Kaum ein modernes Unternehmen, das auf Digitalisierung und Vernetzung setzt, kommt heute noch um den Einsatz von Microsoft Office 365-Anwendungen, wie Word, Excel, Teams oder Outlook, herum. Sie ermöglichen die schnelle und unkomplizierte Anlage, Verarbeitung, Speicherung und Kommunikation von Daten – mit Arbeitskollegen, Partnern, Zulieferern und Kunden.
Schon seit geraumer Zeit bietet Microsoft seine Office-365-Anwendungen auch in einer Public Cloud-Variante an – basierend auf Microsoft OneDrive-, SharePoint- oder Azure-Servern.
Für seine Kunden bringt die Datenablage in diesen Public Clouds einige handfeste Vorteile mit sich. Im Vergleich zu On-Premises- oder Private-Cloud-Lösungen, besitzen sie eine höhere Skalierbarkeit und verursachen deutlich geringere Kosten. Vor allem aber: für Betrieb, Datensicherheit und Datenschutz müssen nicht erst umständlich IT-Experten gefunden und angeworben werden. Microsoft übernimmt diese Aufgaben, indem es nicht nur die benötigen Administratoren, sondern auch die hochspezialisierten IT-Sicherheitsexperten stellt.
Doch die Arbeit mit Microsoft über eine Public Cloud hat auch ihren Preis.
Nutzen Unternehmen Microsoft-Anwendungen, die über eine Public Cloud operieren, müssen sie dazu automatisch auch einen Teil der Kontrolle über ihre Daten an Microsoft und dessen Service-Teams abgeben. Microsoft verschlüsselt die eingehenden Daten und hält die Schlüssel. Für den Nutzer entsteht durch diese Regelung ein nicht unerhebliches Sicherheitsrisiko. Besteht damit doch die Möglichkeit, dass Firmengeheimnisse in die falschen Hände geraten oder die Struktur der gespeicherten Daten einer ungewollten Änderung unterzogen wird.
Da es sich hierbei in aller Regel auch um personenbezogene oder personenbeziehbare Daten handelt – von Mitarbeitern, Partnern, externen Auftragnehmern oder Kunden – können Unternehmen bei der Verwendung von Microsoft-Anwendungen über eine Public Cloud auch leicht mit den Vorgaben der DSGVO in Konflikt geraten.
Die Datenschutzgrundverordnung (DSGVO) nimmt die Verantwortlichen personenbezogener und personenbeziehbarer Daten und die Anbieter von IT-Dienstleistungen, die von diesen zur Datenverarbeitung oder -speicherung in Anspruch genommen werden, in die Pflicht, den Schutz dieser Daten sicherzustellen.
Ein juristisch wie technisch anspruchsvolles Unterfangen. Laut den Artikeln 24 und 28 der DSGVO haben Nutzer und Anbieter hierzu geeignete technische und organisatorische Maßnahmen durchzuführen und nachzuweisen.
Der Prozess gewinnt nochmals an Komplexität, wenn Dienste von Public Cloud-Anbietern aus dem EU-Ausland – wie Microsoft – in Anspruch genommen werden. Denn dann muss laut DSGVO-Artikel 44 auch der Datentransfer selbst geschützt werden.
Nutzern stehen hierzu zwei Möglichkeiten zur Auswahl: Entweder stützen sie sich – sofern vorhanden – auf einen Angemessenheitsbeschluss der Europäischen Kommission (DSGVO, Artikel 45), der die Unbedenklichkeit der Datenübertragung in das jeweilige Drittland feststellt. Oder sie stellen, gemeinsam mit ihrem Anbieter, sicher, dass sowohl der Transfer als auch die Speicherung und Verarbeitung ausreichend geschützt sind – durch Standarddatenschutzklauseln, Garantien und zusätzliche technische Maßnahmen (DSGVO, Artikel 46).
Nutzer von Microsofts Public Cloud-Anwendungen hatten es dank dieser Regelung lange Zeit leicht, den DSGVO-Vorgaben gerecht zu werden.
