Illustration: Absmeier, Wattblicker
Zum Ende von Microsofts Cloud-Angebot mit deutscher Daten-Treuhänderschaft und zu den weitreichenden Auswirkungen äußert sich Karsten Glied, Geschäftsführer der Techniklotsen GmbH:
»Ende 2015 hatte der Softwarekonzern Microsoft infolge der NSA-Affäre den Service einer ›deutschen Cloud‹ aufgebaut – keine drei Jahre später wird das System wieder ausgemustert. Die Deutsche Telekom fungierte als Treuhänder und Datenverwalter, sodass Microsoft in der Regel keinerlei Zugriff auf die Informationen der Kunden hatte. Hier war besonders der Zugriff durch US-Behörden mit EU-Recht nach Aufkündigung von Safe-Harbour rechtlich problematisch. Auch nach Aufforderung amerikanischer Behörden wollte das Unternehmen bisher keine Daten aushändigen. Dies war rechtlich umstritten und Microsoft führte deswegen ein Gerichtsverfahren gegen die USA, das allerdings eingestellt wurde. Nun hat der Konzern das Angebot jedoch endgültig zum Auslaufmodell erklärt. Zukünftig wird Microsoft nur noch auf die eigene Cloud setzen: Über zwei weitere Rechenzentren in Deutschland soll die neue Lösung in Form von komplett selbstgeführten, nicht mit der Telekom verbundenen Systemen an das internationale Netzwerk angeschlossen werden. Letztlich schwingt sich das Unternehmen damit zum Rechenzentren- und Softwaremonopolisten auf.
Konterkarierung der DSGVO
Eine fatale Entwicklung einerseits für den europäischen Datenschutz und andererseits für den freien Markt: Die Daten verbleiben zwar in Deutschland, sind aber nicht mehr ausreichend vor fremden Zugriffen geschützt – geradezu eine Konterkarierung der geltenden Datenschutz-Grundverordnung (DSGVO). Dazu kommt noch, dass durch die Monopolstellung eine nicht zu unterschätzende Abhängigkeit vom Weltkonzern entsteht. Microsoft sichert den Schutz der Informationen zwar zu, vom Kunden lässt sich dies aber keineswegs nachprüfen. Denn der sogenannte Cloud Act, ein Anfang des Jahres in Kraft getretenes amerikanisches Gesetz, sieht vor, dass amerikanische Firmen US-Ermittlungsbehörden grundsätzlich Zugang zu Daten eigener Bürger gewähren müssen, auch wenn sie außerhalb der USA gespeichert sind. Dabei bleiben die Datenschutzbestimmungen anderer Länder grundsätzlich außen vor. Somit zieht der Konzern alle Kunden in eine Datenwolke, die aufgrund des Cloud Acts nicht DSGVO-konform ist. Ein regelrechtes Desaster für alle Schützer des Persönlichkeitsrechts. Betroffen sind alle, die Office-365-Anwendungen wie Word, Outlook, Excel und Co. verwenden.
Bisher gibt es die On-Premises-Versionen noch als Kaufsoftware für lokale Rechner, es fragt sich nur wie lange noch. Microsoft versichert zwar, sich auch in Zukunft an die DSGVO zu halten – ob dies allerdings im Zuge der jüngsten Entscheidung zum Cloud Act und dem noch immer bestehenden Patriot Act überhaupt möglich ist, bleibt fraglich. Diese neuen Entwicklungen sollten ein echter Weckruf für andere Softwareanbieter sein. Meiner Ansicht nach sind nun die Hersteller in sämtlichen Branchen aufgerufen, das Problem anzupacken und endlich echte Alternativen zu schaffen, sonst sind Datenschutzbrüche vorprogrammiert. Besonders im Bereich der Sozial- und Gesundheitsbranche mit vielen höchst sensiblen Daten handelt es sich bei der Entscheidung von Microsoft um eine Veränderung mit voraussichtlich weitreichenden Folgen. Hier muss schnellstens eine Lösung her, bevor sich die Datensicherheit so schnell auflöst wie Wolken nach einem Regenschauer.«
Autor Karsten Glied
Karsten Glied ist Geschäftsführer der Techniklotsen GmbH, die sich auf maßgeschneiderte IT- und Technik-Lösungen für die Sozial- und Gesundheitswirtschaft spezialisiert hat. Als studierter Diplom-Betriebswirt entwickelte er schon lange vor dem Megatrend »Digitalisierung« Strategien für eine bessere Verzahnung von IT mit den fachlichen und wirtschaftlichen Anforderungen eines Unternehmens. Zudem tritt er als Vortragender auf internationalen Konferenzen auf und referiert rund um die Themen Digitalisierung und »IT Business Alignment«.
