[Gastbeitrag] Verhindert Microsofts neue „deutsche Cloud“ den amerikanischen Datenzugriff?

Michael Rath: Datenschutzrecht

Spätestens mit der Facebook-Entscheidung des EuGH im Oktober 2015 und der Absage an „Safe Harbor“ hat der transkontinentale Datenaustausch die nächste Eskalationsstufe erreicht. Den zunehmenden Vertrauensverlust europäischer Unternehmen an ein angemessenes Datenschutzniveau bei US-Providern konnte auch das zuletzt von der Europäischen Kommission in Aussicht gestellte Nachfolgemodell, der European Privacy Shield“ nicht stoppen. Sind die Daten europäischer Unternehmen bei US-Providern überhaupt noch sicher?

Wenn es nach Microsoft geht, ist die Antwort klar. Mit der deutschen Cloud sollen Kunden hierzulande künftig die alleinige Kontrolle über ihre Daten ausüben können. Das soll die Konstruktion der Datentreuhand (ausgeübt von T-Systems) sicherstellen. Denn wenn das Modell richtig funktioniert, kann die neue Microsoft-Cloud ab Mitte 2016 ein Abwehrmittel gegen den Zugriff von ausländischen Behörden sein. Gleichzeitig wären möglicherweise auch die datenschutzrechtlichen Probleme um die Datenverarbeitung durch US-Provider vom Tisch.

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz.

Dr. Michael Rath ist unter anderem Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI. Er berät nationale und internationale Unternehmen im IT-Recht, Datenschutz, e-Discovery, IT-Vergabe, beim IT-Outsourcing und bei der Umsetzung von (IT-)Compliance und IT-Security-Anforderungen.

Christoph Maiworm berät internationale und nationale Mandanten zu Rechtsfragen des Informationstechnologie- und Datenschutzrechts. Sein Tätigkeitsschwerpunkt liegt auf der Erstellung und Verhandlung von IT-Verträgen, einschließlich IT‑Outsourcing, Cloud Computing, IT‑Projektverträge, Lizenzverträge und Service Level Agreements.

Einen weiteren Schwerpunkt seiner Tätigkeit bildet die Beratung im Datenschutzrecht, insbesondere die Prüfung der Zulässigkeit zukünftiger Datenverarbeitung sowie die Prüfung und Bewertung der internen Datenschutzorganisation.

NSA & Co.: Der lange Arm des amerikanischen Gesetzes

US-Provider wie Microsoft oder Google können unter bestimmten Umständen verpflichtet werden, Daten an US-Behörden herauszugeben – selbst wenn diese in europäischen Rechenzentren gespeichert sind. Solche Herausgabepflichten ergeben sich beispielsweise aus dem US Patriot Act. Dass die Daten gar nicht in den USA, sondern in europäischen Rechenzentren liegen und auch dort verarbeitet werden, spielt dabei zunächst keine Rolle. Denn solange die Muttergesellschaft des US-Providers ihren Sitz in den USA hat, können die Verpflichtungen aus dem Patriot Act auch die europäischen Tochterunternehmen treffen. Die Provider werden bei den Herausgabe-Anordnungen häufig zur Verschwiegenheit verpflichtet. Deshalb ist nicht abschließend bekannt, in welchem Umfang die US-Behörden Gebrauch von diesen Zugriffsrechten machen. Die Betroffenen – also diejenigen deren Daten herausgegeben werden – erlangen daher meist auch keine Kenntnis von den Eingriffen – einer der Hauptkritikpunkte des Europäischen Gerichtshofs in seiner Facebook-Entscheidung.