Denn um europäischen Unternehmen die Nutzung von als notwendig erachteten US-amerikanischen IT-Anwendungen zu erleichtern, hatte die Europäische Kommission bereits im Jahr 2000 den Safe Harbour-Beschluss verabschiedet. Dieser ermöglichte es europäischen Unternehmen, personenbezogene und personenbeziehbare Daten in Übereinstimmung mit der DSGVO aus der Europäischen Union in die USA zu transferieren, wo sie gespeichert und verarbeitet werden konnten.
Bestand hatte dieser Beschluss jedoch nur bis zum 6. Oktober 2015. Im Zuge der Enthüllungen über die Datenzugriffsmöglichkeiten amerikanischer Behörden durch Edward Snowden hatte ein Datenrechtsaktivist vor dem EUGH geklagt und Recht bekommen.
Den Unternehmen entstanden durch diese Entscheidung jedoch kaum nennenswerte Komplikationen. Denn mittlerweile hatte das Privacy Shield-Abkommen gegriffen. Hierbei handelte es sich um eine informelle datenschutzrechtliche Absprache zwischen der Europäischen Kommission und der US-amerikanischen Regierung. Das Abkommen hielt fest, dass dank eines grundlegenden Entgegenkommens der US-Regierung das Datenschutzniveau der Europäischen Union für europäische Daten auch in den USA als gesichert betrachtet werden könne.
Schon bald sollte das von der Kommission postulierte Entgegenkommen der US-Regierung jedoch in Frage gestellt werden.
Denn am 23. März 2018 verabschiedete der US-Kongress den Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Das Gesetz gestattet es US-Behörden, auf die gespeicherten Daten von Unternehmen, deren Hauptsitz in den USA liegt oder die eine Tochtergesellschaft in den USA unterhalten, zuzugreifen.
Letztlich handelt es sich um eine Ergänzung des älteren Patriot Acts, der alleine es US-Behörden noch nicht gestattet hatte, auf Daten zuzugreifen, die sich auf Servern außerhalb der USA befinden. Der CLOUD Act nun, verpflichtet US-Unternehmen – wozu selbstverständlich auch Microsoft zählt – US-Behörden den Zugriff auf alle auf ihren Servern gespeicherten Daten zu erlauben – unabhängig davon, ob diese Server sich nun inner- oder außerhalb der USA befinden, ob es sich um ihre oder die Daten ihrer Kunden handelt – und dies alles unter Umgehung jeglicher richterlichen Kontrolle.
CLOUD Act
A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.
Am 16. Juli 2020 erklärte der EUGH deshalb im Schrems-II-Urteil das zwischen EU und USA ausgehandelte Privacy Shield-Abkommen für ungültig. In seinem Urteil traf der EUGH, gestützt auf Artikel 46 der DSGVO, sechs Feststellungen:
Europäische Unternehmen, die Public Cloud-basierte Microsoft-Anwendungen nutzten, gerieten und geraten durch das Urteil in ein Dilemma. Denn wie sollen sie diesen Vorgaben praktisch gerecht werden können?
Der Cloud Act macht es Microsoft praktisch unmöglich, seinen Nutzern Garantien dafür zu geben, dass sie bei der Nutzung seiner Public Clouds eine ausreichende Kontrolle über ihre Daten behalten. Microsoft kann durch das Gesetz sogar dazu verpflichtet werden, gegenüber seinen Kunden über eine etwaige behördliche Anfrage Stillschweigen zu wahren.
Nicht ohne Grund hat der Landesbeauftragte für Datenschutz von Mecklenburg-Vorpommern Anfang 2021 erklärt, dass ein DSGVO-konformer Public Cloud-basierter Einsatz von Microsoft Office 365-Anwendungen praktisch nicht mehr möglich ist. Er riet zum Einsatz von alternativen Produkten.