Das Ende der Microsoft Cloud Deutschland – ein Abgesang und eine sichere Alternative
In puncto Sicherheit auf einen Public Cloud Provider zu vertrauen, kann problematisch sein. Das wird am Beispiel von Microsoft deutlich. Ab 2019 bietet der Softwaregigant die Microsoft Cloud Deutschland nicht mehr an. Unternehmen, die den Service bereits einsetzen, können ihn zwar auch weiterhin nutzen und erhalten die nötigen Sicherheitsupdates. Es wird künftig jedoch keine neuen Dienste mehr für die deutsche Cloud geben. Microsoft hatte diese 2015 ins Leben gerufen, um den hohen Sicherheitsbedürfnissen von deutschen Unternehmen nachzukommen. Kundendaten werden dabei getrennt von der globalen Infrastruktur in einem separaten Netzwerk in Deutschland gespeichert und ein deutscher Treuhänder kontrolliert den Zugang zu diesen Daten. Ab 2019 können Neukunden nur noch die weltweite Azure Cloud nutzen.
Unternehmen, die sich für die Microsoft Cloud Deutschland entschieden hatten, stehen jetzt vor einem Dilemma. Entweder sie bleiben in der geschützten deutschen Cloud und verzichten auf Neuerungen. Oder sie wechseln zu Azure und vertrauen auf Microsofts Aussage, dass auch die globale Cloud die strengen Datenschutzrichtlinien der DSGVO einhält. Wer auf der sicheren Seite sein will, sollte einen dritten Weg wählen und sensible Daten in der Cloud mit einem externen Hardware-Sicherheitsmodul verschlüsseln. Dadurch übernehmen Unternehmen selbst die Kontrolle über den Schutz ihrer Daten – unabhängig davon, bei welchem Public Cloud Provider sie liegen.
Die unabhängige sichere Lösung: ein Cloud-HSM
Dies lässt sich komfortabel mit einem Hardware-Sicherheitsmodul (HSM) in der Cloud wie dem Utimaco CryptoServer Cloud bewerkstelligen. Unternehmen können damit die Funktionalität eines HSM als Service nutzen und dort zum Beispiel kryptographische Schlüssel und eigene Kryptographie-Funktionen sicher aufbewahren. Ein solches HSM-as-Service arbeitet mit den großen Public Clouds wie Microsoft Azure, der Google Cloud Platform oder Amazon Web Services zusammen, hält Schlüssel und Kryptographie-Funktionen jedoch sicher getrennt von der Infrastruktur des Public Cloud Providers. Nur der Kunde selbst hat Zugang zum virtuellen Schlüssel-Safe. Er genießt volle administrative Rechte auf das HSM und kann auch eigenen Code anwenden. Dadurch sind Unternehmen in der Lage, ihre Daten nach ihrem Ermessen zu schützen, ohne dass sie von den Datenschutzmaßnahmen des Providers abhängig sind.
Darüber hinaus eignet sich der Einsatz eines HSM in der Cloud auch hervorragend für Hybrid- und Multi-Cloud-Umgebungen. Immer mehr Unternehmen gehen dazu über, eine Private Cloud und Public Cloud Services verschiedener Provider zu kombinieren. Dadurch können sie die jeweils besten Angebote für ihren Bedarf auswählen und von deren Vorteilen profitieren. Auf der anderen Seite macht eine Multi Cloud jedoch die konsistente Umsetzung von Datenschutz und Compliance komplexer und unübersichtlicher, da jede Cloud ihr eigenes Sicherheitskonzept hat. Mit einem Cloud-HSM können Unternehmen diese Schwierigkeiten überwinden und für durchgängigen Datenschutz unabhängig vom Public Cloud Provider sorgen. Das ebnet den Weg für eine sichere Multi-Cloud-Umgebung.
