Seit 2018 schützt die Datenschutz-Grundverordnung (DSGVO) der EU personenbezogene Daten umfassend vor missbräuchlicher Nutzung, regelt das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Insbesondere für die Übertragung personenbezogener Daten in Länder außerhalb der EU, die keinen „angemessenen“ Datenschutz bieten, sieht die DSGVO strenge Regelungen vor. Diese wurden durch das Schrems-II-Urteil des EuGH und die Handlungsempfehlungen des Europäischen Datenschutzausschusses noch weiter verschärft. Welche Maßnahmen Microsoft ergreift, um die Daten seiner Kunden unter Berücksichtigung dieser strengen Anforderungen zu schützen, zeigen wir in dieser Folge „Faktencheck Datenschutz“.
Daten werden heutzutage längst nicht mehr nur im eigenen Rechenzentrum gespeichert, sondern auf Cloud-Servern, die prinzipiell überall auf der Welt stehen können. Das ist an sich kein Problem, denn Cloud-Anbieter wie Microsoft unternehmen große, auch finanzielle Anstrengungen, um ihre Rechenzentren hermetisch gegen unerwünschte Zugriffe zu schützen.
Unter bestimmten Umständen werden Cloud-Anbieter von Regierungsbehörden im Rahmen strafrechtlicher Ermittlungen aber aufgefordert, ihnen relevante Informationen aus den in ihren Rechenzentren gespeicherten Daten zur Verfügung zu stellen. Im März 2018 hat dazu der US-Kongress den Clarifying Lawful Overseas Use of Data Act („CLOUD Act“) ratifiziert. Das Gesetz regelt die Herausgabe von Daten an amerikanische Behörden, auch wenn diese Daten nicht in den USA gespeichert sind, sondern zum Beispiel auf Servern innerhalb der Europäischen Union liegen.
Microsoft erkennt das legitime Interesse von Strafverfolgungsbehörden an, im Rahmen rechtsstaatlicher Ermittlungen auf relevante Informationen zuzugreifen. Bei der Verfolgung etwa von organisierter Kriminalität oder Terrorismus haben Behörden sowohl in den USA als auch in Europa ein berechtigtes Interesse daran, diese Daten schnell zu erhalten.
Allerdings gewähren wir keiner staatlichen Stelle direkten, indirekten, pauschalen oder uneingeschränkten Zugriff auf die Daten unserer Kunden. Sollte Microsoft eine behördliche Aufforderung zur Herausgabe von Daten erhalten, werden wir den Behörden diese Daten nicht zur Verfügung stellen, sondern die anfordernde Behörde direkt an den Kunden verweisen. Sollte die Behörde dennoch die Herausgabe von gespeicherten Inhaltsdaten von uns verlangen, werden wir die Legitimation der verlangten Herausgabe umfassend rechtlich prüfen und, nur wenn sie berechtigt ist, der Aufforderung nachkommen.
Wir sorgen bei solchen Anfragen auch für größtmögliche Transparenz. Allerdings gibt es Geheimhaltungsvorschriften im Rahmen der National Security Letters (NSL) und des Foreign Intelligence Surveillance Act (FISA), die wir beachten müssen. Doch seit 2014 haben wir nach einem Rechtsstreit mit der US-Regierung eine zumindest eingeschränkte Erlaubnis, bestimmte Daten über solche Anfragen zu veröffentlichen. In manchen Fällen bitten wir die Behörden auch um eine Erlaubnis, unsere Kunden über Anfragen zu benachrichtigen. Damit haben wir auch Erfolg, wie in dem Fall eines Unternehmenskunden, bei dem die Regierung den NSL zurückzog, weil sie die Daten direkt vom Kunden erhalten hat.
