Let’s Encrypt, die weltgrößte Zertifizierungsstelle im Web, hat wie geplant ihre Server für das Online Certificate Status Protocol (OCSP) abgeschaltet. Der Schritt war lange vorbereitet und der Zeitplan im Dezember 2024 festgezurrt worden. Seit dem 7. Mai 2025 stellt Let’s Encrypt keine Zertifikate mehr aus, die auf OCSP-Server zur Statusprüfung verweisen. Weil Zertifikate der Organisation maximal 90 Tage lang gültig sind, existierte zur Abschaltung am 6. August kein valides Zertifikat mehr, das noch auf die OCSP-Server verwies.

OCSP dient dem Zertifikatswiderruf. Über das Protokoll können Clients wie Webbrowser abfragen, ob ein augenscheinlich gültiges Zertifikat widerrufen wurde, etwa weil es fehlerhaft oder in falsche Hände geraten ist. Das Protokoll sollte eigentlich die schlecht skalierenden Certificate Revocation Lists (CRL) ablösen, also Listen, in denen eine Zertifizierungsstelle (Certificate Authority, CA) schlicht alle von ihr widerrufenen Zertifikate einträgt. Aber auch OCSP skaliert nicht ideal, die Infrastruktur großer CAs muss Zehn- oder sogar Hunderttausende OCSP-Anfragen pro Sekunde beantworten – möglichst schnell, damit der Webseitenabruf sich nicht zu sehr verzögert.

Hinzu kommt, dass OCSP ein Datenschutzproblem hat, schließlich erfahren die OCSP-Server einer CA laufend, welche Websites ein Client aufrufen will. Außerdem können Angreifer den Schutz von OCSP relativ leicht aushebeln.

Hohen Infrastrukturanforderungen

Maßnahmen gegen diese Schwächen waren nicht leicht fehlerfrei umzusetzen und erfuhren nie weite Verbreitung, obwohl Let’s Encrypt ursprünglich OCSP favorisierte, um die unhandlichen CRLs zu meiden. Allmählich schwenkte die CA aber doch auf solche Widerrufslisten um und begründet ihre nun vollendete Rückwärtsrolle zum Teil mit den hohen Infrastrukturanforderungen von OCSP. Wichtiger sei aber das Datenschutzproblem: Man habe zwar absichtlich nicht gespeichert, welche IP-Adressen OCSP-Anfragen für welche Domains stellten, sieht aber das Risiko, dass CAs in Zukunft gesetzlich verpflichtet werden könnten, die Daten zu sammeln.

Weil CRLs alle Widerrufe einer CA enthalten, erlaubt ihre Abfrage keine Rückschlüsse auf besuchte Domains. Inzwischen gibt es auch Fortschritte dabei, die umfangreichen Listen geschickt zu komprimieren, etwa das von Mozilla vorangetriebene Projekt CRLite.

(syt)

Eine E-Mail über Outlook verschicken, eine Tabelle mit Excel erstellen oder die nächste Präsentation mit PowerPoint – die Anwendungen von Microsoft 365 nutzen viele Mitarbeiter*innen in Behörden selbstverständlich und vertrauen dem US-amerikanischen Tech-Konzern damit Daten über interne Vorgänge der EU an, etwa Inhalte aus E-Mails oder Präsentationen. Doch wie schützt Microsoft diese Behördendaten? Und vor allem: Wer kontrolliert, wie Microsoft mit den Daten umgeht?

Gute Kundin für Microsoft 365 ist die öffentliche Verwaltung auf EU-Ebene, etwa die Europäische Kommission. Die Behörde beschäftigt 32.860 Mitarbeiter*innen, also eine ganze Menge Nutzer*innen von Microsofts Büro-Software. Das bedeutet eine Menge Daten – und Verantwortung, diese Daten zu schützen. In einem mehrjährigen Verfahren musste die Kommission belegen, dass das gelingt.

Nun hat der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski das dazugehörige Verfahren abgeschlossen. Mitte Juli bescheinigte er der Kommission die „Datenschutzkonformität bei der Nutzung von Microsoft 365“. In einem Brief an die Generaldirektorin Veronica Gaffey stellte er fest:

Die Kommission hat nun die Kontrolle darüber, was bei der Nutzung der Microsoft 365-Dienste geschieht. Dies ist das Ergebnis zusätzlicher vertraglicher, technischer und organisatorischer Maßnahmen, die in Zusammenarbeit mit Microsoft umgesetzt wurden oder geplant sind.

Ein Grund zur Entwarnung ist das aber nicht. Ein Blick auf die Gesamtsituation zeigt: Nach wie vor gibt es Grund für ernste Bedenken beim Schutz sensibler Behördendaten. Sie fallen bloß nicht mehr in die Zuständigkeit von Datenschutz-Wächter Wojciech Wiewiórowski.

