Spanisches Königliches Dekret 1720/2007, Spanisches Grundgesetz 15/1999Spanish Royal Decree 1720/2007, Spanish Organic Law 15/1999

Spanisches Königliches Dekret 1720/2007, spanisches organisches Gesetz 15/1999 – ÜbersichtSpanish Royal Decree 1720/2007, Spanish Organic Law 15/1999 overview

Die AEPD ist die öffentliche Behörde, die die Compliance mit dem spanischen organischen Gesetz 15/1999 zum Schutz personenbezogener Daten überwacht (Ley Orgánica 15/1999 de Protección de Datos oder LOPD), einschließlich der Übertragung von Daten über internationale Grenzen hinweg.The AEPD is the public authority that oversees compliance with Spanish Organic Law 15/1999 for the Protection of Personal Data (Ley Orgánica 15/1999 de Protección de Datos, or LOPD), including the transfer of data across international boundaries. Im Jahr 2014 überprüfte die AEPD die Microsoft-Bestimmungen für die von den EU-Standardvertragsklauseln abgedeckten Onlinedienste Microsoft Azure, Dynamics 365 und Office 365 und kam zu dem Schluss, dass diese Bestimmungen Kunden angemessene Schutzmaßnahmen bieten, um ihre personenbezogenen Daten zu diesen Diensten migrieren zu können.In 2014, the AEPD reviewed Microsoft’s terms and conditions applicable to the EU Model Clauses-covered Microsoft Azure, Dynamics 365, and Office 365, and issued a resolution determining that those terms provided adequate safeguards for customers to move their personal data to those services.

Titel VIII des Königlichen Dekrets 1720/2007 legt darüber hinaus strenge Anforderungen für die Verarbeitung personenbezogener Daten fest, einschließlich einer spezifische Auflistung von Sicherheitsmaßnahmen auf Basis-, Zwischen- und hoher Ebene, die implementiert werden müssen.Title VIII of Royal Decree 1720/2007 establishes stringent requirements for processing personal data, including a specific listing of basic, intermediate-level, and high-level security measures that must be implemented. Microsoft beauftragte ein unabhängiges spanisches Auditunternehmen, BDO Auditores, mit der Bewertung von Microsoft Azure und Office 365 in Bezug auf die Compliance mit den Anforderungen auf hoher Ebene und von Microsoft Dynamics 365 in Bezug auf die Compliance mit den Anforderungen auf der Zwischenebene, wie im Königlichen Dekret 1720/2007 festgelegt.Microsoft retained an independent third-party auditing firm in Spain, BDO Auditores, to assess Microsoft Azure and Office 365 for compliance with the high-level requirements and Microsoft Dynamics 365 for compliance with the intermediate-level requirements established in Royal Decree 1720/2007. Basierend auf Interviews, Besuchen in Einrichtungen und einer Überprüfung der Umgebungsbedingungen und physischen Sicherheitsmaßnahmen und -kontrollen kam der Auditor zum Schluss, dass die Informationssysteme, Einrichtungen und Datenverarbeitungsverfahren von Microsoft Azure und Office 365 die Anforderungen auf hoher Ebene erfüllen, ohne dass Korrekturen erforderlich sind.Based on interviews, visits to facilities, and a review of the environmental and physical security measures and controls, the auditor determined that Microsoft Azure and Office 365 information systems, facilities, and data processing met the high-level standard with no points requiring correction.

Microsoft und das spanische Königliche Dekret 1720/2007 und das spanische organische Gesetz 15/1999Microsoft and Spanish Royal Decree 1720/2007, Spanish Organic Law 15/1999

Microsoft war der erste Anbieter hyperskalierter Clouddienste, der zum Vorteil seiner Kunden aufgrund seiner Compliance mit den hohen Standards für die internationale Übertragung von Daten, die durch das spanische organische Gesetz 15/1999 (Ley Orgánica 15/1999 de Protección de Datos, LOPD) festgelegt werden, eine Genehmigung der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) erhielt.Microsoft was the first hyper-scale cloud service provider to receive, for the benefit of its customers, an authorization from the Spanish Data Protection Agency (Agencia Española de Protección de Datos, or AEPD) for its compliance with the high standards governing international data transfer under Spanish Organic Law 15/1999 (Ley Orgánica 15/1999 de Protección de Datos, or LOPD). Microsoft ist auch der erste Anbieter hyperskalierter Clouddienste, der nach einer Überprüfung durch Dritte eine Zertifizierung über die Compliance seiner Onlinedienste mit den Sicherheitsmaßnahmen erhielt, die in Titel VIII des Königlichen Dekrets 1720/2007 beschrieben werden.Microsoft is also the first hyper-scale cloud service provider to obtain a third-party audit certification for its online services’ compliance with the security measures set forth in Title VIII of Royal Decree 1720/2007. Aufgrund dieser Genehmigung dürfen Kunden personenbezogene Daten an Microsoft Azure-, Dynamics 365- und Office 365-Dienste übertragen, die durch die Standardvertragsklauseln der Europäischen Union abgedeckt werden.This authorization lets customers make transfers of personal data to Microsoft Azure, Dynamics 365, and Office 365 services covered by the European Union Model Clauses.

In-Scope-Cloud-Dienste von MicrosoftMicrosoft in-scope cloud services

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Microsoft AzureMicrosoft Azure

Microsoft Office 365Microsoft Office 365

Microsoft Dynamics 365Microsoft Dynamics 365

Häufig gestellte FragenFrequently asked questions

Inwiefern profitieren Microsoft-Kunden von der Erfüllung des allgemeinen Standards?How does meeting the high-level standard benefit Microsoft customers?

Der allgemeine Standard gilt für die Verarbeitung vertraulicher Daten, z. B. von Statusinformationen.The high-level standard applies to the processing of sensitive data such as health information. Kunden, die Microsoft Azure und Office 365 verwenden, können sich darauf verlassen, dass ihre vertraulichen Daten gemäß dem Königlichen Dekret 1720/2007 verarbeitet werden.Customers who use Microsoft Azure and Office 365 can rest assured that their sensitive data is being processed in accordance with Royal Decree 1720/2007.

Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?Can I use Microsoft’s compliance in my organization’s certification process?

Ja.Yes. Wenn Ihre Organisation eine Akkreditierung gemäß des LOPD oder des Königlichen Dekrets 1720/2007 erfordert oder wünscht, können Sie die AEPD-Autorisierung und die Zertifizierung der Sicherheitsmaßnahmen in ihrer Konformitätsbewertung verwenden.If your organization requires or is seeking an accreditation in line with the LOPD or Royal Decree 1720/2007, you can use AEPD’s authorization and the security measures certification in your compliance assessment. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung wie in Microsoft Azure, Dynamics 365 oder Office 365 bereitgestellt zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.However, you are responsible for engaging an assessor to evaluate your implementation as deployed on Microsoft Azure, Dynamics 365, or Office 365, and for the controls and processes within your own organization.

RessourcenResources