Amerika FlaggeAnschaulich wird dies in dem noch anhängigen „Microsoft Ireland Case“, ein Gerichtsverfahren, in dem Microsoft sich gegen die Herausgabe von Kundendaten aus einem Rechenzentrum in Irland zur Wehr setzt. Ausgangspunkt des Verfahrens ist das Auskunftsverlangen einer US-Behörde im Zusammenhang mit einer strafrechtlichen Ermittlung wegen Drogenhandels. Die Daten, auf die die US-Behörde Zugriff begehrt, werden von Microsoft auf Servern in Irland gespeichert. Das zuständige Bezirksgericht Southern District of New York (SDNY) hatte im April 2014 Microsoft verpflichtet, die Daten aus dem irischen Rechenzentrum herauszugeben. Das Gericht vertrat dabei die Auffassung, dass der physische Speicherort der Daten nicht entscheidend sei. Es komme allein darauf an, wer im Besitz der relevanten Informationen sei, letztlich also die Kontrolle hierüber habe. Ein Unternehmen, das dem US-Recht unterliegt und die Kontrolle über relevante Daten hat, habe diese Daten auf Anforderung einer US-Behörde herauszugeben, unabhängig davon, wo diese gespeichert sind. Microsoft hatte daraufhin zwar einzelne auf US-Servern gelegene Daten ausgehändigt. Im Übrigen hatte Microsoft aber die Herausgabe der in Irland gespeicherten Daten verweigert. Hiergegen hatte sich Microsoft mit den zur Verfügung stehenden Rechtsmitteln gewehrt. Eine zunächst eingelegte Beschwerde blieb aber ohne Erfolg. Die von Microsoft sodann eingelegte Berufung ist gegenwärtig noch anhängig. Das Berufungsgericht hat die Parteien zuletzt im September 2015 zu dem Fall angehört. Sollte das Berufungsgericht der erstinstanzlichen Auffassung folgen und den Zugriff durch US-Behörden erlauben, ist die Durchsetzung von US-Recht gegenüber europäischen Gesellschaften mit Konzernbeteiligung in den USA einmal mehr bestätigt. Diesem langen Arm des amerikanischen Gesetzes will Microsoft jetzt aber das Konstrukt der Datentreuhand entgegenhalten.

"Deutsche Cloud"

Das neue Konzept der deutschen Microsoft Cloud

Schon bisher hatte Microsoft seinen europäischen Kunden die Möglichkeit gegeben, durch den Abschluss von Zusatzverträgen, wie den EU-Standardvertragsklauseln, die Datenverarbeitung bei ihren Cloud-Produkten abzusichern. Auch die ausschließliche Datenverarbeitung in Rechenzentren innerhalb der Europäischen Union war Teil des existierenden Microsoft Angebots (für „Microsoft Azure“ insbesondere in Irland und den Niederlanden).

Durch die „deutsche Cloud“ bietet Microsoft nun aber weitere technische und vertragliche Neuerungen. Zunächst stellt Microsoft sicher, dass die Kundendaten der deutschen Cloud die teilnehmenden deutschen Rechenzentren zu keinem Zeitpunkt verlassen. Dafür trägt ein eigenständiges deutsches, vom öffentlichen Internet getrenntes, Datennetzwerk zwischen den Rechenzentren Sorge. Sogenannte Role Based Access Control (RBAC)-Tools kontrollieren dabei jeglichen Zugriff auf Kundendaten. Microsoft-Mitarbeiter erhalten selbst keinerlei administrative Rechte. Dadurch ist Microsofts Möglichkeit auf Kundendaten zuzugreifen unterbunden. Allein einzelfallbezogen werden Microsoft von T-Systems noch zeitlich befristet, zwingend erforderliche Zugriffsrechte gewährt. Die Rechteeinräumung und rein tatsächliche Kontrolle übernimmt einzig der Datentreuhänder T-Systems.