Malte Pollmann, CEO der Utimaco GmbH
Wo sich EU- und US-Recht widersprechen – Die Cloud muss Grenzen kennen
Seit Mai 2018 gibt es einen Konflikt zwischen der Europäischen DSGVO und dem US-amerikanischen CLOUD Act. Was hinter der Regelung steckt und wie Mittelständler dem Konflikt aus dem Weg gehen können.
Illustration: Absmeier, Thommas68
Seit dem Frühjahr befinden sich das US-amerikanische und das europäische Datenschutzrecht auf Kollisionskurs. Viele mittelständische Unternehmen in Deutschland sollten sich der weitreichenden Auswirkungen bewusst sein, wenn sie über Softwarelösungen und Dienste aus der Cloud nachdenken.
Seit März dieses Jahres steht der Begriff CLOUD als Abkürzung für »Clarifying Lawful Overseas Use of Data«, also die Klärung der gesetzmäßigen Verwendung ausländischer Daten. Das zugehörige US-Gesetz trägt den Titel CLOUD Act und steht aufgrund seiner Natur in Widerspruch zu europäischen Datenschutz- und Sicherheitsbestimmungen:
Unternehmen, die ihren Firmensitz in den USA haben, sind nun nicht mehr nur im Rahmen des sogenannten Patriot Act zur Kooperation mit den Ermittlungsbehörden ihres Landes verpflichtet. Sie sind es auch dann, wenn sie Nutzungs- und Kundendaten auf Servern außerhalb der Vereinigten Staaten verarbeiten und selbst wenn sie eigene Rechenzentren in Deutschland oder im sonstigen Geltungsbereich europäischer Gesetze wie der DSGVO (Datenschutzgrundverordnung) unterhalten.
Mit Inkrafttreten des CLOUD Act ist nun auch der Schlusspunkt unter ein Gerichtsverfahren gesetzt, das Microsoft jahrelang durch alle Instanzen verfolgt hatte: Das Unternehmen hatte sich gegen die Herausgabe von Daten auf ihren Servern in Irland gewehrt und bis zum obersten amerikanischen Gerichtshof geklagt. Angesichts der neuen gesetzlichen Bestimmungen sieht der Supreme Court jetzt jedoch keine Veranlassung mehr, sein ursprünglich für den Sommer angekündigtes Urteil zu fällen.
Zugriff vs. Schutzanspruch
Die spannende Frage für amerikanische Technologie-, Internet- und Cloud-Unternehmen ist, ob und in wieweit der CLOUD Act sie bei ihrem internationalen Geschäft beeinträchtigen kann. Transkontinentale Konflikte beim Datenschutz und der Konformität mit den Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) scheinen kaum vermeidbar zu sein. Das gilt vor allem für den in der EU gültigen Anspruch auf Auskunft zum Umgang und zur Weiterverwendung personenbezogener Daten: Der CLOUD Act untersagt, Betroffene über Datenweitergaben zu informieren, die DSGVO hingegen beinhaltet die Auskunftspflicht.
Nicht nur deshalb bezweifeln Juristen und Datenschützer auf beiden Seiten des Atlantiks, dass die aktuellen Rechtsgrundlagen für eine Umsetzung des US-Gesetzes auf europäischem Boden ausreichend sind. Laut DSGVO darf eine Offenlegung und Weitergabe von Nutzer- und Kundeninformationen an Behörden in »Drittländern« (also Staaten außerhalb der EU) nur dann erfolgen, wenn offizielle Rechtshilfeabkommen und verbindliche Übereinkunft mit dem jeweiligen Drittland bestehen.
Als besonders kritisch in diesem Zusammenhang gilt daher die Abwesenheit gerichtlicher Kontrolle, die der CLOUD Act vorsieht. Demnach brauchen US-Behörden keine richterlichen Durchsuchungsbeschlüsse mehr und können ein langes Stück der aktuellen internationalen Rechtswege umgehen.