Deshalb zeigt sich Wiewiórowski nun zufrieden

Noch im März 2024 hatte Wiewiórowski die Kommission dazu aufgefordert (PDF), beim Datenschutz massiv nachzubessern. Sein Befund: Die Lizenzvereinbarung mit Microsoft sei lückenhaft, und das präge die Art und Weise, wie die Kommission die Büroanwendungen nutzt. Die Behörde habe versäumt, vertraglich festzulegen, dass Microsoft bestimmte Daten nur zu bestimmten Zwecken verarbeiten dürfe. Zudem seien die Daten nicht ausreichend geschützt, wenn die Kommission sie in Drittländer außerhalb der EU überträgt.

Im Fokus der Aufforderung standen nur ein paar der Bestimmungen eines Gesetzes für die Verwaltung der EU von 2018, wie der EDSB auf Anfrage von netzpolitik.org erklärt. Das Gesetz hat einen langen Namen: „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr“. Die Datenschutz-Grundverordnung (DSGVO) wiederum sei nicht Teil der Prüfung durch den EDSB. Denn die falle „in die ausschließliche Zuständigkeit der nationalen Datenschutzbehörden“.

Laut Wiewiórowski habe die Kommission inzwischen die Mängel behoben, die er und sein Team bei ihrer Prüfung gefunden haben. Was sich zunächst wie eine gute Nachricht für behördlichen Datenschutz anhört, erweist sich bei näherem Hinsehen allerdings als wenig aussagekräftig. Denn mehrere Gesetze zum transatlantischen Datentransfer stutzen den Einfluss des EDSB auf ein Minimum.

Der kurze Erfolg von „Schrems II“

Als der EDSB im Jahr 2021 seine Untersuchung zur Microsoft-365-Nutzung der Kommission aufgenommen hatte, stand insbesondere in der Kritik, dass die Kommission das „Schrems II“-Urteil nicht berücksichtige (PDF). Diese Einschätzung wiederholte er im Mai 2024. Nun hat der EDSB das Verfahren beigelegt und äußert sich nicht mehr zu „Schrems II“.

Bei „Schrems II“ handelt es sich um ein Urteil des Europäischen Gerichtshofs aus dem Jahr 2020. Damals kippte der Gerichtshof den Privacy Shield, ein Datenschutzabkommen zwischen EU und USA. Anlass war eine Beschwerde des Juristen und Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde: Facebook Irland leite demnach seine Daten an den Mutterkonzern in den USA weiter. Und Schrems hatte Erfolg.

„Schrems II“ besagt: Überträgt eine Behörde personenbezogene Daten ins Ausland, dann muss das Zielland ein bestimmtes Datenschutzniveau aufweisen. Das Unternehmen Microsoft hat seinen Sitz in den Vereinigten Staaten. Die erreichen laut EuGH-Urteil das geforderte Schutzniveau nicht. Denn US-Behörden hätten zu viele Zugriffsmöglichkeiten, was mit den hohen Anforderungen an den Datenschutz in der EU nicht vereinbar sei.

So wurde „Schrems II“ ausgehebelt

Dass der EDSB „Schrems II“ inzwischen nicht mehr erwähnt, mag damit zusammenhängen, dass seit Mitte 2023 der sogenannte Datenschutzrahmen EU-USA gilt (EU-US Data Privacy Framework, kurz DPF). Er hat den Privacy Shield abgelöst. Die EU-Kommission hat hierbei eine Angemessenheitsentscheidung zugunsten der USA getroffen. Demnach sollen die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können, die aus der EU an US-Unternehmen übertragen werden.

Unterm Strich dürfen US-amerikanische Unternehmen also personenbezogene Daten von EU-Bürger*innen in den USA speichern und verarbeiten, ohne zusätzliche Datenschutzgarantien einrichten zu müssen. Kritiker*innen mahnen, dass „kaum rechtlicher Schutz vor dem anlasslosen wie massenhaften Zugriff der amerikanischen Behörden“ besteht. Schrems bezeichnete dieses neue Abkommen als „Zaubertrick“.

Und der EDSB? Der sei für die Angemessenheitsentscheidung mit den USA beim Thema Microsoft 365 in der Kommissions-Verwaltung schlicht nicht zuständig, wie die Behörde gegenüber netzpolitik.org erklärt. Er verwies lediglich darauf, die Kommission habe detaillierte Vorschriften formuliert, wie entsprechend zertifizierte Unternehmen personenbezogene Daten an US-Behörden zwecks Strafverfolgung und nationaler Sicherheit übermitteln dürfen.

