Trust Center: Informationen zur Sicherheit, zum Datenschutz und zur Einhaltung von Vorschriften für Office 365 und Microsoft Dynamics CRM Online

Einhaltung gesetzlicher Bestimmungen

Ist Microsoft zur Transparenz verpflichtet, um Kunden bei der Einhaltung von behördlichen Anforderungen zu unterstützen?

Ja. Unsere Office 365 and Microsoft Dynamics CRM Online-Kunden auf der ganzen Welt unterliegen vielen verschiedenen Gesetzen und Vorschriften. Die rechtlichen Anforderungen in einem Land oder einer Branche stimmen möglicherweise nicht mit den rechtlichen Anforderungen in anderen Ländern oder Bereichen überein. Als Anbieter globaler Cloud-Dienste müssen wir unsere Dienste jedoch mit allgemeinen betrieblichen Praktiken und Features für zahlreiche Kunden und Gerichtsstände abstimmen. Um unseren Kunden dabei zu helfen, die an sie gestellten Anforderungen einzuhalten, entwickeln wir unsere Dienste auf der Grundlage allgemeiner Datenschutz- und Sicherheitsanforderungen, und die integrierten Funktionen tragen dazu bei, die Konformität mit einer Vielzahl behördlicher Anforderungen und Datenschutzbestimmungen zu erfüllen.

Es liegt jedoch letztlich in der Verantwortung unserer Kunden, unsere Angebote anhand ihrer eigenen Anforderungen zu bewerten und so zu bestimmen, ob unsere Dienste ihre behördlichen Anforderungen erfüllen. Wir haben uns zum Ziel gesetzt, unseren Kunden detaillierte Informationen über unsere Cloud-Dienste zur Verfügung zu stellen, damit sie ihre eigenen behördlichen Bewertungen vornehmen können.

Informationen zu Zertifikaten, die für die Einhaltung von behördlichen Bestimmungen hilfreich sein könnten, finden Sie im Abschnitt Sicherheit, Überwachungen und Zertifizierungen .

Sind Office 365 und Microsoft Dynamics CRM Online für die für mich geltenden behördlichen Anforderungen geeignet?

Es liegt in Ihrer Verantwortung, die behördlichen Anforderungen zu erfüllen. Wir unterstützen Sie dabei mit Informationen, die wir Ihnen zur Verfügung stellen.

Wir verpflichten uns zur Einhaltung von Vertraulichkeits- und Datenschutzgesetzen, die allgemein für Dienstanbieter im Bereich der IT gelten. Wenn Sie Branchen- oder gerichtlichen Anforderungen unterliegen, müssen Sie Ihre Konformität selbst einschätzen. Kunden vieler Branchen und Länder haben jedoch festgestellt, dass sie Office 365 und Microsoft Dynamics CRM Online auf eine Weise verwenden können, die geltende Vorschriften einhält, vorausgesetzt sie verwenden die Dienste in einer für die bestimmten Umstände geeigneten Art und Weise.

So sollten beispielsweise Organisationen, für die die EU-Datenschutzrichtlinie gilt, über eigene Richtlinien, Sicherheiten und Schulungsprogramme verfügen, um sicherzustellen, dass ihre Mitarbeiter die Office 365- oder Microsoft Dynamics CRM Online-Dienste nicht in einer Weise verwenden, die gegen diese Richtlinie verstößt. Wir von Office 365 und Microsoft Dynamics CRM Online tragen unseren Teil dazu bei, indem wir unsere Versprechen halten und Ihnen damit bei der Einhaltung der Konformität helfen.

Hier ein Beispiel: Ein EU-Kunde speichert möglicherweise eine Kundenliste mit Kontaktinformationen. Office 365 and Microsoft Dynamics CRM Online verfügen über Sicherheitsverfahren, mit denen gewährleistet wird, dass Microsoft-Personal nicht unzweckmäßig auf diese Informationen zugreift bzw. diese offenlegt. Einer der Mitarbeiter des Kunden, der Microsoft Exchange Online nutzt, könnte jedoch den Dienst dazu verwenden, um eine solche Kundenliste ohne vorherige entsprechende Zustimmung an einen Händler zu senden. Alle resultierenden Verletzungen der EU-Datenschutzanforderungen, die daraus entstehen, dass Office 365 und Microsoft Dynamics CRM Online die Richtlinie des Kunden befolgt haben – nämlich dass der Versand einer E-Mail im normalen Verlauf der Dienstbereitstellung veranlasst wurde – liegen in der Verantwortung des Kunden.

Wenn ich in Europa ansässig bin, kann ich Office 365 und Microsoft Dynamics CRM Online dann legal nutzen?

