Microsoft / Cloud-Strategie
Bremsklotz Datenschutz

In punkto Cloud ist Deutschland für Microsoft traditionell ein schwieriger Markt. Als größtes Hindernis für die US-Firma erwiesen sich in der Vergangenheit der Datenschutz und die Attacken der eigenen Regierung. Nun fängt das Hick-Hack von vorne an.

Für deutsche Kunden will Microsoft seine Cloud-Dienste künftig aus deutschen Rechenzentren liefern. Die Dienste Microsoft Azure, Office 365 und Dynamics 365 sollen ab 2019 in vollem Funktionsumfang aus den neuen Rechenzentren in Frankfurt und Berlin bereitgestellt werden. Azure soll im vierten Quartal des Kalenderjahres 2019 allgemein verfügbar werden.

Office 365 soll im ersten Quartal Kalenderjahr 2020 folgen sowie Dynamics 365 im Laufe des Jahres 2020. „So profitieren Geschäftskunden aller Größen und Branchen von der vollen Funktionalität und den hohen Sicherheits- und Datenschutz-Standards der globalen Microsoft-Cloud-Dienste“, verspricht das Unternehmen in er Firmenmeldung. „Gleichzeitig können sie individuelle Compliance-Anforderungen erfüllen.“

Nur ein Bekenntnis, keine Garantie

Die Ankündigung, die Microsoft auf seiner Homepage veröffentlichte, strotzt geradezu vor Sicherheitsversprechen. Da ist von Trusted-Cloud-Grundsätzen, Compliance-Testaten sowie von einer Zertifizierung nach dem Anforderungskatalog „Cloud Computing Compliance Controls Catalogue“ (C5) die Rede. C5-zertfifizierte Rechenzentren genießen in Sachen Datensicherheit den Segen der obersten IT-Sicherheitsbehörde in Deutschland, des Bundesamtes für die Sicherheit in der Informationstechnik (BSI).

Das größte Problem für Microsoft ist es allerdings nicht, technische Vorkehrungen zu treffen, damit Daten nicht verloren gehen. Das größte Problem für Microsoft ist es, den hiesigen Datenschutz-gesetzen gerecht zu werden. In der Ankündigung spricht die US-Firma lediglich von einem Bekenntnis „zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) für unsere Cloud-Dienste“. Eine Garantie aber gibt sie nicht.

Kann sie auch nicht. Denn der CLOUD-Act der US-Regierung macht das unmöglich. Wieder einmal.

Das Geschäftsmodell Cloud bleibt in den Startlöchern kleben

In punkto Cloud ist Deutschland für Microsoft traditionell ein schwieriger Markt. Als das Softwarehaus dieses Geschäftsmodell auf den Markt brachte, versuchte es zunächst, seine Cloud-Dienste aus irischen Rechenzentren heraus nach Deutschland zu liefern. Damit aber biss es bei Unternehmen auf Granit. Diese wollten Sicherheiten, die dem nationalen Bundesdatenschutzgesetz (BDSG) entsprachen. Die aber gab es in Irland nicht. Das Cloud-Geschäft in Deutschland blieb jahrelang in den Startlöchern kleben.

Für große Verunsicherung sorgte nicht zuletzt der zähe Rechtsstreit, den Microsoft mit der US-Regierung führte. Letztere verlangte zu Strafverfolgungszwecken die Herausgabe von E-Mails, die in den irischen Rechenzentren gespeichert waren. Microsoft entschloss sich daher 2015 für einen deutschen Sonderweg und vereinbarte mit dem IT-Dienstleister T-Systems ein Treuhänder-Modell. Der Deal: Microsoft stellte seine Cloud-Dienste aus den T-Systems-Rechenzentren in Frankfurt und Magdeburg heraus bereit, bekam aber keinen Zugriff auf die Daten. Die Folge: Die Debatte beruhigte sich. Die Cloud-Dienste von Microsoft kamen aus den Negativ-Schlagzeilen heraus.

Microsoft kündigt Treuhand-Modell auf

Vier Jahre später kündigt Microsoft das Treuhänder-Modell nun ab und den Aufbau eigener Rechenzentren in Deutschland an. Viele gute Gründe sprechen dafür: Das Treuhand-Modell schuf eine deutsche Insel-Lösung, die nur eingeschränkte Cloud-Funktionalitäten bot. Zudem mussten Kunden für die Treuhänderschaft der T-Systems einen Aufschlag bezahlen. Mit der DSGVO wurden die Datenschutzgesetze im Mai 2018 sogar europaweit harmonisiert. Für Kunden schafft das zusätzliche Rechtssicherheit. Alle Voraussetzungen schienen geschaffen, um das Cloud-Geschäft von Microsoft in Deutschland, endlich zum Fliegen zu bringen.

Doch weit gefehlt. Denn die US-Regierung wirft dem Unternehmen neue Knüppel zwischen die Beine. Der Rechtstreit um die irischen E-Mails wurde zwar ohne Urteil beigelegt. Der neue CLOUD-Act aber sorgt für neuen Wirbel.

CLOUD-Act sorgt für neuen Wirbel

Die US-Regierung erließ den CLOUD-Act im März 2018. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data”. Das Gesetz verpflichtet US-amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Unklar erscheint zum jetzigen Zeitpunkt daher, ob der CLOUD-Act mit der DSGVO vereinbar ist. Offenbar nicht, meinen sowohl Laien und Experten. Eine endgültige Klärung wird es aber wohl erst dann geben, wenn EU-Gerichte Präzedenzurteile fällen. Bis dahin wird Microsoft mit dem Verdacht leben müssen, dass seine Cloud-Dienste für Unternehmen nach wie vor keine Rechtssicherheit bieten. Es bleibt abzuwarten, wie die deutsche Kundschaft darauf reagiert.

Sechs Prinzipien für einen besseren Datenschutz

Microsoft jedenfalls hat bereits reagiert. Am 11. September 2018 veröffentlichte das Unternehmen ein Schreiben, in dem es sechs Prinzipien formulierte, die die Zugriffsmöglichkeiten der US- Sicherheitsbehörden eingrenzen und die internationale Debatte darüber beeinflussen sollen. Dabei wird deutlich: Selbst rudimentäre Schutzvorkehrungen wie das Einholen einer richterlichen Genehmigung oder die Aufklärung der Betroffenen sieht der CLOUD-Act bislang nicht vor.

“Wir fühlen uns verpflichtet, unsere weltweite Zusammenarbeit mit Regierungen, gesellschaftlichen Gruppen und unseren Kunden fortzusetzen, um die Forderung nach neuen Gesetzen Nachdruck zu verleihen, die den Herausforderungen des digitalen Zeitalters gerecht werden“, schreibt Microsoft Chef-Jurist Brad Smith.

Tatsächlich hat sein Unternehmen in der Vergangenheit mehrfach öffentlich Stellung zu datenschutzrechtlichen Fragen bezogen. Allerdings stand es damit meist allein auf weiter Flur. Deutsche Kunde von US-Cloud-Providern wie Salesforce, Amazon oder IBM sind vom CLOUD-Act gleichermaßen betroffen. Öffentliche Aufklärung aber ist von diesen Dienstleistern – das zeigen frühere Erfahrungen - nicht zu erwarten. 

Veröffentlicht am 08.10.2018