Doch selbst, wenn der DPF erneut vom EuGH gekippt werden würde, kann sich die Kommission dem EDSB zufolge schon jetzt „zurecht“ auf eine Ausnahmeregelung des Gesetzes von 2018 berufen: Sollen Daten an Microsoft in einem Drittland erfolgen, das nicht als angemessen gilt, lässt sich das durch die Kommission mit „wichtigen Gründen des öffentlichen Interesses“ rechtfertigen.

Noch mehr Wege, wie Daten in die USA fließen

Daten der europäischen Verwaltung können zudem per US-amerikanischem Cloud Act (Clarifying Lawful Overseas Use of Data Act) in die USA gelangen. Demnach sind Anbieter, die ihren Unternehmenssitz in den USA haben, dazu verpflichtet, Daten und Informationen zu Nutzer*innen gegenüber US-Behörden offenzulegen, wenn die es verlangen. Das ist unabhängig davon, wo die Daten liegen, etwa auf europäischen Rechenzentren. Zu diesem Schluss kam beispielsweise der Wissenschaftliche Dienst des Deutschen Bundestages in einem Bericht aus dem Jahr 2024.

Auch die Aussage des Chefjustiziars von Microsoft Frankreich, Anton Carniaux, deutet darauf hin. Mitte Juli wurde er im französischen Senat befragt: Können die USA auch Daten einsehen, ohne dass die französischen Behörden zuvor ausdrücklich zugestimmt hätten? Laut Carniaux könne Microsoft nicht garantieren, dass US-Behörden keinen Zugriff auf Nutzer*innendaten erhalten.

Datenschutzbeauftragter mahnt zur Vorsicht

Wie soll die EU also den Zugriff auf Daten regulieren, wenn der Cloud Act US-Behörden derart weitreichende Befugnisse gewährt? Auch auf wiederholte Nachfrage verweist der EDSB dazu lediglich auf zusätzliche Vertragsbestimmungen, die die Kommission mit Microsoft ausgehandelt habe. Demnach hätten alleine die EU oder ihre Mitgliedstaaten das Recht, Microsoft zur Offenlegung von Daten aus Behörden zu verpflichten.

„Uns wurden auch im direkten Austausch mit Microsoft keine technischen Änderungen bekannt, die den Zugriff durch US-Behörden verhindern würden“, schreibt die Datenschutzorganisation noyb auf Anfrage von netzpolitik.org. Sie bezeichnet die Vereinbarungen der Kommission mit Microsoft als Paper-Compliance. Es sei nicht ersichtlich, dass der EDSB ein technisches Audit erstellt habe. Stattdessen vertraue er auf die Vertragsänderungen der EU-Kommission. „Vermutlich kann die NSA weiterhin live in den Dokumenten der EU-Kommission mitlesen“, schätzt noyb.

Denn noch ein weiteres US-Gesetz öffnet dem Datenfluss von der EU in die USA Tür und Tor: der Foreign Intelligence Surveillance Act (FISA), insbesondere dessen berühmt-berüchtigte Section 702. Demnach dürfen US-Behörden wie die National Security Agency (NSA) etwa im Namen der Terrorismus-Bekämpfung großflächig Daten von Online-Diensten abfragen – eine Lizenz zur großflächigen Überwachung des Internets. Im vergangenen Jahr hatte der US-Kongress diese brisante Regelung um zwei weitere Jahre verlängert.

Auch der EDPB hat das auf dem Schirm: Er empfiehlt der Kommission, diese Entwicklungen zu verfolgen.

Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz in Episode 140 des c’t-Datenschutz-Podcasts.

Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen.

Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind.

Weitere Grenzen

Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten.

Einen pragmatischen Rat hat der erfahrene Anwalt für Unternehmen parat: Nach Möglichkeit sollten interne Dokumente frei von personenbezogenen Daten sein, um Konflikte von vornherein zu vermeiden. Wo dies nicht gehe, bleibe nur eine sorgfältige Prüfung und Risikoabwägung im Einzelfall.

Auch wenn es auf den ersten Blick wie ein Nischenthema wirkt, zeigt sich am Recht auf Auskunft exemplarisch das Spannungsfeld zwischen Datenschutz und Unternehmensinteressen. Schutzrechte für Betroffene dürfen nicht ausgehöhlt, Geschäftsgeheimnisse aber auch nicht leichtfertig preisgegeben werden. Es braucht einen umsichtigen Ausgleich im Einzelfall, resümieren Piltz und die Podcast-Hosts, Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich.

Episode 140:

Hier geht es zu allen bisherigen Folgen:

(hob)