Gemäß EU-Datenschutzrichtlinie und unseren vertraglichen Vereinbarungen fungieren Office 365 und Microsoft Dynamics CRM Online als Verwalter Ihrer Daten, im Grunde also als ein Vertragspartner (im Gesetz werden wir als "Datenverarbeiter" bezeichnet).

Sie, der Kunde, behalten die Eigentumsrechte an den Daten, und laut Gesetz liegt es in Ihrer Verantwortung sicherzustellen, dass wir die Regeln befolgen und es Ihnen rechtlich gestattet ist, persönliche Daten an uns zu senden (im Gesetz werden Sie als "die für die Datenverarbeitung verantwortliche Person" bezeichnet). Sie müssen für Ihr Unternehmen in der jeweiligen Situation entscheiden, ob Sie unsere Dienste zur Verarbeitung und Speicherung Ihrer personenbezogenen Daten nutzen können.

Die Anforderungen der EU-Datenschutzrichtlinie wurden im Entwurf und der Ausführung unserer Dienste für normalen Gebrauch berücksichtigt, und wir überwachen diesen Bereich ständig auf für die Entwicklung der Dienste relevante Änderungen.

Microsoft hat sich gemäß "U.S.-E.U. Safe Harbor"-Vereinbarung des US-Handelsministeriums und fast identischer "U.S.-Swiss Safe Harbor"-Vereinbarung selbst zertifiziert, wie mit dem US-Handelsministerium sowie der EU und der Schweiz vereinbart. Dementsprechend sind wir verpflichtet, uns an die Anforderungen der EU-Datenschutzrichtlinie zu halten, und dürfen Daten legal an Speicherorte außerhalb der EU übertragen, um Office 365- und Microsoft Dynamics CRM Online-Dienste bereitzustellen. Die Safe-Harbor-Zertifizierung von Microsoft finden Sie unter http://safeharbor.export.gov/ . Wir sind uns bewusst, dass einige Kunden Zusicherungen benötigen, die über die Safe Harbor-Selbstzertifizierung hinausgehen, daher sind wir bereit, mit allen Kunden Verträge zu schließen, die die EU-Standardvertragsklauseln enthalten. Weitere Informationen zur Datenübertragung außerhalb der EU finden Sie im Abschnitt "Standorte der Rechenzentren" im Trust Center.

In einigen Ländern befolgen wie darüber hinaus die gesetzlich vorgeschriebenen Sicherheitsanforderungen zur Speicherung von vertraulichen personenbezogenen Daten. Wenn Sie Bedenken hinsichtlich der Regeln in Ihrem Land oder des von Ihnen gespeicherten Datentyps haben oder weitere Informationen über die Praktiken und unterstützten Features von Office 365 oder Microsoft Dynamics CRM Online wünschen, diese Informationen jedoch nicht in der Dokumentation zum Dienst finden, können Sie sich an den Support wenden. Sofern dies nicht unsere Sicherheit schwächt, werden wir hilfreiche Informationen offenlegen, um Sie bei Ihrer Entscheidung bezüglich der Eignung der Implementierung von Office 365 oder Microsoft Dynamics CRM Online in Abhängigkeit von Ihren Anforderungen zu unterstützen.

Sie sollten die allgemeinen Fragen zur Einhaltung von behördlichen Vorschriften lesen und sich bewusst machen, dass die Tatsache, dass Office 365 und Microsoft Dynamics CRM Online die Einhaltung behördlicher Vorschriften durch Ihre Organisation unterstützen, nicht bedeutet, dass Ihre Organisation diese Vorschriften auch tatsächlich einhält. Möglicherweise gibt es weitere Schritte, die Sie unternehmen müssen, wie die Inkraftsetzung geeigneter Unternehmensrichtlinien und Schulung der Mitarbeiter im Hinblick auf ordnungsgemäße Datenschutzpraktiken. Je nach Land/Region, in dem/der Sie beheimatet sind, gibt es ggf. zusätzliche Schritte, die Sie unternehmen müssen, um der lokalen Gesetzgebung zu entsprechen, wie die Hinterlegung von Informationen bei Ihrer Datenschutzbehörde.

Werden Kundendaten, die in Office 365 oder Microsoft Dynamics CRM Online verarbeitet werden, bei den EU-Behörden registriert?

Nein, als Datenverarbeiter registrieren Office 365 und Microsoft Dynamics CRM Online die Kundendaten, die im Auftrag eines Kunden verarbeitet werden, nicht bei EU-Behörden.

Erfüllen Office 365 und Microsoft Dynamics CRM Online die Anforderung des Health Insurance Portability and Accountability Act (HIPAA)? Wird Microsoft einen HIPAA-konformen Vertrag für Geschäftspartner (Business Associate Agreement, BAA) unterzeichnen?

