Aus Sicht des Europäischen Gerichtshofs (EuGH) sind die Vereinigten Staaten in Bezug auf den Datenschutz auf dem gleichen Niveau wie Russland und China. Arbeiten Sie für Unternehmen und Regierungsdienste in Europa mit Cloud-Diensten amerikanischer Unternehmen wie z Amazonas, Google und Microsoft besonders sensibel, da die US-Geheimdienste möglicherweise Zugriff auf die dort gespeicherten Daten haben. Microsoft hat jetzt eine weitreichende Produktoffensive gestartet, um diese Datenschutzbedenken in Europa auszuräumen.
Microsoft-Kunden in der Europäischen Union sollten künftig nur noch in der EU in der Lage sein, ihre Daten zu verarbeiten und zu speichern. „Wir müssen keine Daten von diesen Kunden außerhalb der EU übertragen“, gab Microsoft-Präsident Brad Smith am Donnerstag bekannt in einem Blogbeitrag ein.
Microsoft reagiert auf zwei Urteile des EuGH zum Datenaustausch zwischen den USA und Europa. Auf Veranlassung des Datenschutzaktivisten Max Schrems hob das Gericht im Oktober 2015 zunächst das „Safe Harbor“ -Vertrag auf. Im Juni letzten Jahres hat Schrems dem Gerichtshof auch die Nachfolgeverordnung „Privacy Shield“ vorgelegt.
US-Geheimdienste haben umfangreiche Möglichkeiten
Die beiden Urteile beraubten die kommerzielle Übertragung von Daten in die USA teilweise ihrer Rechtsgrundlage. Nach Angaben des EuGH verfügen die USA nicht über ein Datenschutzniveau, das mit dem der EU vergleichbar ist. Der US-amerikanische „Cloud Act“, der es US-Geheimdiensten ermöglicht, Daten über geheime Gerichte – auch außerhalb der USA – zu beschlagnahmen, wird als kritisch angesehen. Die neue US-Regierung unter Präsident Joe Biden hatte kürzlich öffentlich gezeigt, dass sie ein neues umfassendes Datenschutzabkommen mit der EU unterzeichnen.
Nach der ersten Entscheidung des EuGH über den „sicheren Hafen“ haben Cloud-Anbieter wie Amazon (AWS), Google und Microsoft auf sogenannte Standardvertragsklauseln umgestellt, in denen sie sich zur Einhaltung der Datenschutzbestimmungen verpflichtet haben. Die Cloud-Unternehmen boten auch Serverstandorte in Deutschland und anderen europäischen Ländern an. Mit dem zweiten Urteil des EuGH zur Nachfolgeverordnung „Privacy Shield“ wurde klar, dass der Serverstandort und die Vertragsklausel allein nicht ausreichen, um die Anforderungen der Allgemeinen Datenschutzverordnung (DSGVO) zu erfüllen.
Viele Verantwortliche in europäischen Unternehmen und Verwaltungen, die sich für eine Lösung eines US-amerikanischen Anbieters entschieden haben, haben die wackelige Rechtsgrundlage ignoriert und fangen gerade erst an. Andere stellen die Investitionsentscheidung in den Hintergrund. Laut einer Studie des Digitalverbandes Bitkom vom November 2010 scheiterte mehr als jedes zweite Unternehmen (56 Prozent) an neuen, innovativen Projekten aufgrund der DSGVO. Der schwierige Datenaustausch mit den USA spielte ebenfalls eine große Rolle.
Nur für Geschäftskunden
Das neue Angebot von Microsoft für eine »EU-Datengrenze« richtet sich an Unternehmen und den öffentlichen Sektor, nicht an private Nutzer. Die Verpflichtung gilt für alle zentralen Microsoft Cloud-Dienste – Azure, Microsoft 365 (einschließlich Microsoft Office und Teams) und Dynamics 365. »Wir haben bereits technische Vorbereitungen getroffen, damit unsere zentralen Cloud-Dienste alle persönlichen Daten so schnell wie möglich bereitstellen können. Daten von Kunden aus Unternehmen und dem öffentlichen Sektor können nur dann in der EU gespeichert und verarbeitet werden, wenn sie dies wünschen “, sagt Smiths Blogbeitrag.
Es bleibt jedoch unklar, ob die Datengrenze tatsächlich die rechtlichen Unsicherheiten bei der Datenübertragung zwischen Europa und den USA beseitigen kann. Microsoft ist Berichten zufolge weiterhin rechtlich für die Daten in seiner Cloud verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington fällt daher in die Zuständigkeit der USA.
Der österreichische Datenschutzaktivist Max Schrems kritisiert daher das Angebot von Microsoft: „Nachdem Microsoft USA offenbar weiterhin Zugriff auf die Daten hat, müssen sie die Daten weiterhin nach US-amerikanischem Recht veröffentlichen“, sagte Schrems gegenüber der deutschen Nachrichtenagentur. Leider hilft der Speicherort nicht, solange ein Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung erfordert eine Einheit in der EU, die völlig frei von Anweisungen ist und in der die Daten aufbewahrt werden. „“
Microsoft glaubt, einen Ausweg gefunden zu haben: Das Zugriffsrecht der US-Geheimdienste könnte technisch untergraben werden, wenn Kunden ihre Daten in der Cloud selbst effektiv schützen. „Für viele unserer Dienste liegt die Kontrolle über die Verschlüsselung von Daten mithilfe von vom Kunden verwalteten Schlüsseln in den Händen der Kunden selbst“, sagte Microsoft-Präsident Smith. Hierbei werden kryptografische Schlüssel verwendet, die nicht von Microsoft, sondern von den Kunden selbst verwaltet werden. „Wir schützen die Daten unserer Kunden auch vor unbefugtem Zugriff durch Regierungsbehörden“, erklärt Smith.
Experten weisen auch darauf hin, dass der lange Arm des US-Rechtssystems auch Anbieter betreffen kann, die nicht aus den USA stammen. Jedes Unternehmen mit Sitz in den USA kann an Gerichtsverfahren in den USA beteiligt sein.