Nun einfach von einer Public Cloud-Lösung ihrer Microsoft-Anwendungen abzurücken ist für die meisten der betroffenen Unternehmen aber keine Option. Denn On-Premises- und Private Cloud-Lösungen erfordern, wie eingangs erwähnt, hochspezialisierte IT-Experten – zum Betrieb der Infrastruktur und zum Schutz der Daten. Diese Experten sind rar gesät. Gerade kleinen und mittleren Unternehmen mangelt es häufig an den erforderlichen Ressourcen, sich hier – auf die Schnelle – ein geeignetes Team zusammenzustellen.
Der einzig gangbare Ausweg, in juristischer wie technischer Hinsicht, dürfte für die meisten Unternehmen deshalb in der Migration in eine DSGVO-konforme Public Cloud-Infrastruktur innerhalb Europas liegen.
Doch wie hat eine solche europäische Lösung auszusehen? Wie schon erwähnt, müssen auch europäische Service-Anbieter garantieren, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, um einen ausreichenden Schutz der eingespeisten Daten sicherzustellen.
Eine von der DSGVO explizit angesprochene Maßnahme stellt die Datenverschlüsselung dar (Rn. 83). Sie soll möglichst schon beim Transport der Daten zum Verarbeiter greifen.
Wie eine DSGVO-konforme Lösung konkret aussehen kann, zeigt der File Service des deutschen Anbieters DRACOON. Das Unternehmen hat seinen Hauptsitz in Regensburg, verfügt über keine Niederlassung oder Tochtergesellschaft in den USA und stellt seinen Nutzern ausschließlich Server in ISO27001-zertifizierten Rechenzentren an europäischen Standorten zur Verfügung.
Eine automatisierte Ende-zu-Ende-Verschlüsselung inklusive einer clientseitigen Verschlüsselung ist integriert und verhindert Datenzugriffe und -manipulationen durch DRACOON oder seine Administratoren. Die Schlüssel zum Ver- und Entschlüsseln der Daten verbleiben stets und ausschließlich beim Kunden. Keine Berechtigungsstrukturen oder Klassifizierungen werden aufgebrochen. Die ursprünglich vom Nutzer in die Cloud exportierte Datenstruktur bleibt immer vollständig gewahrt.
Ein weiteres Plus: Dank Privacy by Default und Privacy by Design ist der File Service von Beginn an vollständig DSGVO-konform eingerichtet.
Ein offenes JSON/REST-API und SDKs ermöglichen eine unkomplizierte Integration des File Service in Prozesse und Anwendungen des Nutzers. Daten aus Microsoft Office 365 können direkt in der Cloud abgespeichert werden.
Nutzern von Microsoft Teams und Microsoft Outlook stehen darüber hinaus Ad-Inns zur Verfügung, die es ihnen erlauben, Daten, die über diese Anwendungen versendet werden, direkt und DSGVO-konform in der DRACOON-Cloud abzuspeichern und diese bei Bedarf auf sicherem Wege mit Kollegen zu teilen bzw. an diese weiterzuleiten – ohne auch nur einmal von Microsoft betriebene Cloud-Server genutzt zu haben.
Ausgerüstet mit DRACOONS File Service können Unternehmen so auch weiterhin von den Vorzügen ihrer Microsoft-Anwendungen profitieren – ohne auf die Vorteile einer Public Cloud-Lösung verzichten zu müssen und ohne mit den Vorgaben der DSGVO in Konflikt zu geraten.
1 Min. Lesezeit
Eva Janik : 27.09.22 00:00
WeTransfer ist ein beliebter Dienst zum Versenden großer Dateien, bietet jedoch nur teilweise verschlüsselte Datenübertragungen und speichert Daten...
Datenbeschützerin Regina Stoiber : 16.05.22 00:00
Cloud-Services müssen im Hinblick auf Datenschutz und Compliance sorgfältig ausgewählt werden, wobei der Standort des Servers und die Einhaltung der...
1 Min. Lesezeit
DRACOON : 22.12.21 00:00
Im Vergleich sind die sichersten Cloud-Speicher 2023 DRACOON, Tresorit und Microsoft OneDrive. Den größten kostenlosen Speicherplatz bieten MEGA (20...
Eva Janik