In vertraglicher Hinsicht gibt es weiterhin den normalen Lizenzvertrag, den ein Kunde zur Nutzung der Cloud-Services mit Microsoft schließt. Allerdings werden bei der deutschen Cloud zusätzliche „Treuhandvereinbarungen“ zwischen Microsoft, T-Systems und dem einzelnen Kunden geschlossen. Diese Zusatzverträge legen fest, dass ausschließlich die T-Systems als „deutscher Datentreuhänder“ des Kunden den physischen und technischen Zugriff auf die Kundendaten erhält. Nach dem Treuhandvertrag wird alleine T-Systems berechtigt Zugriff auf die Kundendaten und/oder auf die Infrastruktur der deutschen Cloud zu nehmen. Die dargestellte technische Infrastruktur stellt sicher, dass auch nur T-Systems als Datentreuhänder faktisch hierzu in der Lage ist. Soweit Microsoft dennoch Zugriff auf die Infrastruktur benötigt, kann dies nur mit Hilfe von T-Systems erfolgen: Streng nach den Vorgaben der vertraglichen Vereinbarungen oder aber der expliziten Erlaubnis des Kunden. Solche rein temporären Datenzugriffe durch Microsoft werden von T-Systems aber nach dem Treuhandvertrag nur gewährt (und sind abschließend limitiert) auf zwingend erforderliche Fehlerbehebungen und Wartungen.

Kann das neue Konzept US-Gerichte überzeugen?

Entscheidend ist, ob dieses Konzept der Datentreuhand im Ergebnis einen Zugriff auf in Deutschland gelegene Daten aus den USA heraus verhindern kann. Denn US-Behörden und –Gerichte gehen regelmäßig – wie auch in dem dargestellten „Microsoft Ireland Case“ – davon aus, dass Ansprüche und Herausgabeverlangen auch unmittelbar gegen europäische Gesellschaften bestehen. Gestützt wird dies auf den weitgehend übereinstimmenden Wortlaut der einschlägigen US-Gesetze. Darin wird US-Behörden die Berechtigung eingeräumt, Anordnungen („warrants“, „subpoenas“, „administrative orders“ und „judicial orders“) gegenüber amerikanischen Gesellschaften zu erlassen, die auf die Herausgabe von Daten gerichtet sind, die sich „in custody, possession or control“ der amerikanischen Gesellschaft befinden.

Statue of justiceUS-Gerichte legen diese Kriterien regelmäßig so aus, dass von amerikanischen Gesellschaften auch Daten herausverlangt werden können, die im Ausland lokalisiert sind. Denn nach Ansicht der US-Richter kommt es vornehmlich darauf an, ob der amerikanischen Gesellschaft der Zugriff auf die avisierten Daten tatsächlich möglich ist. Dabei erachten US-Gerichte es meist als ausreichend, dass die amerikanische Gesellschaft die tatsächliche Möglichkeit hat, diese Daten (bspw. aufgrund gesellschaftsrechtlicher oder vertraglicher Beziehungen) bei einer ausländischen Gesellschaft anzufragen. Häufig wird bereits als ausreichend betrachtet, wenn eine amerikanische Gesellschaft rein technisch dazu in der Lage ist, auf die Daten zuzugreifen. Ob die amerikanische Gesellschaft das Eigentum oder den physischen Besitz an den Daten hat, ist nicht ausschlaggebend.

Bei der deutschen Cloud hat Microsoft allerdings (von den zuvor dargestellten, sehr limitierten Möglichkeiten einmal abgesehen) weder einen technischen Zugang, noch kann Microsoft regelmäßig bzw. routinemäßig Zugriff auf die Daten in den Rechenzentren des Datentreuhänders nehmen. Microsoft steht in dem neuen Datentreuhand-Modell außerdem gerade kein Recht zu, auf die Daten zuzugreifen. Dies obliegt allein dem Datentreuhänder T-Systems und natürlich den jeweiligen Kunden. Der physikalische und logische Zugriff auf die Daten ist Microsoft dadurch verwehrt. Wenn aber keine faktische Zugriffsmöglichkeit für Microsoft besteht, können bei Microsoft auch die Eingriffsbefugnisse, beispielsweise nach dem US Patriot Act, nicht mehr greifen.

