ISO/IEC 27018-Verhaltenskodex zum Schutz von personenbezogenen Daten in der CloudISO/IEC 27018 Code of Practice for Protecting Personal Data in the Cloud

ISO/IEC 27018 – ÜbersichtISO/IEC 27018 overview

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards.The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world's largest developer of voluntary international standards. Die ISO/IEC 27000-Standardreihe unterstützt Organisationen jeder Art und Größe dabei, Informationsbestände sicher vorzuhalten.The ISO/IEC 27000 family of standards helps organizations of every type and size keep information assets secure.

Im Jahr 2014 führte die ISO den Standard ISO/IEC 27018:2014 ein, ein Anhang zu ISO/IEC 27001, dem ersten internationalen Verhaltenskodex für den Datenschutz in der Cloud.In 2014, the ISO adopted ISO/IEC 27018:2014, an addendum to ISO/IEC 27001, the first international code of practice for cloud privacy. Basierend auf den EU-Datenschutzgesetzen stellt der Anhang spezifische Anleitungen für Cloud Service-Anbieter (CSPs), die als Datenverarbeiter von personenbezogenen Informationen (PII) agieren, zur Risikobewertung und Einführung von hochmodernen Kontrollen zum Schutz von PII bereit.Based on EU data-protection laws, it gives specific guidance to cloud service providers (CSPs) acting as processors of personally identifiable information (PII) on assessing risks and implementing state-of-the-art controls for protecting PII.

Microsoft und ISO/IEC 27018Microsoft and ISO/IEC 27018

Microsoft Azure und Azure Deutschland werden mindestens einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 und ISO/IEC 27018 von einer akkreditierten, dritten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, ob Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren.At least once a year, Microsoft Azure and Azure Germany are audited for compliance with ISO/IEC 27001 and ISO/IEC 27018 by an accredited third-party certification body, providing independent validation that applicable security controls are in place and operating effectively. Im Rahmen der Complianceüberprüfung bestätigen die Prüfer in ihrer Erklärung zur Anwendbarkeit, dass in den im Umfang enthaltenen Cloud Services und technischen Commercial Support-Diensten von Microsoft ISO/IEC 27018-Kontrollen zum Schutz von PII in Azure integriert sind.As part of this compliance verification process, the auditors validate in their statement of applicability that Microsoft in-scope cloud services and commercial technical support services have incorporated ISO/IEC 27018 controls for the protection of PII in Azure. Zur Wahrung der Compliance müssen die Microsoft Cloud Services jährlichen Überprüfungen durch einen Dritten unterzogen werden.To remain compliant, Microsoft cloud services must be subject to annual third-party reviews.

Durch Einhalten der Standards nach ISO/IEC 27001 und des in ISO/IEC 27018 enthaltenen Verhaltenskodex weist Microsoft (als erster großer Cloudanbieter, der diesen Verhaltenskodex übernimmt) nach, dass seine Datenschutzrichtlinien und Verfahren solide sind und seinen hohen Standards entsprechen.By following the standards of ISO/IEC 27001 and the code of practice embodied in ISO/IEC 27018, Microsoft (the first major cloud provider to incorporate this code of practice) demonstrates that its privacy policies and procedures are robust and in line with its high standards.

  • Die Kunden der Microsoft Cloud Services wissen, wo ihre Daten gespeichert werden.Customers of Microsoft cloud services know where their data is stored. Da CSPs im Rahmen von ISO/IEC 27018 dazu verpflichtet sind, Kunden über die Länder zu informieren, in denen ihre Daten gespeichert sein können, verfügen Kunden von Microsoft Cloud Services über die erforderliche Transparenz, um alle anwendbaren Informationssicherheitsregeln einzuhalten.Because ISO/IEC 27018 requires certified CSPs to inform customers of the countries in which their data may be stored, Microsoft cloud service customers have the visibility they need to comply with any applicable information security rules.
  • Die Kundendaten werden ohne ausdrückliche Zustimmung nicht für Marketing- oder Werbezwecke verwendet.Customer data won't be used for marketing or advertising without explicit consent. Einige CSPs verwenden die Kundendaten für eigene kommerzielle Zwecke, einschließlich für gezielte Werbung.Some CSPs use customer data for their own commercial ends, including for targeted advertising. Da Microsoft den ISO/IEC 27018-Standard für seine im Umfang enthaltenen Enterprise Cloud-Dienste übernommen hat, können Kunden sicher sein, dass ihre Daten ohne ausdrückliche Zustimmung nicht für derartige Zwecke verwendet werden. Eine solche Zustimmung darf keine Bedingung für die Nutzung des Clouddienstes sein.Because Microsoft has adopted ISO/IEC 27018 for its in-scope enterprise cloud services, customers can rest assured that their data will never be used for such purposes without explicit consent, and that consent cannot be a condition for use of the cloud service.
  • Die Kunden von Microsoft sind über den Umgang mit den personenbezogenen Informationen informiert.Microsoft customers know what's happening with their PII. Nach ISO/IEC 27018 ist eine Richtlinie erforderlich, die die Rückgabe, Übertragung und sichere Aufbewahrung personenbezogener Informationen innerhalb eines angemessenen Zeitraums ermöglicht.ISO/IEC 27018 requires a policy that allows for the return, transfer, and secure disposal of personal information within a reasonable period of time. Wenn Microsoft mit anderen Unternehmen zusammenarbeitet, die Zugriff auf Ihre Kundendaten benötigen, legt Microsoft die Identitäten dieser Unter-Datenverarbeiter eigeninitiativ offen.If Microsoft works with other companies that need access to your customer data, Microsoft proactively discloses the identities of those sub-processors.
  • Microsoft erfüllt nur gesetzlich vorgeschriebene Anforderungen zur Offenlegung von Kundendaten.Microsoft complies only with legally binding requests for disclosure of customer data. Wenn Microsoft eine derartige Anforderung erfüllen muss, beispielsweise im Rahmen von polizeilichen Ermittlungen, werden die Kunden entsprechend benachrichtigt, sofern dies gesetzlich nicht untersagt ist.If Microsoft must comply with such a request (as in the case of a criminal investigation), it will always notify the customer unless it is prohibited by law from doing so.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

