Mark Semmler | VdS 3473 und Office 365?

01.04.2015

VdS 3473 und Office 365?

Frage

Hi Mark,
kurze Frage - wie steht die VdS Richtlinie in Bezug auf Office 365, besonders in Bezug auf Datenschutz?
Ist das überhaupt möglich?

ein Tester der VdS 3473

Antwort

Generell beschäftigt sich die VdS-Richtlinie 3473 nicht mit dem Thema Datenschutz. Aber die Autoren der Richtlinie haben an die Nutzung von Cloud-Diensten ganz konkrete Forderungen gestellt. Alle Anforderungen sind im Kapitel "IT-Outsourcing und Nutzung von Cloud-Diensten" zu finden. Hier die relevanten Abschnitte:

12.4 Vor der Nutzung

Für jedes IT-Outsourcing-Vorhaben MÜSSEN die folgenden Parameter dokumentiert werden:

welche IT-Ressourcen ausgelagert werden
welche betrieblichen, gesetzlichen und vertraglichen Bestimmungen hierbei erfüllt werden müssen
welche betrieblichen, gesetzlichen und vertraglichen Anforderungen in Bezug auf die Vertraulichkeit,
Verfügbarkeit und Integrität der ausgelagerten IT-Ressourcen bestehen

12.6 Auswahl des Anbieters

Der Outsourcing-Anbieter MUSS die folgenden Anforderungen erfüllen:

es MUSS möglich sein, einen Vertrag mit ihm zu schließen
er MUSS in der Lage sein, alle betrieblichen, gesetzlichen und vertraglichen Bestimmungen zu erfüllen, die für die ausgelagerten IT-Ressourcen bestehen
er MUSS in der Lage sein, alle betrieblichen, gesetzlichen und vertraglichen Anforderungen in Bezug auf die Vertraulichkeit, Verfügbarkeit und Integrität zu erfüllen, die für die ausgelagerten IT-Ressourcen bestehen

Fazit

Die VdS-Richtlinie fordert, dass sich das Unternehmen vor der Nutzung einer Cloud mit den betrieblichen, gesetzlichen und vertraglichen Anforderungen an die ausgelagerten Informationen auseinandersetzt und einen Anbieter aussucht, der diese erfüllen kann. Bei personenbezogenen Daten und Office 365 sehe ich ein rechtliches Problem (BDSG, Auftragsdatenverarbeitung).

Persönliche Anmerkung

Es gibt gute Ideen und es gibt schlechte Ideen. Office 365 zu nutzen gehört in meinen Augen zur letzteren Kategorie. Ich hatte vor ca. zwei Jahren ein wunderbares Erlebnis auf einer Podiumsdiskussion in Hamburg. Mit auf dem Podium war eine hochrangige Sales-Vertreterin von Microsoft. Auf meine provokante Stellungnahme, dass "die NSA in meinen Augen sämtlichen großen Cloud-Anbietern in den USA schon längst einen Datenschnorchel so tief in ein gewisses Körperteil eingeführt hat, das sie sogar schon Probleme mit dem Schlucken haben" wurde sie vom Moderator um eine Stellungnahme gebeten. Antwort: "Bitte haben Sie Verständnis dafür, dass ich hierzu nichts sagen darf. Wir haben eine eindeutige Order vom Konzern." Das war der Offenbarungseid - vor allem weil das Publikum aus mehr als hundert potentielle Kunden bestand.