Zudem gehen wir gerichtlich gegen die US-Regierung vor, um mehr Möglichkeiten für die Offenlegung von Anfragen zur nationalen Sicherheit zu bekommen. Im Jahr 2017 hat das US-Justizministerium als Reaktion auf eine von uns 2016 eingereichte Klage eine neue Richtlinie erlassen, mit der die übermäßig verbreitete Praxis eingeschränkt wird, Anbieter zum Schweigen zu verpflichten, wenn die Regierung auf in der Cloud gespeicherte personenbezogene Daten zugreift. Microsoft-Präsident Brad Smith hat die Entscheidung damals ausdrücklich begrüßt, aber gleichzeitig betont, dass Microsoft damit noch nicht am Ende seiner Bemühungen angekommen ist, gegen zu weit gehende Geheimhaltungsverfügungen vorzugehen. Auch deshalb legen wir die Informationen über nationale Sicherheitsanfragen zweimal jährlich im Rahmen des gesetzlich zulässigen Umfangs zusätzlich zu unserem regulären Law Enforcement Request Report in unserem U.S. National Security Orders Report offen.
Schrems II und die Folgen
Im Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) mit dem sogenannten Schrems-II-Urteil das EU-US-Privacy Shield, auf dessen Grundlage ein transatlantischer Datenaustausch möglich war, für ungültig erklärt. Nach dem Urteil des EuGH sind die EU-Standardvertragsklauseln dagegen weiterhin gültig. Der EuGH hält allerdings zusätzlich zu den Standardvertragsklauseln unter Umständen noch weitere Maßnahmen für erforderlich, um ein angemessenes Datenschutzniveau im Drittland herzustellen. Microsoft hat als Reaktion darauf Anpassungen an seinem Data Protection Addendum (DPA) vorgenommen und darin alle Datenflüsse den Standardvertragsklauseln unterworfen. Zudem hat Microsoft zum Schutz personenbezogener Daten die Verschlüsselung bei der Übertragung und im Ruhezustand implementiert. Entsprechend der Bestimmungen der Product Terms und des DPA speichert Microsoft zudem die meisten Kundendaten im Ruhezustand in der Region, die Unternehmenskunden oder Kunden aus der öffentlichen Hand gewählt haben.
Microsoft ist sehr früh auch auf die Empfehlungen des Europäischen Datenschutzausschusses eingegangen, die Vorschläge enthalten, wie Unternehmen dem Schrems-II-Urteil nachkommen können. So verpflichtet sich Microsoft mit der Initiative Defending your Data, jede Anfrage einer staatlichen Stelle nach Daten von Unternehmenskunden oder Kunden aus dem öffentlichen Sektor anzufechten, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht sogar über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Microsoft wird die Nutzer*innen seiner Kunden finanziell entschädigen, wenn das Unternehmen Daten dieser Nutzer*innen aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (DSGVO) offenlegen muss. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus.
Weitere Informationen, wie Microsoft mit dem Schrems-II-Urteil umgeht, beschreibt Julie Brill, Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer bei Microsoft, in einer offiziellen Stellungnahme.
Neue Standardvertragsklauseln der EU
Am 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln veröffentlicht, die Unternehmen dabei helfen sollen, personenbezogene Daten rechtmäßig aus der EU in Nicht-EU-Länder zu übertragen, die keinen „angemessenen“ Datenschutz bieten, wie er nach EU-Recht erforderlich ist. Dazu gehören auch die USA.
Microsoft begrüßt die neuen Standardvertragsklauseln als positive Entwicklung, da sie die Breite der Datenströme in der heutigen digitalen Wirtschaft angemessen abbilden. Auf Basis der neuen Standardvertragsklauseln können Unternehmen weiter Microsoft-Dienste nutzen, um Datentransfers rechtskonform durchzuführen. Microsoft hat die neuen Standardvertragsklauseln bereits abgeschlossen und diese in dem am 15. September 2021 veröffentlichten neuen DPA berücksichtigt.
