Künstliche Intelligenz
Microsofts Souveränitäts-Debakel: Zwischen „blumiger Werbung“ und „keine Panik“
Eine simple Antwort schlägt hohe Wellen: Microsoft kann nicht unter Eid garantieren, dass Daten von EU-Kunden bei einer Anfrage nicht an US-Behörden übertragen werden. Obwohl sich die Anhörung auf die französische UGAP bezog, sind die potenziellen Auswirkungen weitaus größer – US-Cloud-Anbieter versuchen aktuell, mit Souveränitätsversprechen um Vertrauen in der EU zu werben. Eine solche Aussage konterkariert diese jedoch augenscheinlich. Um diese einzuordnen, haben wir zwei Meinungen von Experten eingeholt.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen und arbeitet dort an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz.
Stefan Hessel ist Rechtsanwalt und Salary-Partner bei reuschlaw in Saarbrücken. Als Head of Digital Business berät er nationale und internationale Unternehmen zu Datenschutz, Cybersicherheit und IT-Recht.
Dennis Kipker, Research Director, cyberintelligence.institute, sieht die Befürchtungen bestätigt:
Das Zugeständnis von Microsoft kommt nicht überraschend – aber ist gleichwohl erkenntnisreich, denn Microsoft hat in der Vergangenheit explizit mit Maßnahmen geworben, die angeblich eine höhere Datensicherheit im transatlantischen Datenaustausch gewährleisten beziehungsweise Zugriffe nach Möglichkeit ausschließen sollen.
Jetzt stellt sich heraus, dass diese blumigen Werbeversprechen, die Diskussionen um Datengrenzen und teilsouveräne Clouds keine effektiven Schutzmechanismen darstellen. Das ist umso fataler, als von den Werbeversprechen Entscheidungen von Unternehmen wie auch staatlichen Einrichtungen für die sichere und souveräne Datenhaltung abhängen und sich nun herausstellt, dass die Sicherheitsversprechen von Microsoft auf Sand gebaut sind.
Zwar räumt Microsoft ein, dass es bislang noch nicht zu einem Zugriff gekommen sei. Das war aber bislang nicht der Gegenstand der öffentlich geführten Argumentation – stets ging es nämlich nur darum, wie durch rechtliche, technische und organisatorische Maßnahmen das Zugriffsrisiko gemindert oder ausgeschlossen werden soll. Und damit sind wir wieder bei der ganz alten Erkenntnis angelangt: Als US-amerikanisches Unternehmen muss sich Microsoft der US-amerikanischen Jurisdiktion beugen – egal, was die Werbeversprechen sagen.
Und auch wenn argumentiert wird, dass auch in der EU entsprechende Zugriffsbefugnisse seitens der Behörden existieren, die dem US-amerikanischen Recht vergleichbar sind, geht dies fehl. Denn immerhin haben wir in Deutschland und in der gesamten Europäischen Union ein Datenschutzgrundrecht, das verfassungsrechtlich verankert ist. So etwas gibt es in den USA in dieser Form nicht.
Deshalb ist es eigentlich umso besser, dass diese Enthüllung jetzt offiziell bekannt wurde, damit sich Unternehmen und Behörden in ihrer Risikoabwägung im Rahmen von Cloud-Beschaffungsentscheidungen darauf einstellen können.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E. In der nächsten Ausgabe geht’s ums Titelthema der August-iX: modernes Testmanagement.
Stefan Hessel, Rechtsanwalt bei reuschlaw, schätzt die Situation jedoch anders ein:
In der Aussage eines Microsoft-Managers, er könne nicht garantieren, dass die Daten vor einer Übermittlung in diese USA sicher seien, wird vielfach als Beleg für einen Kontrollverlust beim Einsatz von US-Cloudanbietern gesehen. Doch dieser Schluss greift zu kurz und lässt zentrale rechtliche Rahmenbedingungen außer Acht.
Zunächst liegt keine Drittlandsübermittlung vor, wenn im Cloudvertrag mit der EU-Tochtergesellschaft klar geregelt ist, dass die Daten ausschließlich im Europäischen Wirtschaftsraum verarbeitet werden. Der Fall ist also grundlegend anders als bei einer direkten Datenübermittlung in die USA oder an die US-Muttergesellschaft, wo ein direkter Zugriff durch die US-Behörden möglich ist. Im Kern geht es stattdessen um den CLOUD Act. Dieser verpflichtet US-Cloudanbieter, auf Anordnung einen Zugriff auf Daten einzuräumen, auch wenn diese nicht in den USA verarbeitet werden. Oft wird daraus geschlossen, dass US-Cloudanbieter ihre europäischen Tochtergesellschaften zur Herausgabe von Daten zwingen könnten.
Juristisch ist das jedoch nicht haltbar. EU-Tochtergesellschaften von US-Unternehmen unterliegen wie jedes andere EU-Unternehmen dem europäischen Recht und sind bei der Verarbeitung personenbezogener Daten an die DSGVO gebunden. Gemäß Art. 28 Abs. 3 DSGVO dürfen Cloud-Anbieter als Auftragsverarbeiter Daten ausschließlich auf Weisung des Kunden verarbeiten. Eine Ausnahme von diesem Grundsatz gilt nur, wenn sie durch das EU-Recht oder das Recht eines EU-Mitgliedstaats zu einer Verarbeitung verpflichtet sind.
Die Digitalisierung und der Einsatz von Cloud-Technologien stellen Unternehmen vor zentrale Fragen der Souveränität. Wie behalten sie die Kontrolle über Daten und Systeme, behalten dabei die Abhängigkeiten im Griff und erfüllen zudem regulatorische Anforderungen?
Dieser Workshop bietet einen kompakten Einstieg in das Thema Cloud-Souveränität, stellt unterschiedliche Cloud-Modelle vor und gibt einen Überblick über aktuelle Markttrends und Angebote. Die Chancen und Risiken von Multi-Cloud-Strategien werden praxisnah beleuchtet und die Teilnehmenden erarbeiten eine zukunftssichere IT-Strategie.
Anmeldung und Termine unter heise.de/s/nlrBA
Außereuropäische Gesetze wie der CLOUD Act dürfen dabei nicht berücksichtigt werden. Eine Offenlegung personenbezogener Daten gegenüber Behörden in Drittländern wie den USA darf gemäß Art. 48 DSGVO nur im Wege der Rechtshilfe erfolgen. Wenn dieses Verfahren eingehalten wird, ist es jedoch auch möglich, dass der Kunde keine Mitteilung über die Datenweitergabe erhält. Denn in Art. 28 Abs. 3 DSGVO ist auch geregelt, dass eine Benachrichtigung unterbleiben muss, wenn ein entgegenstehendes wichtiges öffentliches Interesse besteht.
EU-Töchter von US-Cloudanbietern dürfen Herausgabeaufforderungen ihrer Muttergesellschaft deshalb im Ergebnis nur nachkommen, wenn die Voraussetzungen der DSGVO erfüllt sind. Ob dies der Fall ist, können die europäischen Datenschutzaufsichtsbehörden und Gerichte voll überprüfen und etwaige Verstöße wirksam ahnden. Es besteht also kein Anlass zur Panik.
(fo)