  • Azure und Azure Government und Azure DeutschlandAzure, Azure Government, and Azure Germany
  • Azure DevOps ServicesAzure DevOps Services
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Dynamics 365, Dynamics 365 und Dynamics 365 DeutschlandDynamics 365, Dynamics 365, and Dynamics 365 Germany
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for BusinessMicrosoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for medium business and enterprise customers of Microsoft 365 for business
  • Microsoft GraphMicrosoft Graph
  • Microsoft Healthcare BotMicrosoft Healthcare Bot
  • IntuneIntune
  • Microsoft Managed DesktopMicrosoft Managed Desktop
  • Power Automate-Clouddienst (ehemalig Microsoft Flow): als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan bzw. einer -Anwendungssuite enthaltenPower Automate (formerly Microsoft Flow): cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
  • Office 365 DeutschlandOffice 365 Germany
  • OMS Service MapOMS Service Map
  • PowerApps-Clouddienst: als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthaltenPowerApps cloud service: either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI-Clouddienst: entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthaltenPower BI cloud service: either as a standalone service or as included in an Office 365 branded plan or suite
  • Power BI EmbeddedPower BI Embedded
  • Power Virtual AgentsPower Virtual Agents
  • Microsoft-BedrohungsexpertenMicrosoft Threat Experts
  • Microsoft StreamMicrosoft Stream
  • Windows Defender ATP – Erkennung und Reaktion am Endpunkt, automatische Untersuchung & Entschärfung, SicherheitsbewertungWindows Defender ATP — Endpoint Detection & Response, Automatic Investigation & Remediation, Secure Score

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

PrüfzyklusAudit cycle

Microsoft-Clouddienste und technische Commercial Support-Dienste werden einmal im Jahr im Rahmen des Zertifizierungsprozesses nach ISO/IEC 27001 auf den ISO/IEC 27018-Verhaltenskodex hin überprüft.Microsoft cloud and commercial technical support services are audited once a year for the ISO/IEC 27018 code of practice as part of the certification process for ISO/IEC 27001.

Prüfungen und BerichteAudits and reports

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Häufig gestellte FragenFrequently asked questions

Für wen gilt ISO/IEC 27018?To whom does ISO/IEC 27018 apply?

Dieser Verhaltenskodex gilt für CSPs, die PII im Auftrag anderer Organisationen verarbeiten.This code of practice applies to CSPs that process PII under contract for other organizations. Bei Microsoft gilt er auch im Rahmen des Supports dieser CSPs.At Microsoft, it also applies to the support of those CSPs.

Welcher Unterschied besteht zwischen „Controllern von personenbezogenen Informationen” und „Verarbeitern von personenbezogenen Informationen”?What is the difference between 'personal information controllers' and 'personal information processors'?

Im Kontext von ISO/IEC 27018:In the context of ISO/IEC 27018:

  • „Controller” kontrollieren die Sammlung, Beibehaltung, Verarbeitung oder die Verwendung von personenbezogenen Informationen. Hierzu zählen auch Controller, die im Auftrag eines anderen Unternehmens tätig sind.'Controllers' control the collection, holding, processing, or use of personal information; they include those who control it on another company's behalf.
  • „Datenverarbeiter” verarbeiten Informationen im Auftrag von Controllern. Sie treffen keine Entscheidungen im Hinblick auf die Verwendung der Informationen oder die Zwecke der Verarbeitung.'Processors' process information on behalf of controllers; they do not make decisions as to how to use the information or the purposes of the processing. Microsoft (als Zulieferer) ist im Hinblick auf die Bereitstellung seiner Enterprise Cloud Services ein Datenverarbeiter.In providing its enterprise cloud services, Microsoft (as a vendor to you) is an information processor.

Wo finde ich die Complianceinformationen von Microsoft für ISO/IEC 27018?Where can I view Microsoft compliance information for ISO/IEC 27018?

Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?Can I use Microsoft's compliance in my organization's certification process?

Ja.Yes. Wenn Compliance mit ISO/IEC 27018 für Ihr Unternehmen und die in einem der im Umfang von Microsoft Enterprise Cloud enthaltenen Dienste wichtig ist, können Sie die Compliancebescheinigung von Microsoft für ISO/IEC 27018 mit der entsprechenden Zertifizierung von Microsoft nach ISO/IEC 27001 für Ihre Compliancebewertung verwenden.If compliance with ISO/IEC 27018 is important for your business and implementations deployed on any of Microsoft in-scope enterprise cloud services, you can use Microsoft's attestation of compliance with ISO/IEC 27018 with Microsoft's certification for ISO/IEC 27001 in your compliance assessment.

Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung unter Wahrung der Compliance zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.However, you are responsible for engaging an assessor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance-Manager ist ein Feature im Microsoft 365 Compliance Center, das Ihnen dabei hilft, den Compliance-Status Ihrer Organisation zu ermitteln und Maßnahmen zur Senkung von Risiken zu ergreifen.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine sehr hilfreiche Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Die Vorlage finden Sie auf der Seite Bewertungsvorlagen in Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources