Nach Safe Harbor: Wie sicher sind Microsoft Cloud-Produkte in Deutschland?

Das neue Jahr ist da! Möge es Ihnen, liebe Leser, tolle neue Projekte, viel Erfolg und natürlich auch Glück im Privaten bringen. Während der Gänsebraten und Stollen so langsam verdaut sind, begleitet uns als IT-Berater jedoch ein letztjähriges Thema. Es ist zum Dauerbrenner geworden — der Datenschutz bei US-Unternehmen.

Zur Erinnerung: Im Herbst 2015 hatten die Richter des europäischen Gerichtshofs (EuGH) die Safe-Harbor-Regelung mit den USA aufgehoben. Sie garantierte seit dem Jahr 2000 europäischen Kunden von Cloud Services in den USA ein Datenschutzniveau wie in der Europäischen Union. Doch die Richter kritisierten die US-Praxis: Es gebe keinen Rechtsschutz für EU-Bürger und die Gesetzeslage erlaube US-Behörden den Datenzugriff.

Rechtzeitige rechtliche Vorkehrungen für Microsoft Cloud Services

Die Aufhebung der bequemen Regel bewirkt bei der Nutzung von US-Cloud Services ein datenschutzrechtliches Vakuum. Aber Microsoft reagierte rasch: Es hat zusätzliche rechtliche Regeln eingeführt. Für die Microsoft Cloud gelten jetzt die „EU Model Clauses“ (Standardvertragsklauseln), die mit der EU-Datenschutzrichtlinie und dem Bundesdatenschutzgesetz übereinstimmen.

„Der Microsoft Cloud Service inklusive der Azure Core Services, Office 365, Dynamics CRM Online sowie Microsoft Intune befolgen die EU-Klauseln und sind damit auch abgesichert“, betont Microsoft Justitiar Brad Smith in einem Blogpost. Die deutschen Nutzer dieser Services sind damit wahrscheinlich rechtlich auf der sicheren Seite.

Microsoft hatte sich schon vor einiger Zeit an die Artikel-29-Datenschutzgruppe gewandt. Dies ist ein unabhängiges EU-Beratungsgremium mit Vertretern der nationalen Datenschutzbehörden. Es bestätigte Microsoft bereits im April 2014, dass die Einführung der „EU Model Clauses“ in den Verträgen den strengen EU-Anforderungen für den Datenschutz entspricht.

Nach Safe Harbor: Microsoft ergreift technische Maßnahmen

Microsoft trifft außerdem technische Maßnahmen, um die Datensicherheit zu erhöhen und den Datenschutz zu gewährleisten. Dazu nimmt das Unternehmen einen „erheblichen Ausbau der Verschlüsselung quer durch unsere Services“ in Angriff, wie Brad Smith betont. Weiter nutzt Microsoft zusätzliche Rechenzentren in Deutschland, zunächst in Frankfurt (Main) und Magdeburg. Azure, Office 365 sowie Dynamics CRM Online werden darin von einem deutschen Datentreuhänder betrieben, für den ausschließlich deutsches Recht gelten soll.

Die verschlüsselten Daten der Anwender befinden sich also nur auf deutschem Boden und fallen unter das Bundesdatenschutzgesetz. Kurz: Microsoft unternimmt vieles, damit seine deutschen Kunden die Cloud rechtssicher nutzen können. Damit wird sich hoffentlich im Laufe des Jahres das Datenschutzthema wieder etwas abkühlen — in jedem Fall behalten wir ein Auge hierauf.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.