Der von Microsoft verwendete Standard ISO/IEC 27018 wurde von der "International Organization for Standardization" (ISO) entwickelt. Ziel des Standards war es, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen. Die Richtlinie setzt eine bestimmte Anzahl von Sicherheitsprotokollen und Kontrollmechanismen voraus, die von einem öffentlichen Cloud Provider implementiert werden können, um persönliche Daten von Kunden verarbeiten zu können.

Warum ist das von Bedeutung?

Dieses Konzept hat Microsoft nur für seine Cloud-Dienste übernommen. Für Unternehmenskunden ist der Datenschutzstandard mit wichtigen praktischen Vorteilen verbunden. Business-Kunden erhalten durch die Übernahme von ISO 27018 die Gewissheit, dass der Datenschutz in mehrfacher Hinsicht gewährleistet wird und können sich so sicher fühlen:

• Kunde behält Kontrolle über seine Daten: Mit der Einhaltung des Standards stellt Microsoft sicher, dass personenbezogene Daten ausschließlich entsprechend den Anweisungen verarbeitet werden, die der Kunde erlaubt.

• Transparenz für Kundendaten: Die Einhaltung des Standards gewährleistet Transparenz bezüglich Rückgabe, Übermittlung und Vernichtung von personenbezogenen Daten, die in den Microsoft-Rechenzentren gespeichert werden.

• Wirksamer Schutz der Kundendaten: Mit der Einhaltung von ISO 27018 sind eine Reihe wichtiger Sicherheitsmaßnahmen gewährleistet. So wird beispielsweise sichergestellt, dass Microsoft als Provider genau definierten Beschränkungen bezüglich der Handhabung personenbezogener Daten unterliegt.

• Kein Missbrauch für Werbezwecke: Von Unternehmenskunden werden zunehmend Befürchtungen geäußert, dass Anbieter von Cloud-Diensten ihre Daten ohne vorherige Zustimmung zu Werbezwecken nutzen. Mit der Übernahme dieses Standards wird noch einmal bekräftigt, Daten von Unternehmenskunden nicht für Werbezwecke zu verwenden.

• Information über Behördenzugriffe: Durch den Standard wird vorgeschrieben, dass Unternehmenskunden darüber informiert werden müssen, falls durch Ermittlungsbehörden die Herausgabe personenbezogener Daten gefordert wird. Microsoft folgt diesem Ansatz seit langem und bestätigt mit der Übernahme des Standards noch einmal diese Verpflichtung.

Laut Microsoft sind inzwischen sowohl Office 365 als auch Dynamics CRM Online und Azure offiziell nach dem neuen Standard abgesegnet worden. Die unabhängige Test-Institution Bureau Veritas hat zudem Microsoft Intune als Standard-konform eingestuft.