Spanisches Königliches Dekret 1720/2007, Spanisches Grundgesetz 15/1999 (LOPD)

Spanisches Königliches Dekret 1720/2007, spanisches organisches Gesetz 15/1999 – Übersicht

Die AEPD ist die öffentliche Behörde, die die Compliance mit dem spanischen organischen Gesetz 15/1999 zum Schutz personenbezogener Daten überwacht (Ley Orgánica 15/1999 de Protección de Datos oder LOPD), einschließlich der Übertragung von Daten über internationale Grenzen hinweg. Im Jahr 2014 überprüfte die AEPD die Microsoft-Bestimmungen für die von den EU-Standardvertragsklauseln abgedeckten Onlinedienste Microsoft Azure, Dynamics 365 und Office 365 und kam zu dem Schluss, dass diese Bestimmungen Kunden angemessene Schutzmaßnahmen bieten, um ihre personenbezogenen Daten zu diesen Diensten migrieren zu können.

Titel VIII des Königlichen Dekrets 1720/2007 legt darüber hinaus strenge Anforderungen für die Verarbeitung personenbezogener Daten fest, einschließlich einer spezifische Auflistung von Sicherheitsmaßnahmen auf Basis-, Zwischen- und hoher Ebene, die implementiert werden müssen. Microsoft beauftragte ein unabhängiges spanisches Auditunternehmen, BDO Auditores, mit der Bewertung von Microsoft Azure und Office 365 in Bezug auf die Compliance mit den Anforderungen auf hoher Ebene und von Microsoft Dynamics 365 in Bezug auf die Compliance mit den Anforderungen auf der Zwischenebene, wie im Königlichen Dekret 1720/2007 festgelegt. Basierend auf Interviews, Besuchen in Einrichtungen und einer Überprüfung der Umgebungsbedingungen und physischen Sicherheitsmaßnahmen und -kontrollen kam der Auditor zum Schluss, dass die Informationssysteme, Einrichtungen und Datenverarbeitungsverfahren von Microsoft Azure und Office 365 die Anforderungen auf hoher Ebene erfüllen, ohne dass Korrekturen erforderlich sind.

Microsoft und das spanische Königliche Dekret 1720/2007 und das spanische organische Gesetz 15/1999

Microsoft war der erste Anbieter hyperskalierter Clouddienste, der zum Vorteil seiner Kunden aufgrund seiner Compliance mit den hohen Standards für die internationale Übertragung von Daten, die durch das spanische organische Gesetz 15/1999 (Ley Orgánica 15/1999 de Protección de Datos, LOPD) festgelegt werden, eine Genehmigung der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) erhielt. Microsoft ist auch der erste Anbieter hyperskalierter Clouddienste, der nach einer Überprüfung durch Dritte eine Zertifizierung über die Compliance seiner Onlinedienste mit den Sicherheitsmaßnahmen erhielt, die in Titel VIII des Königlichen Dekrets 1720/2007 beschrieben werden. Aufgrund dieser Genehmigung dürfen Kunden personenbezogene Daten an Microsoft Azure-, Dynamics 365- und Office 365-Dienste übertragen, die durch die Standardvertragsklauseln der Europäischen Union abgedeckt werden.

In Microsoft eingeschlossene Cloudplattformen und -Dienste

Office 365 und LOPD

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender for Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Prüfungen, Berichte und Zertifikate

Microsoft Azure

  • Autorisierung (Spanisch): Spanische Datenschutzauflösung, die besagt, dass Office 365-, Azure- und Dynamics 365-Dienste angemessenen Schutz bieten, um die lokalen Spanischen Datenschutzgesetze einzuhalten.

Microsoft Office 365

  • Autorisierung (Spanisch): Spanische Datenschutzauflösung, die besagt, dass Office 365-, Azure- und Dynamics 365-Dienste angemessenen Schutz bieten, um die lokalen Spanischen Datenschutzgesetze einzuhalten.

Microsoft Dynamics 365

  • Autorisierung (Spanisch): Spanische Datenschutzauflösung, die besagt, dass Office 365-, Azure- und Dynamics 365-Dienste angemessenen Schutz bieten, um die lokalen Spanischen Datenschutzgesetze einzuhalten.

Häufig gestellte Fragen

Inwiefern profitieren Microsoft-Kunden von der Erfüllung des allgemeinen Standards?

Der allgemeine Standard gilt für die Verarbeitung vertraulicher Daten, z. B. von Statusinformationen. Kunden, die Microsoft Azure und Office 365 verwenden, können sich darauf verlassen, dass ihre vertraulichen Daten gemäß dem Königlichen Dekret 1720/2007 verarbeitet werden.

Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?

Ja. Wenn Ihre Organisation eine Akkreditierung gemäß des LOPD oder des Königlichen Dekrets 1720/2007 erfordert oder wünscht, können Sie die AEPD-Autorisierung und die Zertifizierung der Sicherheitsmaßnahmen in ihrer Konformitätsbewertung verwenden. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung wie in Microsoft Azure, Dynamics 365 oder Office 365 bereitgestellt zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.

Ressourcen