Microsoft kündigt die Bereitstellung einer neuen Cloud-Lösung für Azure, Office 365 und Microsoft Dynamics speziell für deutsche Nutzer an. Die Datenverarbeitung solle nach Auskunft von Microsoft ausschließlich unter deutscher Datenhoheit und dem Anwendungsbereich deutschen Datenschutzrechts erfolgen. Die „Deutsche Cloud“ soll ab 2016 verfügbar sein.
Der Inhalt im Überblick
Die Message: Microsoft nimmt Datenschutz ernst
In einem eigens für die Vermarktung produzierten Werbevideo lässt Microsoft erklären
„Datenschutz ist ein weltumspannendes Thema geworden und Vertrauen spielt eine immer entscheidendere Rolle. […] Viele Menschen sehen die Cloud mit Skepsis. Gerade in Deutschland werden Themen wie Datenschutz und Datensicherheit heiß diskutiert. Microsoft nimmt diese Vorbehalte sehr ernst und setzt sich als Vorreiter für den Schutz Ihrer Daten ein.“
Diese Behauptung Microsoft‘s, darf – angesichts der bestehenden harschen Kritik an der Datenspeicherwut seines aktuellen Betriebssystems Windows 10 – schon einmal kritisch hinterfragt werden. Gleichwohl wollen wir uns genauer mit Microsoft’s Deutscher Cloud befassen.
Hintergrund
In einem stark umkämpften Markt, wie dem der Cloud-Services, die insbesondere von deutschen Datenschutzaufsichtsbehörden immer noch kritisch gesehen werden, wird von Datenschützern schon lange empfohlen, inländische Cloud-Dienste auszuwählen um so deutschem Datenschutzrecht zu genügen. Nicht zuletzt nach dem Safe-Harbor-Urteil des EuGH und der derzeit bestehenden Unsicherheit über die Anforderungen an und die generelle Zulässigkeit eine Datenverarbeitung in den USA sind US-Software und Storage-Anbieter in Zugzwang geraten, wollen sie an dem mit starken Wachstumsprognosen versehenen deutschen Markt profitieren.
Wie funktioniert die Deutsche Cloud
Nach Angaben von Microsoft wird die Deutsche Cloud von einem unabhängigen deutschen Datentreuhänder unter deutschem Datenschutzrecht betrieben. Hierbei handelt es sich, nach ersten Erkenntnissen um die Telekom-Tochter T-Systems. Diese wird zwei deutsche Rechenzentren in Frankfurt und Magdeburg für Microsoft betreiben. Microsoft überträgt die Zugriffskontrolle vollständig auf diesen Datentreuhänder. Jeder Zugriff auf die Kundendaten oder die Infrastruktur wird von diesem überwacht. Microsoft erklärt hierzu:
Ohne Zustimmung und Aufsicht dieses Datentreuhänders hat Microsoft selbst keinerlei Zugriff auf Kundendaten.
„Der Datenabgleich erfolgt dabei über ein eigenständiges deutsches Netzwerk, wodurch nach Angaben von Microsoft sichergestellt werde, dass Kundendaten ausschließlich innerhalb Deutschlandes verarbeitet werden.“
Microsoft vs. Amazon & Co.
Was aber unterscheidet die von Microsoft nun angebotene Deutsche Cloud von den Cloud-Lösungen anderer Anbieter? Auch Amazon bietet z.B. schon seit längerem die Möglichkeit an, die Datenspeicherung auf bestimmte Regionen zu beschränken. Im Gegensatz zu anderen Cloud-Anbietern, wie z.B. Amazon oder Google setzt Microsoft allerdings auf eine komplette Auslagerung des Rechenzentrumsbetriebes an einen rein deutschen Betreiber und lässt die Rechenzentren nicht durch seine europäischen oder deutschen Tochtergesellschaften betreiben, wie dies beispielsweise bei Amazon oder Google erfolgt.
Vorteil Microsoft?
Gerade hier könnte Microsoft möglicherweise seinen Konkurrenten ein entscheidendes Quäntchen voraus haben. Wir verwiesen bereits häufiger auf den in den USA bestehenden und derzeit noch ungeklärten Rechtsstreit zwischen Microsoft und den US-Ermittlungsbehörden, welche aufgrund der US-Gesetzgebung von US-Firmen auch die Herausgabe von Daten beanspruchen, die bei Tochtergesellschaften im Ausland gespeichert werden.
