Microsoft: Europäische Clouddaten sollen in Europa bleiben
Microsoft will Cloud in Deutschland ohne US-Zugriff
Logos: Microsoft, Montage: teltarif.de
Beim Datenschutz stehen die Vereinigten Staaten aus
Sicht des Europäischen Gerichtshofs in einer Reihe mit Russland und
China. Für Unternehmen und öffentliche Verwaltungen in Europa ist die
Zusammenarbeit mit Clouddiensten von US-Konzernen wie Amazon, Google
und Microsoft vor allem deshalb heikel, weil die US-Geheimdienste
weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten
haben. Microsoft hat nun eine weitreichende Produktoffensive
gestartet, um auf diese Datenschutzbedenken in Europa einzugehen.
Kunden des Softwaregiganten in der Europäischen Union sollen künftig ihre Daten bei Microsoft ausschließlich in der EU verarbeiten und speichern lassen können. "Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen", kündigte Microsoft-Präsident Brad Smith heute in einem Blogeintrag an.
Alle bisherigen Vereinbarungen illegal
Microsoft will Cloud in Deutschland ohne US-Zugriff
Logos: Microsoft, Montage: teltarif.de
Microsoft reagiert damit auf zwei Urteile des EuGH zum Datenaustausch
zwischen den USA und Europa. Auf Betreiben des Datenschutzaktivisten
Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die
Vereinbarung "Safe Harbor" gekippt. Im vergangenen Juni brachte
Schrems vor dem EuGH auch die Nachfolgeregelung "Privacy Shield" zu
Fall.
Mit den beiden Urteilen war der kommerziellen Datenübertragung in die USA in großen Teilen das rechtliche Fundament entzogen worden. Nach Ansicht des EuGH existiert in den USA kein vergleichbares Datenschutzniveau wie in der EU. Kritisch gesehen wird vor allem das US-Gesetz "Cloud Act", das den US-Geheimdiensten mit Hilfe von Geheimgerichten ermöglicht, Daten zu beschlagnahmen - auch außerhalb der USA. Die neue US-Regierung unter Präsident Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfassende Datenschutzvereinbarung abzuschließen.
Standardvertragsklauseln als Ersatz?
Cloud-Giganten wie Amazon (AWS), Google und Microsoft waren nach dem ersten EuGH-Urteil zum "Safe Harbor" auf Standardvertragsklauseln ausgewichen, in denen sie die Einhaltung von Datenschutzvorschriften zusagten. Außerdem boten die Cloud-Konzerne Server-Standorte in Deutschland und anderen europäischen Ländern ein. Mit dem zweiten EuGH-Urteil zur Nachfolgeregelung "Privacy Shield" war aber klar, dass Serverstandort und Vertragsklausel alleine nicht ausreichen, um den Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) zu genügen.
Viele Verantwortliche in europäischen Unternehmen und öffentlichen Verwaltungen, die sich fachlich für eine Lösung eines US-Anbieters entschieden hatten, blendeten die wackelige Rechtsgrundlage aus und legten einfach los. Andere schoben die Investitionsentscheidung auf die lange Bank. Nach einer Umfrage des Digitalverbandes Bitkom vom November 2010 sind bei mehr als jedem zweiten Unternehmen (56 Prozent) neue, innovative Projekte aufgrund der DSGVO gescheitert. Dabei spielte auch der erschwerte Datenaustausch mit den USA eine gravierende Rolle.
Neue "EU-Datengrenze" bei Microsoft
Das neue Microsoft-Angebot einer "EU-Datengrenze" richtet sich an Kunden in Unternehmen und dem öffentlichen Sektor, nicht an private Anwender. Die Verpflichtung werde für alle zentralen Cloud-Dienste von Microsoft gelten - Azure, Microsoft 365 (inklusive Microsoft Office und Teams) und Dynamics 365. "Wir haben bereits mit den technischen Vorbereitungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämtliche personenbezogenen Daten unserer Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn sie das wünschen", heißt es in dem Blogeintrag von Smith.
Unklar bleibt aber, ob die Datengrenze die rechtlichen Unsicherheiten beim Datentransfer zwischen Europa und den USA tatsächlich beseitigen kann. Dem Vernehmen nach ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington unterliegt damit der US-Rechtssprechung.
Der österreichische Datenschutzaktivist Max Schrems sieht das Microsoft-Angebot deshalb kritisch: "Nachdem Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben", sagte Schrems der Deutschen Presse-Agentur. "Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben."
Schutz durch eigene Daten-Verschlüsselung?
Microsoft glaubt, einen Ausweg gefunden zu haben: Das Zugriffsrecht der US-Geheimdienste könnte nämlich technisch ausgehebelt werden, wenn die Kunden ihre Clouddaten selbst wirksam schützen. "Bei vielen unserer Services liegt die Kontrolle über die Verschlüsselung der Daten durch die Verwendung von kundenverwalteten Schlüsseln in den Händen der Kunden selbst", erklärte Microsoft-Präsident Smith. Dabei kämen Schlüssel zum Einsatz, die nicht von Microsoft verwaltet werden, sondern von den Kunden selbst. "Zudem schützen wir die Daten unserer Kunden zusätzlich vor einem unzulässigen Zugriff durch staatliche Stellen", erklärte Smith.
Experten weisen zudem darauf hin, dass der lange Arm der US-Justiz auch bei Anbietern zuschlagen kann, die nicht aus den USA stammen. Jede Firma, die eine Niederlassung in den USA hat, kann in ein rechtliches Verfahren in den Vereinigten Staaten verwickelt werden.
Für Textverarbeitung, Tabellenkalkulation und Präsentations-Software gibt es viel mehr als nur Microsoft Office, Google Docs oder LibreOffice. Zahlreiche Dienste sind online im Browser verwendbar - wir zeigen ausgewählte Online-Office-Dienste.