Die wichtigsten Compliance-Fragen – Teil 4
Zertifizierung in der Cloud
Wie können Kunden ihrer Pflicht nachkommen, sich von der Einhaltung aller technischen und organisatorischen Maßnahmen zu überzeugen?
Antwort: Microsoft lässt seine Systeme von Drittanbietern prüfen und zertifizieren, damit alle Kunden darauf vertrauen können, dass die Dienste mit strengen Schutzvorrichtungen entwickelt und ausgeführt werden. Wir haben geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Informationssicherheitsroutinen eingeführt und halten diese aufrecht, um Kundendaten vor unbeabsichtigtem Verlust, Zerstörung oder Änderung, nicht autorisierter Weitergabe oder unberechtigtem Zugriff sowie gesetzeswidriger Zerstörung zu schützen.
Jedes Jahr unterziehen wir uns Überwachungen durch Dritte, die von international anerkannten Überwachungsinstitutionen ausgeführt werden und bei denen von unabhängiger Seite überprüft wird, ob wir die Einhaltung unserer Richtlinien und Verfahren für Sicherheit, Datenschutz, Kontinuität und Konformität gewährleisten.
ISO 27001 ist hier einer der besten globalen Sicherheitsvergleichs-Benchmarks. Microsoft stellt seinen Kunden einen Bericht nach dem Standards ISO 27001 zur Verfügung. Der Kunde kann diesen Bericht anfordern.
Welche Rolle spielt die Safe Harbor Zertifizierung der Microsoft Corporation für deutsche Kunden?
Antwort: Es gibt weiterhin Enterprise Cloud Services, für die die Standardvertragsklauseln noch nicht gelten (z.B. Yammer). Für diese Services ist die Safe Harbor Zertifizierung weiterhin von Bedeutung.
Welche sonstigen regulatorischen Anforderungen können zum Tragen kommen?
Antwort: Die Anforderungen können hier nicht abschließend aufgezählt werden. In der Praxis können beispielsweise sektorspezifische Anforderungen wie im Finanzdienstleistungsbereich einschlägig sein. Nach den allgemeinen handels- und steuerrechtlichen Grundsätzen zur Buchführung bedarf es insbesondere der Einhaltung einer ordnungsgemäßen Behandlung elektronischer Dokumente (GoBS). Wesentlicher Kernpunkt ist hierbei das sogenannte "Interne Kontrollsystem" (IKS). Zum Nachweis eines funktionierenden IKS, welches Unternehmen gefährdende Entwicklungen frühzeitig erkennt, bietet Microsoft dem Kunden bzw. dessen Wirtschaftsprüfer eine Zertifizierung nach dem international anerkannten Prüfungsstandard ISAE 3402 an.
Mehr Informationen zu rechtlichen Aspekten sowie zum technologischen und prozessualen Aufbau der Microsoft Cloud erhalten Sie auf dem Microsoft Event "Die Microsoft Cloud - Rechtliche Aspekte und technische Informationen. Renommierte IT-Rechtler und Microsoft informieren". Er findet in München am 9. März, in Hamburg am 16. April und in Köln am 22. April statt. Anmelden können Sie sich kostenfrei unter www.mscloudevent.de. Die Agenda finden Sie hier.
Hier geht's zu den weiteren Compliance-Fragen und -Antworten:
Hier geht's zu den weiteren Compliance-Fragen und -Antworten:
Cloud Compendium - Teil 1: Datenspeicherung?
Cloud Compendium - Teil 2: Datenschutz
Cloud Compendium - Teil 3: Vertragsgestaltung