Mit der Einschaltung eines sog. „Datentreuhänders“ könnte Microsoft eine Möglichkeit gefunden haben, diese Regelung zu umgehen, sollten die Gerichte den US-Behörden Recht geben. Da eine Datenspeicherung nicht über eine Microsoft-Tochter erfolgt, könnte auch ein Herausgabeanspruch aufgrund US-Rechts ins Leere greifen.
Fazit
Die Einrichtung einer Deutschen Cloud ist aus datenschutzrechtlichen Gesichtspunkten sehr zu begrüßen und ein richtiger Schritt. Es bleibt jedoch abzuwarten, ob mit der Gestaltung durch Microsoft ein Zugriff von US-Behörden tatsächlich ausgeschlossen werden kann. Darüber hinaus muss sich jedes Daten verarbeitende Unternehmen selbstverständlich weiterhin kritisch fragen, ob eine Verlagerung seiner Daten in die Cloud im Einzelfall sinnvoll und zulässig ist. Nicht alle Arten personenbezogener Daten eignen sich tatsächlich für die Speicherung in einer Cloud. Mehr Sicherheit könnte möglicherweise dadurch erreicht werden, dass eine Datenübertragung und -speicherung komplett verschlüsselt erfolgt.
@ Dr. Datenschutz
Ein paar Anmerkungen:
1 . „Deutsche Treuhand“ ist vor dem Hintergrund der durchaus umstrittenen Treuhand-Organisation nach der Wende eine unglückliche Wortwahl.
2 . Es heißt „Skepsis“, nicht „Skepzis“. Das hat nichts mit „Nazis“ zu tun.
3 . Unternehmen können sehr wohl ohne Bedenken eine Cloud für alle Daten nutzen. Das nennt sich „Private Cloud“. Damit hat man keine Probleme mit ausländischen Dienstleistern.
Vielen Dank für Ihre Ergänzungen.
Ein Schritt Richtung Datenschutz!
Besteht nicht trotz des Treuhänders die theoretische Möglichkeit des Zugriffs, so dass auch in diesem Fall die üblichen Verträge seitens eines Unternehmens abgeschlossen werden müssen?
Vielen Dank!
Bezüglich der Vertragsgestaltungen gibt es durchaus Stimmen die fordern, dass mit Microsoft auch weiterhin entsprechende Datenschutzverträge geschlossen werden müssen, da Microsoft im Rahmen der Einzelbeauftragung mit Serviceleistungen Zugriff auf personenbezogene Daten nehmen kann. Das Konstrukt der Einschaltung eines Treuhänders zielt vielmehr darauf ab Auskunftspflichten nach dem Patriot Act nicht erfüllen zu müssen/können.
Den Bock zum Gärtner gemacht
Beim Datenschutz gilt das Rechtssystem, durch die die Daten im Internet fließen und erst recht wo die Daten gespeichert werden. Spätestens Anfang 2016 kommt das neue Gesetz zur Vorratsdatenspeicherung v2.0. Ab dann werden nicht nur alle Verbindungsdaten von jedem Internetnutzer gespeichert.
Der Bund ist Mehrheitseigner der Telekom AG und somit ihrer Tochter T-Systems GmbH. Wenn man allein an die millionenfache Datenmissbrauchsskandale der Telekom AG in den letzten Jahren denkt, dann kann man nur von schwerwiegender kindlich naiver Ignoranz sprechen, wenn man diese Firmen als „deutsche Datentreuhändler“ bezeichnet.
Mit der Telekom AG und ihrer Tochter T-Systems GmbH als „deutschen Datentreuhändler“ wird buchstäblich der Bock zum Gärtner gemacht. Dadurch hat der dt. Staat ungehinderten Zugriff auf alle Daten von jedem Internetbenutzer – ausnahmslos. Das Internet vergisst nie. Selbst in hundert Jahren nicht.
Einziger Trost:
Das Internet ist nicht sicher – nirgendwo!