Microsoft geht freiwillig noch weiter
Zu Microsofts Engagement für sichere Datenübertragung passt auch die Ankündigung von Anfang Mai 2021, in der Microsoft die Einrichtung einer EU-Datengrenze bekanntgegeben hat. Mit der EU-Datengrenze ermöglicht Microsoft seinen in der EU ansässigen Kunden aus der Privatwirtschaft und dem öffentlichen Sektor künftig, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. „Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen“, sagt Brad Smith dazu, President und Chief Legal Officer bei Microsoft. Zudem wird Microsoft in der irischen Hauptstadt Dublin ein „Privacy Engineering Center of Excellence“ aufbauen, um seine europäischen Kunden bei der Auswahl der richtigen Lösung für die Implementierung eines wirksamen Datenschutzes in ihre Cloud-Arbeitsprozesse zu unterstützen.
Mit Blick auf die empfohlenen weiteren Maßnahmen bietet Microsoft seinen Kunden dafür unterschiedliche Verschlüsselungsstandards an: eine Transportverschlüsselung für „Data in Transit“ über Transport Layer Security (TLS) und Perfect Forward Secrecy (PFS); eine Datenverschlüsselung für ruhende Daten („Data at Rest“) zum Beispiel für den Advanced Encryption Standard AES-256, der als „pragmatisch sicher“ gilt; und schließlich eine Verschlüsselung während der Verarbeitung („Data in Use“), die Daten im Arbeitsspeicher einer virtuellen Maschine (VM) in Azure vor fremdem Zugriff über sogenannte Trusted Execution Environments (TEE) schützt. In einem Beitrag unserer Reihe „Das 1×1 der IT-Sicherheit“ erklären wir dieses Verfahren genauer.
Kunden, die hochsensible Daten besonders schützen möchten, können in Microsoft 365 auf Double Key Encryption (DKE) zurückgreifen, bei dem zwei Schlüssel zum Schutz von Daten verwendet werden. Der ebenfalls in Microsoft 365 verfügbare Customer Key bietet zusätzlichen Schutz vor der Anzeige von Daten durch nicht autorisierte Systeme oder Mitarbeiter*innen und ergänzt die BitLocker-Datenträgerverschlüsselung in Microsoft-Rechenzentren.
Mit all diesen Maßnahmen können unsere Kunden ihre Daten so schützen, dass niemand sie entschlüsseln kann, nicht einmal Microsoft selbst. Wir empfehlen aber, den Einsatz dieser komplexen Verschlüsselungen fallbezogen zu evaluieren, um den Aufwand für den Schutz der Daten in Korrelation zu den tatsächlichen Schutzbedürfnissen eines Unternehmens und damit in ein ökonomisch sinnvolles Verhältnis zu setzen.
Was unsere Kunden jetzt tun sollten
Die Implementierung der neuen Standardvertragsklauseln und die über diese Regelungen hinausgehenden Selbstverpflichtungen von Microsoft für den Schutz von Kundendaten bedeuten, dass unsere Kunden weiter rechtskonform Microsoft-Dienste nutzen können.
Jenseits der Maßnahmen, die Microsoft aktiv zum Schutz der Daten seiner Kunden unternimmt, haben die Kunden auch selbst eine Verantwortung dafür. Ein Unternehmen, das Cloud-Speicher und -Services bucht, um dort zum Beispiel personenbezogene Daten seiner Kunden oder Beschäftigten zu verarbeiten und zu speichern, trägt damit die Verantwortung für die Daten und übernimmt seinen Kunden gegenüber auch die Informationspflichten über die Verarbeitung dieser Daten. In meinem Blogpost „Informationspflichten einfach erklärt“ gehe ich speziell auf diese Pflicht ausführlich ein. Als Orientierungshilfe haben wir zudem eine vereinfachte DSGVO Anleitung sowie einen Leitfaden für Verantwortliche für den Themenkomplex Datenschutz-Folgeabschätzung bereitgestellt.
Weitere Beiträge der Serie
Alle Beiträge unserer Reihe „Faktencheck Datenschutz“ gibt es hier.
Ein Beitrag von Fatih Ataoglu
Head of Data Privacy and Data Security bei Microsoft Deutschland