ISO/IEC 27018-Verhaltenskodex zum Schutz von personenbezogenen Daten in der Cloud

ISO/IEC 27018 – Übersicht

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards. Die ISO/IEC 27000-Standardreihe unterstützt Organisationen jeder Art und Größe dabei, Informationsbestände sicher vorzuhalten.

Im Jahr 2014 führte die ISO den Standard ISO/IEC 27018:2014 ein, ein Anhang zu ISO/IEC 27001, dem ersten internationalen Verhaltenskodex für den Datenschutz in der Cloud. Basierend auf den EU-Datenschutzgesetzen stellt der Anhang spezifische Anleitungen für Cloud Service-Anbieter (CSPs), die als Datenverarbeiter von personenbezogenen Informationen (PII) agieren, zur Risikobewertung und Einführung von hochmodernen Kontrollen zum Schutz von PII bereit.

Microsoft und ISO/IEC 27018

Mindestens einmal im Jahr werden Microsoft Azure und Azure Deutschland von einer akkreditierten Zertifizierungsstelle eines Drittanbieters auf Konformität mit ISO/IEC 27001 und ISO/IEC 27018 geprüft. Diese Überwachung bietet eine unabhängige Überprüfung, dass die anwendbaren Sicherheitskontrollen vorhanden sind und effektiv funktionieren. Im Rahmen der Complianceüberprüfung bestätigen die Prüfer in ihrer Erklärung zur Anwendbarkeit, dass in den im Umfang enthaltenen Cloud Services und technischen Commercial Support-Diensten von Microsoft ISO/IEC 27018-Kontrollen zum Schutz von PII in Azure integriert sind. Zur Wahrung der Compliance müssen die Microsoft Cloud Services jährlichen Überprüfungen durch einen Dritten unterzogen werden.

Durch die Einhaltung der Standards von ISO/IEC 27001 und des Verhaltenskodex in ISO/IEC 27018 zeigt Microsoft, dass seine Datenschutzrichtlinien und -verfahren robust sind und den hohen Standards entsprechen.

  • Die Kunden der Microsoft Cloud Services wissen, wo ihre Daten gespeichert werden. Da CSPs im Rahmen von ISO/IEC 27018 dazu verpflichtet sind, Kunden über die Länder zu informieren, in denen ihre Daten gespeichert sein können, verfügen Kunden von Microsoft Cloud Services über die erforderliche Transparenz, um alle anwendbaren Informationssicherheitsregeln einzuhalten.
  • Die Kundendaten werden ohne ausdrückliche Zustimmung nicht für Marketing- oder Werbezwecke verwendet. Einige CSPs verwenden die Kundendaten für eigene kommerzielle Zwecke, einschließlich für gezielte Werbung. Da Microsoft ISO/IEC 27018 für seine unternehmensweiten Clouddienste eingeführt hat, können Kunden sicher sein, dass ihre Daten niemals ohne ausdrückliche Zustimmung für solche Zwecke verwendet werden und dass diese Zustimmung keine Bedingung für die Nutzung des Clouddiensts sein kann.
  • Die Kunden von Microsoft sind über den Umgang mit den personenbezogenen Informationen informiert. Nach ISO/IEC 27018 ist eine Richtlinie erforderlich, die die Rückgabe, Übertragung und sichere Aufbewahrung personenbezogener Informationen innerhalb eines angemessenen Zeitraums ermöglicht. Wenn Microsoft mit anderen Unternehmen zusammenarbeitet, die Zugriff auf Ihre Kundendaten benötigen, legt Microsoft die Identitäten dieser Unter-Datenverarbeiter eigeninitiativ offen.
  • Microsoft erfüllt nur gesetzlich vorgeschriebene Anforderungen zur Offenlegung von Kundendaten. Wenn Microsoft einer solchen Anforderung nachkommen muss (wie im Falle einer strafrechtlichen Untersuchung), wird der Kunde immer benachrichtigt, es sei denn, es ist gesetzlich verboten, dies zu tun.

Eingeschlossene Cloudplattformen und -dienste von Microsoft

  • Azure, Azure Government und Azure Deutschland
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 und Dynamics 365 Deutschland
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for Business
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Microsoft-Bedrohungsexperten
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
  • Office 365 Deutschland
  • OMS Service Map
  • Power Automate (ehemals Microsoft Flow): Clouddienst als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • PowerApps-Clouddienst: als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • Power BI-Clouddienst: entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender für Endpunkt – Endpunkterkennung und -Antwort, automatische Untersuchung und Entschärfung, Sicherheitsbewertung
  • Windows 365

Azure, Dynamics 365 und ISO/IEC 27018

Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinedienste finden Sie im Azure ISO/IEC 27018-Angebot.

Office 365 und ISO/IEC 27018

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel, SharePoint Online, Skype for Business, Stream
GCC Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Microsoft Entra-ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra-ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Audits, -Berichte und -Zertifikate

Microsoft-Clouddienste und technische Commercial Support-Dienste werden einmal im Jahr im Rahmen des Zertifizierungsprozesses nach ISO/IEC 27001 auf den ISO/IEC 27018-Verhaltenskodex hin überprüft.

Häufig gestellte Fragen

Für wen gilt ISO/IEC 27018?

Dieser Verhaltenskodex gilt für CSPs, die PII im Auftrag anderer Organisationen verarbeiten. Bei Microsoft gilt er auch im Rahmen des Supports dieser CSPs.

Welcher Unterschied besteht zwischen „Controllern von personenbezogenen Informationen” und „Verarbeitern von personenbezogenen Informationen”?

Im Kontext von ISO/IEC 27018:

  • "Verantwortliche" kontrollieren die Erfassung, Speicherung, Verarbeitung oder Verwendung personenbezogener Daten; dazu gehören die Parteien, die sie im Namen eines anderen Unternehmens kontrollieren.
  • "Auftragsverarbeiter" verarbeiten Informationen im Auftrag der Verantwortlichen; Sie treffen keine Entscheidungen darüber, wie die Informationen oder die Zwecke der Verarbeitung verwendet werden sollen. Microsoft (als Zulieferer) ist im Hinblick auf die Bereitstellung seiner Enterprise Cloud Services ein Datenverarbeiter.

Wo kann ich Office 365-Complianceinformationen für ISO/IEC 27018 anzeigen?

  • Sie können die ISO/IEC 27018-Zertifikate von BSI (dem unabhängigen Prüfer, der die Compliance von Microsoft mit ISO/IEC 27018 überprüft hat) für Office 365überprüfen.

Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?

Ja. Wenn Compliance mit ISO/IEC 27018 für Ihr Unternehmen und die in einem der im Umfang von Microsoft Enterprise Cloud enthaltenen Dienste wichtig ist, können Sie die Compliancebescheinigung von Microsoft für ISO/IEC 27018 mit der entsprechenden Zertifizierung von Microsoft nach ISO/IEC 27001 für Ihre Compliancebewertung verwenden.

Sie sind jedoch dafür verantwortlich, einen Bewerter zu beauftragen, Ihre Implementierung auf Compliance und für die Kontrollen und Prozesse in Ihren eigenen organization zu bewerten.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen