Beim Datenschutz stehen die Vereinigten Staaten aus Sicht des Europäischen Gerichtshofs in einer Reihe mit Russland und China.
Für Unternehmen und öffentliche Verwaltungen in Europa ist die Zusammenarbeit mit Clouddiensten von US-Konzernen wie Amazon, Google und Microsoft vor allem deshalb heikel, weil die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben. Microsoft hat nun eine weitreichende Produktoffensive gestartet, um auf diese Datenschutzbedenken in Europa einzugehen.
Kunden des Softwaregiganten in der Europäischen Union sollen künftig ihre Daten bei Microsoft ausschließlich in der EU verarbeiten und speichern lassen können. «Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen», kündigte Microsoft-Präsident Brad Smith am Donnerstag in einem Blogeintrag an.
Microsoft reagiert damit auf zwei Urteile des EuGH zum Datenaustausch zwischen den USA und Europa. Auf Betreiben des Datenschutzaktivisten Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die Vereinbarung «Safe Harbor» gekippt. Im vergangenen Juni brachte Schrems vor dem EuGH auch die Nachfolgeregelung «Privacy Shield» zu Fall.
Mit den beiden Urteilen war der kommerziellen Datenübertragung in die USA in großen Teilen das rechtliche Fundament entzogen worden. Nach Ansicht des EuGH existiert in den USA kein vergleichbares Datenschutzniveau wie in der EU. Kritisch gesehen wird vor allem das US-Gesetz «Cloud Act», das den US-Geheimdiensten mit Hilfe von Geheimgerichten ermöglicht, Daten zu beschlagnahmen – auch außerhalb der USA. Die neue US-Regierung unter Präsident Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfassende Datenschutzvereinbarung abzuschließen.
Cloud-Giganten wie Amazon (AWS), Google und Microsoft waren nach dem ersten EuGH-Urteil zum «Safe Harbor» auf Standardvertragsklauseln ausgewichen, in denen sie die Einhaltung von Datenschutzvorschriften zusagten. Außerdem boten die Cloud-Konzerne Server-Standorte in Deutschland und anderen europäischen Ländern ein. Mit dem zweiten EuGH-Urteil zur Nachfolgeregelung «Privacy Shield» war aber klar, dass Serverstandort und Vertragsklausel alleine nicht ausreichen, um den Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) zu genügen.
Viele Verantwortliche in europäischen Unternehmen und öffentlichen Verwaltungen, die sich fachlich für eine Lösung eines US-Anbieters entschieden hatten, blendeten die wackelige Rechtsgrundlage aus und legten einfach los. Andere schoben die Investitionsentscheidung auf die lange Bank. Nach einer Umfrage des Digitalverbandes Bitkom vom November 2010 sind bei mehr als jedem zweiten Unternehmen (56 Prozent) neue, innovative Projekte aufgrund der DSGVO gescheitert. Dabei spielte auch der erschwerte Datenaustausch mit den USA eine gravierende Rolle.
Das neue Microsoft-Angebot einer «EU-Datengrenze» richtet sich an Kunden in Unternehmen und dem öffentlichen Sektor, nicht an private Anwender. Die Verpflichtung werde für alle zentralen Cloud-Dienste von Microsoft gelten – Azure, Microsoft 365 (inklusive Microsoft Office und Teams) und Dynamics 365. «Wir haben bereits mit den technischen Vorbereitungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämtliche personenbezogenen Daten unserer Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn sie das wünschen», heißt es in dem Blogeintrag von Smith.
Unklar bleibt aber, ob die Datengrenze die rechtlichen Unsicherheiten beim Datentransfer zwischen Europa und den USA tatsächlich beseitigen kann. Dem Vernehmen nach ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington unterliegt damit der US-Rechtssprechung.
Der österreichische Datenschutzaktivist Max Schrems sieht das Microsoft-Angebot deshalb kritisch: «Nachdem Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben», sagte Schrems der Deutschen Presse-Agentur. «Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben.»
Auch Baden-Württembergs Datenschutzbeauftragter Stefan Brink reagierte mit Skepsis: «Da Rechtsvorschriften der USA US-amerikanische Unternehmen auch dazu verpflichten, außerhalb der USA verarbeitete Daten auf Anforderung herauszugeben, sind damit keineswegs alle Transferprobleme gelöst», sagte Brink dem «Handelsblatt».
Microsoft glaubt, einen Ausweg gefunden zu haben: Das Zugriffsrecht der US-Geheimdienste könnte nämlich technisch ausgehebelt werden, wenn die Kunden ihre Clouddaten selbst wirksam schützen. «Bei vielen unserer Services liegt die Kontrolle über die Verschlüsselung der Daten durch die Verwendung von kundenverwalteten Schlüsseln in den Händen der Kunden selbst», erklärte Microsoft-Präsident Smith. Dabei kämen Schlüssel zum Einsatz, die nicht von Microsoft verwaltet werden, sondern von den Kunden selbst. «Zudem schützen wir die Daten unserer Kunden zusätzlich vor einem unzulässigen Zugriff durch staatliche Stellen», erklärte Smith.
Brink machte auch hier Abstriche: «Dies ist eine gute Entwicklung, funktioniert aber nur sehr eingeschränkt, wenn die eigenen Daten auch aktiv verarbeitet werden sollen und dafür entschlüsselt werden müssen», sagte er. Eine «tragfähige Lösung für diese Transferproblematik» könne daher nur darin bestehen, «dass entweder die US-Sicherheitsbehörden ihre unverhältnismäßigen Überwachungsmaßnahmen einstellen, was nicht zu erwarten ist, oder ein neues EU-US-Datenschutz-Abkommen geschlossen wird, das beide Seiten zur Abwechslung mal ernst meinen und ernst nehmen».
Weitere Nachrichten
Cyberangriff auf Fernwartungssoftware-Anbieter Teamviewer
Verbraucher auf dem Land können auf besseres Internet hoffen
Verbraucher auf dem Land können auf besseres Internet hoffen