Wir helfen unseren Kunden dabei, die Anforderungen von HIPAA zu erfüllen und sind bereit, mit allen Kunden einen HIPAA-konformen Vertrag für Geschäftspartner zu unterzeichnen. Weitere Informationen dazu finden Sie in den FAQ zu HIPAA/HITECH .

Entsprechen Office 365 oder Microsoft Dynamics CRM Online den Vorschriften des Gramm Leach Bliley Acts (GLBA)?

Office 365 und Microsoft Dynamics CRM Online unterstützen Kunden bei der Einhaltung der Sicherheitsanforderungen des GLBA, indem sie technische und organisatorische Schutzvorrichtungen zur Verfügung stellen, mit denen Kunden die Sicherheit aufrechterhalten und nicht autorisierte Datennutzung verhindern können.

Auf Anforderung kann Microsoft seinen Kunden einen Zusammenfassungsbericht einer Drittanbieter-Zertifizierung durch einen unabhängigen Prüfer vorlegen.

Entsprechen Office 365 oder Microsoft Dynamics CRM Online dem Payment Card Industry-Datensicherheitsstandard (PCI DSS)? Kann ich Kreditkartendaten in dem Dienst hosten?

Die Verarbeitung, Übertragung und Speicherung von PCI-Daten wie Kreditkartennummern wird von Office 365 und Microsoft Dynamics CRM Online nicht unterstützt.

Der PCI-Standard ist auf Office 365 oder Microsoft Dynamics CRM Online nicht anwendbar, da die Verarbeitung und Speicherung von Kreditkartendaten keine von Office 365 oder Microsoft Dynamics CRM Online gebotene Funktion ist. Office 365 und Microsoft Dynamics CRM Online setzen keine der branchenüblichen, anwendbaren Sicherheitsrichtlinien und Kontrollmechanismen wie ISO 27001 und andere ein.

Beachten Sie jedoch, dass die Bestell-, Abrechnungs- und Zahlungssysteme von Office 365 und Microsoft Dynamics CRM Online, die Kreditkartendaten verarbeiten, eine PCI-Konformität der Stufe 1 besitzen und Kunden die Dienste sicher und zuverlässig per Kreditkarte bezahlen können.

Entspricht Office 365 den FERPA-Vorschriften?

Eine Ausbildungsinstitution unterliegt zwar gemäß FERPA zahlreichen Verpflichtungen, Microsoft macht jedoch die wesentlichen Vertragsbedingungen zur Auflage, die die Nutzung und Offenlegung von Ausbildungsdatensätzen regeln, die in Office 365 gespeichert sind, und es ermöglichen, dass Ausbildungsinstitutionen Office 365 als Teil einer breiter angelegten FERPA-Konformitätsstrategie nutzen.

Gemäß FERPA sind alle Bildungseinrichtungen oder Ausbildungsinstitutionen, die Mittel vom US-Bildungsministerium erhalten, verpflichtet, die Daten von Schülern und Studierenden zu schützen, indem sie "Ausbildungsdatensätze" davor schützen, ohne Zustimmung der Betroffenen verwendet oder offengelegt zu werden. Die Richtlinie des Bildungsministeriums stellt klar, dass E-Mail-Nachrichten als Ausbildungsdatensätze gemäß FERPA zu betrachten sind und dass die Anbieter von Cloud-E-Mail-Systemen in ähnlicher Weise betreffend die Nutzung oder Offenlegung von Informationen in E-Mails und Dokumenten eingeschränkt werden sollten. 

FERPA erfordert, dass ein Cloud-Anbieter bestätigt, dass "Ausbildungsdatensätze", die in E-Mails und andere elektronischen Dokumenten von Fakultäten, Mitarbeitern und Schülern/Studierenden enthalten sind, ausschließlich nur für die Bereitstellung des Cloud-Diensts verwendet werden und dass solche Informationen weder gescannt noch verwendet werden, um kommerzielle Aktivitäten wie Werbung zu unterstützen und durchzuführen. Microsoft bietet Ausbildungsinstitutionen einen Weg zur Konformität mit FERPA, indem man sich einverstanden erklärt, als "Schulmitarbeiter" gemäß FERPA mit "legitimen ausbildungsbezogenen Interessen" an den Daten der Institution aufzutreten, indem man erklärt, dass man sich an die Einschränkungen und Anforderungen hält, die von FERPA Schulmitarbeitern auferlegt werden, wozu auch die Erklärung gehört, dass E-Mails oder Dokument der Institution nicht für Werbezwecke gescannt werden.