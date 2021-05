Microsoft will Cloud in Deutschland ohne US-Zugriff

Logos: Microsoft, Montage: teltarif.de Beim Daten­schutz stehen die Verei­nigten Staaten aus Sicht des Euro­päi­schen Gerichts­hofs in einer Reihe mit Russ­land und China. Für Unter­nehmen und öffent­liche Verwal­tungen in Europa ist die Zusam­men­arbeit mit Cloud­diensten von US-Konzernen wie Amazon, Google und Micro­soft vor allem deshalb heikel, weil die US-Geheim­dienste weit­gehenden Zugriff auf die bei US-Unter­nehmen gespei­cherten Daten haben. Micro­soft hat nun eine weit­rei­chende Produkt­offen­sive gestartet, um auf diese Daten­schutz­bedenken in Europa einzu­gehen.

Kunden des Soft­ware­giganten in der Euro­päi­schen Union sollen künftig ihre Daten bei Micro­soft ausschließ­lich in der EU verar­beiten und spei­chern lassen können. "Wir werden keine Daten dieser Kunden aus der EU heraus trans­ferieren müssen", kündigte Micro­soft-Präsi­dent Brad Smith heute in einem Blog­ein­trag an.

Alle bishe­rigen Verein­barungen illegal

Logos: Microsoft, Montage: teltarif.de Micro­soft reagiert damit auf zwei Urteile des EuGH zum Daten­aus­tausch zwischen den USA und Europa. Auf Betreiben des Daten­schutz­akti­visten Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die Verein­barung "Safe Harbor" gekippt. Im vergan­genen Juni brachte Schrems vor dem EuGH auch die Nach­fol­gere­gelung "Privacy Shield" zu Fall.

Mit den beiden Urteilen war der kommer­ziellen Daten­über­tra­gung in die USA in großen Teilen das recht­liche Funda­ment entzogen worden. Nach Ansicht des EuGH exis­tiert in den USA kein vergleich­bares Daten­schutz­niveau wie in der EU. Kritisch gesehen wird vor allem das US-Gesetz "Cloud Act", das den US-Geheim­diensten mit Hilfe von Geheim­gerichten ermög­licht, Daten zu beschlag­nahmen - auch außer­halb der USA. Die neue US-Regie­rung unter Präsi­dent Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfas­sende Daten­schutz­ver­ein­barung abzu­schließen.

Stan­dard­ver­trags­klau­seln als Ersatz?

Cloud-Giganten wie Amazon (AWS), Google und Micro­soft waren nach dem ersten EuGH-Urteil zum "Safe Harbor" auf Stan­dard­ver­trags­klau­seln ausge­wichen, in denen sie die Einhal­tung von Daten­schutz­vor­schriften zusagten. Außerdem boten die Cloud-Konzerne Server-Stand­orte in Deutsch­land und anderen euro­päi­schen Ländern ein. Mit dem zweiten EuGH-Urteil zur Nach­fol­gere­gelung "Privacy Shield" war aber klar, dass Server­standort und Vertrags­klausel alleine nicht ausrei­chen, um den Anfor­derungen der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung (DSGVO) zu genügen.

Viele Verant­wort­liche in euro­päi­schen Unter­nehmen und öffent­lichen Verwal­tungen, die sich fach­lich für eine Lösung eines US-Anbie­ters entschieden hatten, blen­deten die wacke­lige Rechts­grund­lage aus und legten einfach los. Andere schoben die Inves­titi­ons­ent­schei­dung auf die lange Bank. Nach einer Umfrage des Digi­tal­ver­bandes Bitkom vom November 2010 sind bei mehr als jedem zweiten Unter­nehmen (56 Prozent) neue, inno­vative Projekte aufgrund der DSGVO geschei­tert. Dabei spielte auch der erschwerte Daten­aus­tausch mit den USA eine gravie­rende Rolle.

Neue "EU-Daten­grenze" bei Micro­soft

Das neue Micro­soft-Angebot einer "EU-Daten­grenze" richtet sich an Kunden in Unter­nehmen und dem öffent­lichen Sektor, nicht an private Anwender. Die Verpflich­tung werde für alle zentralen Cloud-Dienste von Micro­soft gelten - Azure, Micro­soft 365 (inklu­sive Micro­soft Office und Teams) und Dyna­mics 365. "Wir haben bereits mit den tech­nischen Vorbe­rei­tungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämt­liche perso­nen­bezo­genen Daten unserer Unter­neh­mens­kunden und Kunden der öffent­lichen Hand nur noch in der EU spei­chern und verar­beiten können, wenn sie das wünschen", heißt es in dem Blog­ein­trag von Smith.

Unklar bleibt aber, ob die Daten­grenze die recht­lichen Unsi­cher­heiten beim Daten­transfer zwischen Europa und den USA tatsäch­lich besei­tigen kann. Dem Vernehmen nach ist weiterhin der Micro­soft-Konzern recht­lich für die Cloud­daten verant­wort­lich. Das Unter­nehmen aus dem US-Bundes­staat Washington unter­liegt damit der US-Rechts­spre­chung.

Der öster­rei­chi­sche Daten­schutz­akti­vist Max Schrems sieht das Micro­soft-Angebot deshalb kritisch: "Nachdem Micro­soft USA anschei­nend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter heraus­geben", sagte Schrems der Deut­schen Presse-Agentur. "Der Ort der Spei­che­rung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine recht­lich stabile Lösung bräuchte eine völlig weisungs­freie Einheit in der EU, bei der die Daten bleiben."

Schutz durch eigene Daten-Verschlüs­selung?

Micro­soft glaubt, einen Ausweg gefunden zu haben: Das Zugriffs­recht der US-Geheim­dienste könnte nämlich tech­nisch ausge­hebelt werden, wenn die Kunden ihre Cloud­daten selbst wirksam schützen. "Bei vielen unserer Services liegt die Kontrolle über die Verschlüs­selung der Daten durch die Verwen­dung von kunden­ver­wal­teten Schlüs­seln in den Händen der Kunden selbst", erklärte Micro­soft-Präsi­dent Smith. Dabei kämen Schlüssel zum Einsatz, die nicht von Micro­soft verwaltet werden, sondern von den Kunden selbst. "Zudem schützen wir die Daten unserer Kunden zusätz­lich vor einem unzu­läs­sigen Zugriff durch staat­liche Stellen", erklärte Smith.

Experten weisen zudem darauf hin, dass der lange Arm der US-Justiz auch bei Anbie­tern zuschlagen kann, die nicht aus den USA stammen. Jede Firma, die eine Nieder­las­sung in den USA hat, kann in ein recht­liches Verfahren in den Verei­nigten Staaten verwi­ckelt werden.

