Vor kurzem haben wir einen kritischen Artikel zum Einsatz des Cloud-Dienstes MS Office 365 veröffentlicht und auf die datenschutzrechtlichen Probleme beim Einsatz der Cloud-Technologie hingewiesen.
Seit Dezember 2011 bietet Microsoft nunmehr neue Datenschutzverträge und ein sogenanntes Trust-Center zur Kundenberuhigung an.
Unsere Begeisterung hält sich in Grenzen...
Was ist neu?
Microsoft reagiert auf die kritischen Berichte zur Datenschutz-Problematik. Seit Dezember 2011 bietet es Unternehmen, die beabsichtigen, Office 365 einzusetzen, eine datenschutzrechtliche Regelung nach den sogenannten EU-Standardvertragsklauseln als Ersatz zur Safe-Harbor-Zertifizierung an. Diese Standardvertragsklauseln sind von der EU festgelegt (daher "Standard") und reglementieren die datenschutzrechtlichen Verpflichtungen von Auftragnehmer und Auftraggeber.
Außerdem hat Microsoft im Web einen "Trust-Center" bereit gestellt, der die Kunden über die Datenschutzaktivitäten informieren soll. Microsoft geht explizit auf die Problematik der Serverstandorte ein und stellt auf dieser Unterseite des "Trust-Centers" die Möglichkeit dar, Office 386 nur auf Servern innerhalb definierter geografischer Bereiche (Europa, Asien, USA) einzusetzen.
Was bringt's?
Klingt erstmal gut, berührt aber leider nicht den Kern des Problems:
Denn nach wie vor werden in den Vereinigten Staaten die Persönlichkeitsrechte durch den "Patriot Act" deformiert. Und Microsofts neue Datenschutz-Verträge ändern nichts daran, dass es als amerikanisches Unternehmen den Verpflichtungen aus dem "Patriot Act" nachkommen muss, d.h. Daten an US-Behörden heraus rücken muss. (mehr dazu in unserem bereits in der Einleitung angeführten Artikel)
Dass diese Problematik weiterhin besteht, ist Microsoft offensichtlich bewusst. Darauf angesprochen, verweist das Unternehmen darauf, dass in der Vergangenheit nicht nur der FBI, sondern auch der BND auf Datensätze zugegriffen hätte (Golem.de). Der Hinweis unterschlägt jedoch, dass der Zugriff auf Computernetze in Deutschland Gegenstand einer heftigen öffentlichen und rechtlichen Debatte ist. Das Bundesverfassungsgericht hat sich hier klar positioniert und lehnt die Überwachung ohne richterliche Kontrolle ab. Im Golem.de-Artikel verweist Microsoft darauf, dass Zugriffe der amerikanischen Behörden richterlich genehmigt sein müssen. Das ist jedoch nicht der Fall. Das FBI hat die Befugnis, sogenannte "National Security Letters" zu erlassen, die eine Datenherausgabe auch und gerade ohne richterliche Prüfung ermöglichen. (ix)
Die Datenschutzerklärung von Microsoft zum Einsatz von Online-Diensten erklärt hierzu (unter FAQ) lapidar, dass eine Weitergabe von Daten an Dritte ohne Kenntnis des Nutzers erfolgen kann, um rechtlichen Erfordernissen nachzukommen, aber auch aus anderen Gründen. Welche anderen Gründe zu einer Weitergabe führen, lässt das Unternehmen offen. Ebenso wie die Frage, wie diese Klausel mit den europäischen Datenschutznormen konform sein sollen. Da hilft dann auch die mit allerlei Einschränkungen und Relativierungen versehene Erklärung nicht wirklich weiter, dass Microsoft vor Herausgabe von Daten an Justizbehörden (Ist das FBI eine Justizbehörde?) die Kunden informieren wolle - wenn dies "kommerziell vertretbar" sei und "nicht gesetzlich verboten". (letzte FAQ)
Ärgerlich ist auch, dass Microsoft auf der oben bereits angeführten derselben Webseite suggeriert, Daten könnten auf Kundenwunsch im europäischen Rechtsraum gehalten werden. Das stimmt offenbar nicht. Zum einen werden diverse Onlineservices und auch Back-Up-Server an außereuropäischen Standorten bereit gestellt, zum anderen räumt Microsoft selbst in seinen FAQ ein, dass Daten auch außerhalb der ausgewählten "primären Speicherregion" gespeichert werden können. Darüber hinaus stellt Microsoft fest, dass es seinen Kunden keine Auskunft geben wird, an welchen konkreten Serverstandorten die Daten gespeichert werden. Geheimniskrämerei statt versprochener Transparenz.
Auch eine eigenständige Kontrolle der Datenschutzauflagen durch die Kunden lehnt Microsoft explizit ab.
Passt dies alles wirklich mit deutschen Datenschutzanforderungen zusammen? Microsoft beansprucht in seiner Presseerklärung für sich die "Führung des Datenschutzes beim Cloud Computing". - Wir unterstellen Microsoft ein sehr amerikanisches Verständnis des Datenschutzgedankens...
Dirk Hammann,
Dirk.Hammann@tse.de