Personenbezogene Daten dürfen Firmen nur dann in der Cloud verarbeiten, wenn dafür eine rechtliche Erlaubnis besteht. Diese ergibt sich bei Cloud Services in der Regel aus der Auftragsdatenverarbeitung, die Microsoft in seinen Verträgen abgebildet hat. Das Datenschutzrecht gilt dabei nur für die Verarbeitung von personenbezogenen Daten. Dies sind – verkürzt gesagt – Angaben über eine bestimmte oder bestimmbare natürliche Person, wie Namen oder E-Mail-Adressen.
Grundlage für die Leistungsbeziehung sind die Lizenzverträge über die Nutzung der jeweiligen Microsoft-Technologie. Diese werden zwischen dem Kunden und der Microsoft Ireland Operations Limited abgeschlossen und die Lizenzverträge werden durch die Online Services Terms ergänzt. Diese Bestimmungen beinhalten unter anderem die gesetzlich vorgeschriebenen Regelungen für eine Auftragsdatenverarbeitung. Als Anhang sind die EU-Standardvertragsklauseln angefügt, die zwischen dem Kunden und der Microsoft Corporation als Subunternehmerin der Microsoft Ireland Operations Limited abgeschlossen werden.
Die EU-Standardvertragsklauseln sind von der EU-Kommission verabschiedet worden. Werden diese Klauseln unverändert eingesetzt, ist eine Weitergabe von personenbezogenen Daten datenschutzrechtlich zulässig. Damit ist die Microsoft Corporation verpflichtet, die EU-Datenschutzstandards einzuhalten und diese auch etwaigen Subunternehmern vertraglich aufzuerlegen. Zudem lässt sich Microsoft jährlich nach der ISO 27001 [1] prüfen. Nach Aussagen von Rechtsanwälten ist dies ausreichend, damit Unternehmen Office 365 nutzen können. Microsoft stellt hierzu zwei Vorträge auf YouTube von Rechtsanwalt Wilfried Reiners bereit, die die Situation nochmal ausführlich beleuchten:
- "Datenschutz in der Microsoft EU-Cloud" [2]
- "Die Microsoft Cloud mit deutscher Datentreuhand – ein kurzer rechtlicher Überblick" [3]
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.