So viel Sicherheit wie möglich

Lange Zeit galten Kosteneffizienz und Flexibilität als die wichtigsten Motive für Unternehmen, wenn sie ihre hauseigene Informationstechnik in die Cloud verlagerten. Denn schon die Möglichkeit, Ressourcen dynamisch an die aktuellen Anforderungen anzupassen, bedeutet einen unermesslichen Differenzierungsvorteil für das Cloud-Computing. Je nach Bedarf: mehr Rechnerpower oder weniger; mehr Speicherplatz oder weniger; und je nach Anwendungsfall zusätzliche Cloud-Services – die Cloud erlaubt zusätzliche Freiheitsgrade gegenüber der klassischen Inhouse-IT.

Aber der möglicherweise wichtigste Qualitätsvorteil, den Cloud-Services gegenüber der hauseigenen IT-Infrastruktur gewähren können, besteht in den höchsten Sicherheitslevels, die vor Zugriffen von außen schützen. Das wurde zum Beispiel vor wenigen Wochen deutlich, als es Microsoft gelang, mit Unterstützung von US-Gerichten eines der größten illegalen Bot-Netze zu zerschlagen, das aus mehreren Millionen infizierter Computer rund um den Globus bestand. Mit ihrer Hilfe haben Cyberkriminelle sogenannte Ransomware verbreitet, die die Anwenderdaten kaperten und erst dann wieder – und meist nur teilweise – zurückgaben, wenn die betroffenen Unternehmen ein nicht unerhebliches Lösegeld bezahlt hatten. Der Schaden durch Ransomware allein erreicht inzwischen Milliardenverluste. Microsoft arbeitet hier an vorderster Front, um diese kriminellen Infrastrukturen zu zerschlagen.

Doch nachdem der Europäische Gerichtshof im Juli das unter dem Namen Privacy Shield bekannte Datentransferabkommen zwischen den Vereinigten Staaten und der Europäischen Union für ungültig erklärt hat, geht die Sorge um, dass personenbezogene Daten in der Cloud nicht mehr oder nicht mehr so sicher sind. Der Grund: Der US-amerikanische Cloud Act verlangt von US-amerikanischen Firmen die Zusammenarbeit in Strafprozessen und damit im Extremfall die Herausgabe von bestimmten gerichtlich angeforderten personenbezogenen Daten – ganz unabhängig davon, wo der Server sich befindet, auf dem die Daten physisch gespeichert sind. Dies widerspricht den Grundsätzen, die die Europäische Union 2018 in rund 100 Paragraphen zum Schutz personenbezogener Daten für unabdingbar erklärt hat – die Datenschutz-Grundverordnung. In Paragraph 44 ist dabei festgehalten, dass Daten nur dann in ein Drittland transferiert werden dürfen, wenn es der Datenschutz-Grundverordnung in allen Punkten folgt. Das gilt nun nicht für die USA, befand der EuGH und stellte zugleich fest, dass das Datentransferabkommen Privacy Shield keinen ausreichenden Schutz darstellt.

Während in der EU die DSGVO uneingeschränkt gilt, besteht über die weiteren Schritte im Verhältnis zu den Vereinigten Staaten keineswegs Einigkeit. Und auch in Deutschland, wo das Datenschutzrecht Ländersache ist, fehlt derzeit noch eine einheitliche Linie. Für Microsoft ist es deshalb notwendig, aber auch selbstverständlich, mit den Behörden auf allen Ebenen – in Europa, im Bund und in den Ländern – zusammenzuarbeiten. Wir wollen eine verbindliche Lösung und wir wollen eine einheitliche Regelung. Hier sind wir die ersten, die auf den EuGH reagieren.

Am 19. November hat Microsoft deshalb neue Schutzmaßnahmen für Unternehmenskunden und Kunden aus dem öffentlichen Sektor angekündigt, die ihre Daten aus der EU transferieren. Dazu gehören vertragliche Verpflichtungen, Herausgabeverlangen von staatlichen Stellen anzufechten, und eine finanzielle Verpflichtung, die unsere Überzeugung unterstreicht. Diese Ankündigung kann auf dem Blog „Microsoft on the Issues“ (Englisch) sowie auf dem Microsoft News Center (Deutsch) eingesehen werden.

„Defending Your Data“ stellt eine wesentliche Ergänzung zu unserem grundlegenden Datenschutz-Versprechen dar und baut auf dem starken Schutz auf, den wir unseren Kunden bereits bieten – durch die Verwendung umfassender Verschlüsselung, das Eintreten für Kundenrechte, Transparenz und unsere juristischen Erfolge. Kunden können die Regelungen zu „Defending Your Data“ hier nachlesen Microsoft wird damit beginnen, die „Defending Your Data“-Bestimmungen in Verträge mit Unternehmenskunden sowie Kunden aus dem öffentlichen Sektor durch einen Zusatz zur Datenschutzvereinbarung (DPA) aufzunehmen und plant, im Dezember einen Zusatz zum DPA für alle Kunden zu veröffentlichen.

Der Fall, dass ein US-Gericht die Herausgabe von personenbezogenen Daten erzwingen sollte, ist alles andere als ein alltäglicher Vorgang. Und falls diese Situation eintreten sollte, hat Microsoft Grundprinzipien festgehalten, die die Vertraulichkeit von personenbezogenen Daten zu wahren hilft. Microsoft gibt keine Daten an Dritte weiter. Und Microsoft würde ein entsprechendes Ansinnen der US-Gerichte sofort an den Inhaber der Daten weiterleiten.

Damit ist und bleibt Microsoft in allen seinen Diensten DSGVO-konform. Und zusätzlich: auch wenn das Datentransferabkommen Privacy Shield für nichtig erklärt wurde, halten wir uns unverändert an die darin zwischen den USA und der EU ausgehandelten und parlamentarisch verabschiedeten Regelungen. Zu guter Letzt befinden wir uns EU-weit im engen Kontakt mit allen Datenschutzbehörden, um den derzeitigen Schwebezustand zu beenden.

Wir stellen so viel Sicherheit wie möglich sicher. Weniger wäre unverantwortlich, mehr im derzeitigen Schwebezustand nicht möglich. Die Datenwelt ist nicht unsicher geworden. Und auch die Vorteile der Cloud gelten unverändert. Denn die größte Bedrohung für die Daten der Anwender kommt immer noch von außen – von den Cyberkriminellen. Hier gilt unverändert: die Cloud bietet so viel Sicherheit wie möglich.