Schutz vor US-Geheimdiensten Microsoft will EU-Daten auch in der EU verarbeiten

Ein neues Microsoft-Angebot lockt mit einer Art »EU-Datengrenze«: Ganz sicher vor dem Zugriff durch US-Behörden sind gespeicherte Daten dadurch aber noch nicht. Dazu müssten die Nutzer aktiv werden.
Microsoft-Präsident Brad Smith: Verspricht den Schutz von Kundendaten

Microsoft-Präsident Brad Smith: Verspricht den Schutz von Kundendaten

Foto:

Tobias Hase / dpa

Beim Datenschutz stehen die Vereinigten Staaten aus Sicht des Europäischen Gerichtshofs (EuGH) in einer Reihe mit Russland und China. Für Unternehmen und öffentliche Verwaltungen in Europa ist die Zusammenarbeit mit Cloud-Diensten von US-Konzernen wie Amazon, Google und Microsoft vor allem deshalb heikel, weil die US-Geheimdienste unter Umständen Zugriff auf die dort gespeicherten Daten haben. Microsoft hat nun eine weitreichende Produktoffensive gestartet, um auf diese Datenschutzbedenken in Europa einzugehen.

Microsoft-Kunden in der Europäischen Union sollen ihre Daten künftig ausschließlich in der EU verarbeiten und speichern lassen können. »Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen«, kündigte Microsoft-Präsident Brad Smith am Donnerstag in einem Blogeintrag  an.

Microsoft reagiert damit auf zwei Urteile des EuGH zum Datenaustausch zwischen den USA und Europa. Auf Betreiben des Datenschutzaktivisten Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die Vereinbarung »Safe Harbor« gekippt. Im vergangenen Juni brachte Schrems vor dem EuGH auch die Nachfolgeregelung »Privacy Shield« zu Fall.

US-Geheimdienste haben weitreichende Möglichkeiten

Mit den beiden Urteilen wurde dem kommerziellen Transfer von Daten in die USA teilweise das rechtliche Fundament entzogen. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Als kritisch wird vor allem das US-Gesetz »Cloud Act« betrachtet, das es den US-Geheimdiensten mithilfe von Geheimgerichten ermöglicht, Daten zu beschlagnahmen – auch außerhalb der USA. Die neue US-Regierung unter Präsident Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfassende Datenschutzvereinbarung abzuschließen.

Cloud-Anbieter wie Amazon (AWS), Google und Microsoft waren nach dem ersten EuGH-Urteil zum »Safe Harbor« auf sogenannte Standardvertragsklauseln ausgewichen, in denen sie die Einhaltung von Datenschutzvorschriften zusagten. Außerdem boten die Cloud-Konzerne Serverstandorte in Deutschland und anderen europäischen Ländern an. Mit dem zweiten EuGH-Urteil zur Nachfolgeregelung »Privacy Shield« war aber klar, dass Serverstandort und Vertragsklausel allein nicht ausreichen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu genügen.

Viele Verantwortliche in europäischen Unternehmen und öffentlichen Verwaltungen, die sich fachlich für eine Lösung eines US-Anbieters entschieden hatten, blendeten die wackelige Rechtsgrundlage aus und legten einfach los. Andere schoben die Investitionsentscheidung auf die lange Bank. Nach einer Umfrage des Digitalverbands Bitkom vom November 2020 sind bei mehr als jedem zweiten Unternehmen (56 Prozent) neue, innovative Projekte aufgrund der DSGVO gescheitert. Dabei spielte auch der erschwerte Datenaustausch mit den USA eine gravierende Rolle.

Nur für Geschäftskunden

Das neue Microsoft-Angebot einer »EU-Datengrenze« richtet sich an Unternehmen und den öffentlichen Sektor, nicht an private Anwender. Die Verpflichtung werde für alle zentralen Cloud-Dienste von Microsoft gelten – Azure, Microsoft 365 (inklusive Microsoft Office und Teams) und Dynamics 365. »Wir haben bereits mit den technischen Vorbereitungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämtliche personenbezogenen Daten unserer Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn sie das wünschen«, heißt es in dem Blogeintrag von Smith.

Unklar bleibt aber, ob die Datengrenze die rechtlichen Unsicherheiten beim Datentransfer zwischen Europa und den USA tatsächlich beseitigen kann. Dem Vernehmen nach ist weiterhin Microsoft rechtlich für die Daten in seiner Cloud verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington unterliegt damit der US-Rechtsprechung.

Der österreichische Datenschutzaktivist Max Schrems sieht das Microsoft-Angebot deshalb kritisch: »Nachdem Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben«, sagte Schrems der Deutschen Presse-Agentur. »Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben.«

Microsoft glaubt, einen Ausweg gefunden zu haben: Das Zugriffsrecht der US-Geheimdienste könnte nämlich technisch ausgehebelt werden, wenn die Kunden ihre Daten in der Cloud selbst wirksam schützen. »Bei vielen unserer Services liegt die Kontrolle über die Verschlüsselung der Daten durch die Verwendung von kundenverwalteten Schlüsseln in den Händen der Kunden selbst«, erklärte Microsoft-Präsident Smith. Dabei kämen kryptografische Schlüssel zum Einsatz, die nicht von Microsoft verwaltet werden, sondern von den Kunden selbst. »Zudem schützen wir die Daten unserer Kunden zusätzlich vor einem unzulässigen Zugriff durch staatliche Stellen«, erklärte Smith.

Experten weisen zudem darauf hin, dass der lange Arm der US-Justiz auch bei Anbietern zuschlagen kann, die nicht aus den USA stammen. Jede Firma, die eine Niederlassung in den USA hat, kann in ein rechtliches Verfahren in den Vereinigten Staaten verwickelt werden.

Hinweis: In einer früheren Fassung dieses Artikels wurde fälschlicherweise eine Umfrage des Digitalverbands Bitkom vom November 2010 genannt, die Jahreszahl haben wir korrigiert, es muss 2020 heißen.

mak/dpa