"Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben", erklärte Microsoft President und Chef-Justiziar Brad Smith. "Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern." Das bedeutet, dass Microsoft eine EU-Datengrenze für seine zentralen Cloud-Lösungen einführen will. "Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen", versichert der Microsoft-Manager. Mit der neuen Lösung könnten Anwender künftig ausschließen, dass personenbezogene Daten aus der EU heraus transferiert werden müssen. Das gelte auch für personenbezogene Daten in Diagnosedaten (Telemetrie), wie auch für personenbezogene Daten, die Microsoft für den technischem Support verwendet.

Microsoft hat eigenen Angaben zufolge bereits mit den entsprechenden technischen Vorbereitungen begonnen; bis Ende kommenden Jahres sollen die Anpassungen abgeschlossen sein. "Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft - Azure, Microsoft 365 und Dynamics 365", sagte Smith. Microsoft gehe mit dieser Maßnahme über die bestehenden Zusagen bei der Datenspeicherung hinaus. "Wir sprechen von einer 'EU Data Boundary for the Microsoft Cloud', einer EU-Datengrenze für unsere Cloud-Lösungen."

Mit dieser Initiative will der weltgrößte Softwarekonzern offenbar die nach wie vor weit verbreiteten Bedenken vieler Unternehmen in Europa, speziell in Deutschland, hinsichtlich der Sicherheit ihrer Daten in der Cloud zerstreuen. Die seit Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) nimmt die Betriebe streng in die Pflicht, für die Sicherheit sensibler persönlicher Daten zu sorgen. Das können Informationen zu eigenen Mitarbeitern, aber auch Kunden sein.

Europäische Unternehmen kritisieren US CLOUD Act

Die Verantwortlichen in vielen europäischen Unternehmen befürchten, dass gerade US-Anbieter wie Microsoft durch Gesetze in den Vereinigten Staaten gezwungen sind, in deren Clouds gespeicherte Kundendaten im Bedarfsfall an US-Behörden herauszugeben. Insbesondere der seit März 2018 geltende Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wird mit großem Argwohn betrachtet. Das Gesetz verpflichtet amerikanische Internet- und Cloud-Anbieter sowie IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt. Das kann massive Auswirkungen auf den Markt und den Wettbewerb haben. Zumal US-Geheimdienste von ihrem Auftrag her verpflichtet sind, die heimische Wirtschaft zu unterstützten.

Für Verunsicherung haben in den vergangenen Jahren auch zwei Urteile des Europäischen Gerichtshofs gesorgt. 2015 kippten die Richter auf Betreiben des österreichischen Datenschutzaktivisten Max Schrems die Safe Harbour-Vereinbarung. Im vergangenen Jahr erklärte das Gericht auch die Nachfolgeregelung Privacy Shield für ungültig. Beide Vereinbarungen sollten eigentlich den Datenaustausch zwischen Europa und den USA auf eine sichere Basis stellen. Die Bemühungen der US-Anbieter, mit Zusicherungen zu Data-Center-Standorten und Standardvertragsklauseln für Datenschutz zu sorgen, reichen nach den jüngsten Urteilen nicht aus.

Wie es mit bilateralen Verträgen zu Datenaustausch und Datenschutz weitergeht, ist derzeit nicht abzusehen. Nachdem unter der Trump-Regierung keine Fortschritte hinsichtlich eines Nachfolge-Abkommens zum Privacy Shield erzielt werden konnten, signalisierte der neue US-Präsident Joe Biden zumindest, wieder an den Verhandlungstisch zurückzukehren. Bis ein Vertrag unterzeichnet ist, dürfte es jedoch noch Jahre dauern.

Anwender sollen Daten verschlüsseln

Bis dahin versuchen nun Anbieter wie Microsoft, mit eigenen Initiativen und Selbstverpflichtungen die Datenschutzbedenken ihrer Kunden auszuräumen. Microsoft-Manager Smith kündigte an, in den kommenden Monaten einen engen Austausch mit Kunden und Aufsichtsbehörden zu pflegen, "auch aufgrund von notwendigen Anpassungen in Bereichen wie der Cybersicherheit, und wir werden ihre Rückmeldung in die Entwicklung einbeziehen".

Smith betonte, dass Microsofts Cloud-Services bereits heute die Vorschriften der EU erfüllten. "Unternehmenskunden und Kunden der öffentlichen Hand können Daten in der EU speichern." Viele Azure-Services ließen sich so konfigurieren, dass Daten auch innerhalb der EU verarbeitet werden. Zudem biete Microsoft Verschlüsselungen und sogenannte Lockbox-Lösungen an, die den derzeitigen regulatorischen Vorgaben entsprechen. "Bei vielen unserer Services liegt die Kontrolle über die Verschlüsselung der Daten durch die Verwendung von kundenverwalteten Schlüsseln in den Händen der Kunden selbst", forderte Smith seine Kunden auf, die von Microsoft angebotenen Sicherheitswerkzeuge auch zu nutzen.

Microsoft will Behördenanfragen anfechten

Smith kündigte an, die Daten der Kunden zusätzlich vor unzulässigem Zugriff durch staatliche Stellen zu schützen. "Wir werden technische Schutzmaßnahmen wie Lockboxen oder vom Kunden verwaltete Verschlüsselungen für Kundendaten auf die zentralen Cloud-Dienste von Microsoft ausweiten", sagte der Manager. Microsoft will zudem in Dublin, Irland, ein "Privacy Engineering Center of Excellence" aufbauen, um europäische Kunden bei der Auswahl der richtigen Lösung für die Implementierung eines wirksamen Datenschutzes in ihre Cloud-Arbeitsprozesse zu unterstützen und um regulatorische Anforderungen zu erfüllen. Smith verwies außerdem auf erhebliche Investitionen in die europäische Rechenzentrums-Infrastruktur der Microsoft-Cloud.

Der Manager gab sich kampfbereit, was den Schutz der Kundendaten anbelangt: "Wir werden jede Anfrage einer staatlichen Stelle nach persönlichen Daten eines EU-Kunden aus dem öffentlichen Sektor oder der freien Wirtschaft anfechten - egal von welcher Behörde -, wenn es dafür eine rechtliche Grundlage gibt." Der Microsoft-Manager versprach außerdem, Nutzern eine finanzielle Entschädigung anzubieten, wenn Microsoft Daten unter Verletzung der DSGVO offenlegen müsse und dadurch einen Schaden verursache.

Zugriff aus den USA weiter möglich?

Ob Microsofts Initiative in dem derzeit herrschenden rechtlichen Vakuum tatsächlich für mehr Datenschutz sorgen kann, bleibt fraglich. Datenschützer Schrems hat Zweifel, weil Microsoft rechtlich weiter für die Daten in seiner Cloud verantwortlich bleibt und als US-Unternehmen auch der US-Rechtsprechung unterliegt. "Nachdem Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben", sagte Schrems der Deutschen Presse-Agentur. "Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben."

Auch auf Seiten Microsofts sieht man die Notwendigkeit einer rechtlich verbindlichen Grundlage, um Unklarheiten und Unsicherheit ein für alle Mal auszuräumen. Man wolle weiterhin alles tun, um Regierungsvertreter auf beiden Seiten des Atlantiks und anderswo zu ermutigen, Fragen des rechtmäßigen Zugangs zu Daten schnell zu klären, sagte Smith und verwies auf die laufenden Gespräche zwischen der Europäischen Kommission und der US-Regierung über einen neuen Rahmen zum Schutz personenbezogener Daten. "Wir sind zuversichtlich, dass es in naher Zukunft Lösungsansätze geben wird."