Schutzschild Deutsche Cloud

Konkurrenz von Zalando und AmazonDie deutsche Microsoft-Cloud mit dem Datentreuhänder T-Systems bietet überzeugende Argumente. Denn wenn US-Behörden ab Mitte 2016 auf Kundendaten der neuen Cloud zugreifen wollen, stehen dem die dargestellten Treuhand-Vereinbarungen entgegen. Einem Verlangen kann dann nur nachgegeben werden, wenn die Herausgabe der Daten nach den Treuhandvereinbarungen zulässig ist. Es ist also nicht (mehr) allein deutsches Datenschutzrecht, was der Herausgabe entgegensteht. Auch die vertraglichen Regelungen mit Dritten (T-Systems und deren Kunden) und die technischen Besonderheiten der deutschen Cloud müssten überwunden werden. Letztendliche Klarheit darüber, ob ein vollständiger Datenzugriff verhindert werden kann, werden allerdings erst nachfolgende Urteile der US-Gerichte zeigen.

So Finden Sie Die Passende Cloud

So finden Sie die passende Cloud

Lesen Sie jetzt den Rückblick der World of Cloud! Hier erfahren Sie unter anderem, warum Zalando auf die Cloud von Amazon zurückgreift und wie man einer Disruption entgehen kann.
Jetzt kostenlos herunterladen!

Bildnachweise: Fotolia/Melpomene | sebra | Helmut Niklas | lassedesignen

Marina Vogt

Bei Management Circle bin ich für die Digitalisierungs- und Immobilien-Themen sowie die Assistenz-Veranstaltungen zuständig. In den drei Blogs informiere ich Sie über neue Entwicklungen in diesen Bereichen. Vor meiner Tätigkeit bei Management Circle habe ich Germanistik in Frankfurt und Paderborn studiert. Ich freue mich über Fragen, Anregungen und einen
regen Wissensaustausch!

Dieser Beitrag hat einen Kommentar

  1. Z.B. O365 in einer ausschließlich in Deutschlandgehosteten Cloud unter rechtlich zuverlässigen Datenschutzregularien tangiert nur ein Teil künftiger Herausforderung bei der Nutzung von MS-Software.
    Ein essentielles Datenrisiko stellen nicht nur direkte Updates oder Patches von MS-Servern für z.B. Betriebssystembestandteile (Evergreen-Philosophie) in zentral gemanagte Firmenrechner (PC) dar. Neben privater IP-Adressen (Firmenlaptop wird zuhause aktualisiert), eindeutigen Client-ID, etc.; sind vorher ggf. ergänzende Datenattribute (u.a. eMail-Adresse Firma mit Mitarbeiterbezug, USER-Account, aus dem Corporate-AD gegenüber MS zu offenbaren. Der unmittelbare Download erfolgt dabei autark zwischen Firmen-PC und MS-Servern, wobei das BITS-Protokoll über Port80 auf für Upload-Vorgänge taugt und nicht wirklich im Sinn mehrstufiger Firewall-Reglementierungen „gefiltert“ (zuzüglich fehlender Syntax-Transparenz) werden kann.
    Was alles so aus PC abgefragt werden darf (?), wird z.B. aus den Ausführungen unter dem Begriff „SW-Validierungen“ in den MS-Online-Service-Terms (OST) klar erkennbar; und MS kennt ja wohl seine eigenen SW-Möglichkeiten am Besten.
    Was für den private Datenschutz (Verhaltenstracking, Profiling, Nutzerdaten, etc.) bei der Nutzung von MS-Software schon als kritisch bezeichnet werden muss, könnte für geschäftliche PC-Nutzung (WanaCry, Wirtschaftsspionage, technisch verdeckte Datenschutzzugriffsrisiken, uvm.) zum Super-GAU führen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Low Power Wide Area (LPWA) wird das Internet of Things revolutionieren!

Erfahren Sie, was es mit LPWA auf sich hat, welche Technologien es bereits gibt und welche Branchen von diesen Netzwerken profitieren werden.

Jetzt herunterladen!

Download: Wird LPWA das Internet of Things revolutionieren?