ISO/IEC 27018-Verhaltenskodex zum Schutz von personenbezogenen Daten in der Cloud

Microsoft war der erste Cloudanbieter, der diesen Verhaltenskodex für den Datenschutz in der Cloud einhielt.

Microsoft und ISO/IEC 27018

Microsoft Azure und Azure Deutschland werden mindestens einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 und ISO/IEC 27018 von einer akkreditierten, dritten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, ob Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren. Im Rahmen der Complianceüberprüfung bestätigen die Prüfer in ihrer Erklärung zur Anwendbarkeit, dass in den im Umfang enthaltenen Cloud Services und technischen Commercial Support-Diensten von Microsoft ISO/IEC 27018-Kontrollen zum Schutz von PII in Azure integriert sind. Zur Wahrung der Compliance müssen die Microsoft Cloud Services jährlichen Überprüfungen durch einen Dritten unterzogen werden.

Durch Einhalten der Standards nach ISO/IEC 27001 und des in ISO/IEC 27018 enthaltenen Verhaltenskodex weist Microsoft – als erster großer Cloudanbieter, der diesen Verhaltenskodex übernimmt – nach, dass seine Datenschutzrichtlinien und Verfahren solide sind und seinen hohen Standards entsprechen.

  • Die Kunden der Microsoft-Clouddienste wissen, wo ihre Daten gespeichert werden. Da CSPs im Rahmen von ISO/IEC 27018 dazu verpflichtet sind, Kunden über die Länder zu informieren, in denen ihre Daten gespeichert sein können, verfügen Kunden von Microsoft Cloud Services über die erforderliche Transparenz, um alle anwendbaren Informationssicherheitsregeln einzuhalten.
  • Die Kundendaten werden ohne ausdrückliche Zustimmung nicht für Marketing- oder Werbezwecke verwendet. Einige CSPs verwenden die Kundendaten für eigene kommerzielle Zwecke, einschließlich für gezielte Werbung. Da Microsoft den ISO/IEC 27018-Standard für seine im Umfang enthaltenen Enterprise Cloud Services übernommen hat, können Kunden sicher sein, dass ihre Daten ohne ausdrückliche Zustimmung nicht für derartige Zwecke verwendet werden. Eine solche Zustimmung darf keine Bedingung für die Nutzung des Cloud Servicess sein.
  • Die Kunden von Microsoft sind über den Umgang mit den personenbezogenen Informationen informiert. Nach ISO/IEC 27018 ist eine Richtlinie erforderlich, die die Rückgabe, Übertragung und sichere Aufbewahrung personenbezogener Informationen innerhalb eines angemessenen Zeitraums ermöglicht. Wenn Microsoft mit anderen Unternehmen zusammenarbeitet, die Zugriff auf Ihre Kundendaten benötigen, legt Microsoft die Identitäten dieser Unter-Datenverarbeiter eigeninitiativ offen.
  • Microsoft erfüllt nur gesetzlich vorgeschriebene Anforderungen zur Offenlegung von Kundendaten. Wenn Microsoft eine derartige Anforderung erfüllen muss, beispielsweise im Rahmen von polizeilichen Ermittlungen, werden die Kunden entsprechend benachrichtigt, sofern dies gesetzlich nicht untersagt ist.

Erfahren Sie mehr über die Vorteile von ISO/IEC-27001 für die Microsoft Cloud.

Hintergrundinformationen zu ISO/IEC-27001 herunterladen

Microsoft-Clouddienste im Leistungsumfang

  • Azure, Azure Government und Azure Deutschland Detaillierte Liste
  • Cloud App Security
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Office 365
  • Dynamics 365 und Dynamics 365 U.S. Government Detaillierte Liste
  • Genomics
  • Graph
  • Health Bot
  • Intune
  • Microsoft Flow-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Office 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense Detaillierte Liste
  • Office 365 Deutschland
  • OMS Service-Karte
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Stream
  • Azure DevOps Services
  • Windows Defender ATP – Endpoint Detection & Response, Automatic Investigation & Remediation, Secure Score

Prüfungen, Berichte und Zertifikate

Alle erweitern

Microsoft-Clouddienste und technische Commercial Support-Dienste werden einmal im Jahr im Rahmen des Zertifizierungsprozesses nach ISO/IEC 27001 auf den ISO/IEC 27018-Verhaltenskodex hin überprüft.

ISO/IEC 27018 – Übersicht

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards. Die ISO/IEC 27000-Standardreihe unterstützt Organisationen jeder Art und Größe dabei, Informationsbestände sicher vorzuhalten.

Im Jahr 2014 führte die ISO den Standard ISO/IEC 27018:2014 ein, ein Anhang zu ISO/IEC 27001, dem ersten internationalen Verhaltenskodex für den Datenschutz in der Cloud. Basierend auf den EU-Datenschutzgesetzen stellt der Anhang spezifische Anleitungen für Cloud Service-Anbieter (CSPs), die als Datenverarbeiter von personenbezogenen Informationen (PII) agieren, zur Risikobewertung und Einführung von hochmodernen Kontrollen zum Schutz von PII bereit.

Bewerten Sie Ihre DSGVO-Compliance

Finden Sie heraus, ob Ihr Unternehmen die Anforderungen an den Schutz personenbezogener Daten erfüllt. Nutzen Sie unsere schnelle, interaktive Bewertung mit zehn Fragen, und erfahren Sie, inwieweit Sie auf die Einhaltung der DSGVO vorbereitet sind.

Bewertung durchführen

Häufig gestellte Fragen

Alle erweitern

Dieser Verhaltenskodex gilt für CSPs, die PII im Auftrag anderer Organisationen verarbeiten. Bei Microsoft gilt er auch im Rahmen des Supports dieser CSPs.

Im Kontext von ISO/IEC 27018:

  • „Controller” kontrollieren die Sammlung, Vorhaltung, Verarbeitung oder die Verwendung von personenbezogenen Informationen. Eingeschlossen sind dabei Controller, die im Auftrag eines anderen Unternehmens tätig sind.
  • „Datenverarbeiter” verarbeiten Informationen im Auftrag von Controllern. Sie treffen keine Entscheidungen im Hinblick auf die Verwendung der Informationen oder die Zwecke der Verarbeitung. Microsoft – als Zulieferer – ist im Hinblick auf die Bereitstellung seiner Enterprise Cloud Services ein Datenverarbeiter.
  • Sie können die ISO/IEC 27018-Zertifikate von BSI für Azure, Azure Deutschland, Commercial Support und Power BI ansehen.
  • Außerdem können Sie die ISO/IEC 27001-Zertifikate von BSI ansehen, auf denen die Zertifizierung nach ISO/IEC 27018 für Dynamics 365, Office 365 und Azure DevOps Services beruht.
  • Besuchen Sie das Service Trust Portal, um die BSI-Berichte anzusehen, mit denen der unabhängige Prüfer die Compliance von Microsoft im Hinblick auf ISO/IEC 27018 überprüft hat.

Ja. Wenn Compliance mit ISO/IEC 27018 für Ihr Unternehmen und die in einem der im Umfang von Microsoft Enterprise Cloud enthaltenen Dienste wichtig ist, können Sie die Compliancebescheinigung von Microsoft für ISO/IEC 27018 in Verbindung mit der entsprechenden Zertifizierung von Microsoft nach ISO/IEC 27001 für Ihre Compliancebewertung verwenden.

Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung im Hinblick auf Compliance zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.