Compliance als Konfliktfeld
Für amerikanische Technik- und Internetkonzerne sind die neuen Bestimmungen ein zweischneidiges Schwert: Wenn sie US-Behörden Daten aushändigen, die auf ihren Servern in Europa gespeichert sind, könnte dies im Geltungsbereich der DVGSO als massiver Rechtsverstoß (etwa gegen Art. 48) betrachtet werden. Dieser Aspekt schmälert die Freude, mit der Unternehmen wie Amazon, Apple, Facebook, Google und selbst Microsoft den CLOUD Act im Frühjahr noch als vernünftige und zeitgemäße Leitlinie für den internationalen Datenaustausch begrüßt hatten.
Vom US-Gesetz quasi verlangte Verstöße gegen die DSVGO und deren Ahndung mit Bußgeldern, die bis zu vier Prozent des –weltweiten—Jahresumsatzes oder 20 Millionen Euro betragen können, sind jedoch nur eine Seite der Medaille. Die andere heißt Kundenvertrauen.
Digitalisierung braucht Vertrauen
Für Unternehmen, die ihre Digitalisierung vorantreiben und sich bei der Nutzung von Public Clouds um die Vertraulichkeit sensibler Geschäftsinformationen ebenso sorgen wie um ihre Kundendaten und Gesetzeskonformität, gewinnt eine Frage an Bedeutung: Wo befindet sich der Firmensitz der Anbieter, dessen Lösungen und Cloud-Ressourcen wir nutzen?
Der Grund: Anders als amerikanische Konzerne können regionale Anbieter nicht in die schwierige Lage kommen, Daten von europäischen Servern zwangsweise an US-Behörden weitergeben zu müssen. »Als deutsches Unternehmen unterliegen wir europäischem Recht und sorgen mit umfassenden Know-how für die Sicherheit der Anwendungen und Daten unserer Kunden«, berichtet Michael Padberg, Geschäftsführer der Professionals Telecom (www.PTC.de). Das Unternehmen aus Wörthsee bietet mittelständischen und Großunternehmen ganzheitliche Voice-, Video- und Web-Kommunikationsinfrastrukturen. Die Sicherheit der Daten ist bei den Gesprächen, die Michael Padberg mit seinen Kunden führt, ein wesentliches Thema. Er weist darauf hin, dass Unternehmen nicht notwendig darauf verzichten müssen, Technologie amerikanischer Anbieter zu nutzen: »Zu unseren Leistungen gehört selbstverständlich auch, dass wir die von Kunden genutzten Lösungen amerikanischer Hersteller quasi treuhänderisch betreuen und gegen unberechtigte Zugriffe schützen.« Allerdings bemerkt Padberg bei seinen Kunden auch einen klaren Trend hin zu Private-Cloud-Lösungen.
Fazit
Noch ist nicht abzusehen, ob und wie schnell neue bi-laterale Abkommen zum Datenzugriff- und Datenaustausch ausreichende Rechtssicherheit zwischen der EU und den USA schaffen werden. Entscheider in Unternehmen könnten es daher sinnvoller finden, sich von den Business-Plattformen amerikanischer Firmen zurückzuziehen beziehungsweise sich stattdessen von vorn herein regionalen Anbietern zuzuwenden – also Unternehmen mit Hauptsitz innerhalb der EU, die alle ihnen anvertrauten Daten und Anwendungen nach hiesigen Bestimmungen verwalten, speichern und sichern.
US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?
Illustration: Absmeier, ocv
Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten »Recht auf Vergessenwerden« wurden unsere Rechte als Betroffene erheblich gestärkt.
Gesetzlich gebilligter Zugriff auf personenbezogene Daten – Widerspruch zwecklos
Wäre da nicht diese dunkle Wolke, die sich scheinbar unbemerkt von Medien und Politik über der friedlichen Szenerie breitmacht: Der CLOUD Act – kurz für »Clarifying Lawful Overseas Use of Data Act«. Ein US-Gesetz, erlassen am 23. März, das es US-Behörden erlaubt, auf personenbezogene Daten im Ausland zuzugreifen. Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch – denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff »im Interesse der USA«, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen …
Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.
CLOUD Act hebelt Errungenschaften der DSVGO aus – wo bleibt der Aufschrei?
Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutzabkommen »EU-US Privacy Shield« als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält.
Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen?
Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren, damit sie von dem drohenden Unheil erfahren.
Martin Aschoff, Gründer und Vorstand der AGNITAS AG