ISO/IEC 27018-Verhaltenskodex zum Schutz von personenbezogenen Daten in der Cloud

ISO/IEC 27018 – Übersicht

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards. Die ISO/IEC 27000-Standardreihe unterstützt Organisationen jeder Art und Größe dabei, Informationsbestände sicher vorzuhalten.

Im Jahr 2014 führte die ISO den Standard ISO/IEC 27018:2014 ein, ein Anhang zu ISO/IEC 27001, dem ersten internationalen Verhaltenskodex für den Datenschutz in der Cloud. Basierend auf den EU-Datenschutzgesetzen stellt der Anhang spezifische Anleitungen für Cloud Service-Anbieter (CSPs), die als Datenverarbeiter von personenbezogenen Informationen (PII) agieren, zur Risikobewertung und Einführung von hochmodernen Kontrollen zum Schutz von PII bereit.

Microsoft und ISO/IEC 27018

Microsoft Azure und Azure Deutschland werden mindestens einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 und ISO/IEC 27018 von einer akkreditierten, dritten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, ob Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren. Im Rahmen der Complianceüberprüfung bestätigen die Prüfer in ihrer Erklärung zur Anwendbarkeit, dass in den im Umfang enthaltenen Cloud Services und technischen Commercial Support-Diensten von Microsoft ISO/IEC 27018-Kontrollen zum Schutz von PII in Azure integriert sind. Zur Wahrung der Compliance müssen die Microsoft Cloud Services jährlichen Überprüfungen durch einen Dritten unterzogen werden.

Durch Einhalten der Standards nach ISO/IEC 27001 und des in ISO/IEC 27018 enthaltenen Verhaltenskodex weist Microsoft (als erster großer Cloudanbieter, der diesen Verhaltenskodex übernimmt) nach, dass seine Datenschutzrichtlinien und Verfahren solide sind und seinen hohen Standards entsprechen.

  • Die Kunden der Microsoft Cloud Services wissen, wo ihre Daten gespeichert werden. Da CSPs im Rahmen von ISO/IEC 27018 dazu verpflichtet sind, Kunden über die Länder zu informieren, in denen ihre Daten gespeichert sein können, verfügen Kunden von Microsoft Cloud Services über die erforderliche Transparenz, um alle anwendbaren Informationssicherheitsregeln einzuhalten.
  • Die Kundendaten werden ohne ausdrückliche Zustimmung nicht für Marketing- oder Werbezwecke verwendet. Einige CSPs verwenden die Kundendaten für eigene kommerzielle Zwecke, einschließlich für gezielte Werbung. Da Microsoft den ISO/IEC 27018-Standard für seine im Umfang enthaltenen Enterprise Cloud-Dienste übernommen hat, können Kunden sicher sein, dass ihre Daten ohne ausdrückliche Zustimmung nicht für derartige Zwecke verwendet werden. Eine solche Zustimmung darf keine Bedingung für die Nutzung des Clouddienstes sein.
  • Die Kunden von Microsoft sind über den Umgang mit den personenbezogenen Informationen informiert. Nach ISO/IEC 27018 ist eine Richtlinie erforderlich, die die Rückgabe, Übertragung und sichere Aufbewahrung personenbezogener Informationen innerhalb eines angemessenen Zeitraums ermöglicht. Wenn Microsoft mit anderen Unternehmen zusammenarbeitet, die Zugriff auf Ihre Kundendaten benötigen, legt Microsoft die Identitäten dieser Unter-Datenverarbeiter eigeninitiativ offen.
  • Microsoft erfüllt nur gesetzlich vorgeschriebene Anforderungen zur Offenlegung von Kundendaten. Wenn Microsoft eine derartige Anforderung erfüllen muss, beispielsweise im Rahmen von polizeilichen Ermittlungen, werden die Kunden entsprechend benachrichtigt, sofern dies gesetzlich nicht untersagt ist.

In Microsoft eingeschlossene Cloudplattformen und -Dienste

  • Azure, Azure Government und Azure Deutschland
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 und Dynamics 365 Deutschland
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for Business
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Microsoft-Bedrohungsexperten
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
  • Office 365 Deutschland
  • OMS Service Map
  • Power Automate (ehemals Microsoft Flow): Clouddienst als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • PowerApps-Clouddienst: als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • Power BI-Clouddienst: entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender für Endpunkt – Endpunkterkennung und -Antwort, automatische Untersuchung und Entschärfung, Sicherheitsbewertung
  • Windows 365

Azure, Dynamics 365 und ISO/IEC 27018

Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinedienste finden Sie im Azure ISO/IEC 27018-Angebot.

Office 365 und ISO/IEC 27018

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Office 365 (für Geschäftskunden): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365-Kundenportal, Office 365-Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online-Dokumentdienst, Abfrageanmerkungsdienst, School Data Sync, Sifon, Speech, StaffHub, eXtensible-Anwendungsprogramm), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services-Infrastruktur, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Dienstverschlüsselung mit Kundenschlüssel, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Azure Communications Service, Compliance-Manager, Delve, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Hoch Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Audits, -Berichte und -Zertifikate

Microsoft-Clouddienste und technische Commercial Support-Dienste werden einmal im Jahr im Rahmen des Zertifizierungsprozesses nach ISO/IEC 27001 auf den ISO/IEC 27018-Verhaltenskodex hin überprüft.

Häufig gestellte Fragen

Für wen gilt ISO/IEC 27018?

Dieser Verhaltenskodex gilt für CSPs, die PII im Auftrag anderer Organisationen verarbeiten. Bei Microsoft gilt er auch im Rahmen des Supports dieser CSPs.

Welcher Unterschied besteht zwischen „Controllern von personenbezogenen Informationen” und „Verarbeitern von personenbezogenen Informationen”?

Im Kontext von ISO/IEC 27018:

  • „Controller” kontrollieren die Sammlung, Beibehaltung, Verarbeitung oder die Verwendung von personenbezogenen Informationen. Hierzu zählen auch Controller, die im Auftrag eines anderen Unternehmens tätig sind.
  • „Datenverarbeiter” verarbeiten Informationen im Auftrag von Controllern. Sie treffen keine Entscheidungen im Hinblick auf die Verwendung der Informationen oder die Zwecke der Verarbeitung. Microsoft (als Zulieferer) ist im Hinblick auf die Bereitstellung seiner Enterprise Cloud Services ein Datenverarbeiter.

Wo kann ich Office 365-Complianceinformationen für ISO/IEC 27018 anzeigen?

  • Sie können die ISO/IEC 27018-Zertifikate von BSI (dem unabhängigen Prüfer, der die Compliance von Microsoft mit ISO/IEC 27018 überprüft hat) für Office 365überprüfen.

Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?

Ja. Wenn Compliance mit ISO/IEC 27018 für Ihr Unternehmen und die in einem der im Umfang von Microsoft Enterprise Cloud enthaltenen Dienste wichtig ist, können Sie die Compliancebescheinigung von Microsoft für ISO/IEC 27018 mit der entsprechenden Zertifizierung von Microsoft nach ISO/IEC 27001 für Ihre Compliancebewertung verwenden.

Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung unter Wahrung der Compliance zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des Risikos

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen