgt hat – nämlich dass der Versand einer E-Mail im normalen Verlauf der Dienstbereitstellung veranlasst wurde – liegen in der Verantwortung des Kunden.
Gemäß EU-Datenschutzgesetz und unserer vertraglichen Vereinbarung fungiert Microsoft Online Services als Verwalter Ihrer Daten, im Grunde also als ein Vertragspartner (im Gesetz werden wir als "Datenverarbeiter" bezeichnet). Sie, der Kunde, behalten die Eigentumsrechte an den Daten und laut Gesetz liegt es in Ihrer Verantwortung sicherzustellen, dass wir die Regeln befolgen und es Ihnen rechtlich gestattet ist, persönliche Daten an uns zu senden (im Gesetz werden Sie als "Datencontroller" bezeichnet). Sie müssen für Ihr Unternehmen in der jeweiligen Situation entscheiden, ob Sie unsere Dienste zur Verarbeitung und Speicherung Ihrer persönlichen Daten nutzen können.
Die Anforderungen der EU-Datenschutzrichtlinie wurden im Entwurf und der Ausführung unserer Dienste für normalen Gebrauch berücksichtigt, und wir überwachen diesen Bereich ständig auf für die Entwicklung der Dienste relevante Änderungen.
Darüber hinaus ist Microsoft ein Mitglied des zwischen der EU und dem US-Handelsministerium vereinbarten US-Safe-Harbor-Programms. Diese Mitgliedschaft bindet uns direkt an die Anforderungen der EU-Datenschutzrichtlinie und ermöglicht uns die Übertragung von Daten außerhalb der EU, um Microsoft Online Services anbieten zu können. Microsoft hat sich gemäß "U.S.-E.U. Safe Harbor"-Vereinbarung des US-Handelsministeriums und fast identischer "U.S.-Swiss Safe Harbor"-Vereinbarung selbst zertifiziert. Die Safe-Harbor-Zertifizierung von Microsoft finden Sie unter http://safeharbor.export.gov/. Weitere Informationen zur Datenübertragung außerhalb der EU finden Sie im Abschnitt "Geografische Grenzen" des Vertrauensstellungscenters.
In einigen Ländern befolgen wie darüber hinaus die gesetzlich vorgeschriebenen Sicherheitsanforderungen zur Speicherung von vertraulichen persönlichen Daten.
Wenn Sie Bedenken hinsichtlich der Regeln in Ihrem Land oder des von Ihnen gespeicherten Datentyps haben oder weitere Informationen über die Praktiken und unterstützten Features von Microsoft Online Services wünschen, diese Informationen jedoch nicht in der Dokumentation zum Dienst finden, können Sie sich an den Support wenden. Sofern dies nicht unsere Sicherheit schwächt, werden wir hilfreiche Informationen offenlegen, um Sie bei Ihrer Entscheidung bezüglich der Eignung der Implementierung von Microsoft Online Services in Abhängigkeit von Ihren Anforderungen zu unterstützen.
Sie sollten die FAQ oben lesen und müssen verstehen, dass auch wenn Microsoft Online Services Ihrer Organisation die Einhaltung der Datenschutzgesetze ermöglicht, dies nicht bedeutet, dass Ihre Organisation konform ist. Möglicherweise sind weitere Schritte notwendig wie die Erstellung der richtigen Unternehmensrichtlinien und die Schulung der Mitarbeiter im Bereich angemessene Datenschutzpraktiken. Zudem müssen Sie je nach Land möglicherweise zusätzliche Schritte wie die Meldung von Informationen an Ihre Datenschutzbehörde unternehmen, um örtlich anwendbare Gesetze einzuhalten.
Weitere Informationen dazu finden Sie in den FAQ zu HIPAA/HITECH.
Microsoft Online Services unterstützt Kunden bei der Einhaltung der Sicherheitsanforderungen des GLBA, indem es technische und organisatorische Schutzvorrichtungen zur Verfügung stellt, mit denen Kunden die Sicherheit aufrechterhalten und nicht autorisierte Datennutzung verhindern können. Auf Anforderung kann Microsoft einen Zusammenfassungsbericht einer Drittanbieter-Zertifizierung durch einen unabhängigen Prüfer vorlegen.
Microsoft Online Services unterstützt nicht die Verarbeitung, Übertragung oder Speicherung von durch die Kreditkartenindustrie (PCI) geregelten Daten wie Kreditkartennummern. Der PCI-Standard gilt nicht für Microsoft Online Services, da Kreditkartenzahlungen und die Speicherung von Kreditkartendaten nicht zum Funktionsumfang von Microsoft Online Services gehören. Microsoft Online Services wendet jedoch maßgebliche Sicherheitsrichtlinien und -kontrollen an, die durch bewährte Methoden der Branche, u. a. ISO 27001, definiert werden.
Beachten Sie jedoch, dass die Bestell-, Abrechnungs- und Zahlungssysteme von Microsoft Online Services, die Kreditkartendaten verarbeiten, eine PCI-Konformität der Stufe 1 besitzen und Kunden die Dienste sicher und zuverlässig per Kreditkarte bezahlen können.
Nein, als Datenverarbeiter registriert Microsoft Online Services die Kundendaten, die es im Auftrag seiner Kunden verarbeitet, nicht bei EU-Behörden.