Die deutsche Microsoft Cloud

Daten-Treuhand als Abwehrmittel gegen Überwachung?

28.01.2016
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Simone Bach arbeitet als Rechtsanwältin in der Kanzlei Luther Rechtsanwaltsgesellschaft mbH in Köln. Ihre Themengebiete sind Technologie, Medien, Telekommunikation und Datenschutz.
Mit der deutschen Cloud sollen die Kunden von Microsoft hierzulande künftig die alleinige Kontrolle über ihre Daten bekommen. Wenn die Datentreuhand (ausgeübt von T-Systems) richtig funktioniert, kann die neue Microsoft-Cloud ab Mitte 2016 auch ein Abwehrmittel gegen den Zugriff von ausländischen Behörden sein.

Damit wären möglicherweise auch die datenschutzrechtlichen Probleme, die in der Facebook-Entscheidung des EuGH thematisiert wurden, vom Tisch. Wenn da nicht die EU-Datenschutzgrundverordnung wäre.

Die neue Microsoft Cloud könnte unter bestimmten Voraussetzungen ein Abwehrmittel gegen den Zugriff ausländischer Behörden werden.
Die neue Microsoft Cloud könnte unter bestimmten Voraussetzungen ein Abwehrmittel gegen den Zugriff ausländischer Behörden werden.
Foto: Mark Bennetts - shutterstock.com

US-Cloudanbieter: Die NSA liest mit

Unter bestimmten Umständen können US-Provider (wie beispielsweise Microsoft oder Google) verpflichtet werden, auch die in europäischen Rechenzentren gespeicherten Daten an US-Behörden herauszugeben. Diese Pflicht kann sich unter anderem aus dem Patriot Act ergeben. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden. Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, können die Verpflichtungen aus dem Patriot Act auch die Tochterunternehmen treffen.

In welchem Umfang US-Behörden Gebrauch von diesen Zugriffsrechten machen ist nicht bekannt, weil die Provider bei den Herausgabe-Anordnungen häufig zur Verschwiegenheit verpflichtet werden. Betroffene - also diejenigen deren Daten herausgegeben werden - erlangen daher meist keine Kenntnis von den Eingriffen.

Neues Datenschutzkonzept: Die deutsche Microsoft-Cloud

Nach dem neuen Konzept von Microsoft befinden sich bei der deutschen Cloud sämtliche Kundendaten in deutschen Rechenzentren. Zwischen den Rechenzentren besteht ein eigenständiges deutsches, vom öffentlichen Internet getrenntes, Datennetzwerk. Sogenannte Role Based Access Control (RBAC)-Tools kontrollieren dabei jeglichen Zugriff auf Kundendaten, während die Mitarbeiter von Microsoft selbst keinerlei administrative Top-Level-Rechte haben, also von sich aus keinen Zugriff auf Kundendaten nehmen können. Nur im Einzelfall werden zeitlich befristet Zugriffsrechte gewährt. Die Rechtegewährung nimmt dabei einzig der Datentreuhänder T-Systems vor, nicht Microsoft selbst.

Zusätzlich zu dem normalen Lizenzvertrag, den ein Kunde zur Nutzung der Cloud-Services mit Microsoft schließt, werden bei der deutschen Cloud auch "Treuhandvereinbarungen" zwischen Microsoft, T-Systems und dem einzelnen Kunden geschlossen. Danach kontrolliert allein die T-Systems als "deutscher Datentreuhänder" des Kunden den physischen und technischen Zugriff auf die Kundendaten. Allein der Datentreuhänder ist nach dem Treuhandvertrag berechtigt und aufgrund der zuvor dargestellten technischen Infrastruktur auch faktisch in der Lage, Zugriff auf die Kundendaten und/oder auf die Infrastruktur, auf der sich Kundendaten befinden, zu nehmen. Microsoft kann daher nur mit Hilfe des Datentreuhänders T-Systems nach Maßgabe der vertraglichen Vereinbarung oder gesonderter Erlaubnis des Kunden temporären Zugriff bekommen. Die Zwecke des Datenzugriffs durch Microsoft und das korrespondierende Recht des Treuhänders, den Zugriff auf die Daten zu gewähren, sind nach dem Treuhandvertrag streng auf Fehlerbehebung und Wartung limitiert.