Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

Im Datendschungel - Datenschutz von A - Z

In dieser Ausgabe unserer Reihe „Im Daten-Dschungel“ geht es darum, wie wir mit Anfragen von US-Strafverfolgungsbehörden umgehen, die Zugriff auf Daten fordern, die auf Cloud-Servern von Microsoft, aber außerhalb der USA liegen.

Zentraler Grundsatz unserer Arbeit ist es, die Daten unserer Kund*innen nicht ohne ihr Wissen an Dritte weiterzugeben oder diesen Zugriff darauf zu gewähren. Aber wie verhalten wir uns, wenn uns Behörden auffordern, ihnen personenbezogene Daten unserer Kunden zur Verfügung zu stellen – etwa im Rahmen einer Strafverfolgung?

Tatsächlich ist das eine ziemlich komplexe Frage, die auch nach vielen Jahren intensiver politischer und juristischer Auseinandersetzungen noch immer nicht final geklärt ist. Erst im Juli 2020 hat der Europäische Gerichtshof (EuGH) befunden, dass durch die Zugriffsmöglichkeiten der US-Behörden und -Geheimdienste die Anforderungen an den Datenschutz bei einer Übermittlung personenbezogener Daten an Drittländer wie die USA nicht gewährleistet seien (Schrems II-Urteil).

Mit unseren im November 2020 angekündigten Schutzmaßnahmen „Defending Your Data“ haben wir unser grundlegendes Datenschutz-Versprechen ergänzt: Diese beinhalten die vertragliche Verpflichtung, Anfragen von staatlichen Stellen nach Kundendaten anzufechten, sowie eine finanzielle Verpflichtung, um unsere Überzeugung in dieser Sache zu unterstreichen.

CLOUD Act: Es geht um legitime Interessen auf beiden Seiten

Im März 2018 hat der US-Kongress den Clarifying Lawful Overseas Use of Data Act (CLOUD Act“) ratifiziert. Das Gesetz regelt die Herausgabe von Daten an Behörden, auch wenn diese Daten nicht in den USA gespeichert sind, sondern zum Beispiel auf Servern innerhalb der Europäischen Union.

Niemand wird bestreiten, dass Strafverfolgungsbehörden in der Lage sein müssen, im Rahmen rechtsstaatlicher Ermittlungen auf relevante Informationen zuzugreifen. Bei der Verfolgung von organisierter Kriminalität oder Terrorismus haben Behörden sowohl in den USA wie auch in Europa ein berechtigtes Interesse daran, Daten schnell zu erhalten. Aber uns ist es ebenso wichtig, dass Einzelpersonen und Unternehmen ihr Recht auf Privatsphäre behalten. Bei den Diskussionen um den CLOUD Act und allen damit verbundenen Fragen geht es also aus unserer Sicht darum, ein Gleichgewicht zwischen diesen auf beiden Seiten legitimen Interessen zu schaffen.

Wir verteidigen die Daten unserer Kunden mit klar definierten und bewährten Richtlinien und Prozessen, strengen vertraglichen Verpflichtungen und, falls nötig, vor Gericht:

  • Wir verwenden eine starke Verschlüsselung: Wir verschlüsseln Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandard. Wir stellen keiner Regierung unsere Verschlüsselungs-Keys oder eine andere Möglichkeit zur Verfügung, unsere Verschlüsselung zu brechen.
  • Wir setzen uns für die Rechte unserer Kunden ein: Wir gewähren keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten unserer Kunden. Falls eine Regierung Kundendaten von uns verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Wir werden Forderungen nur dann nachkommen, wenn wir eindeutig dazu gezwungen sind. Unser erster Schritt besteht immer in dem Versuch, solche Anfragen an unsere Kunden weiterzuleiten oder sie darüber zu informieren. Wenn wir überzeugt sind, dass diese Anfragen nicht legal sind, lehnen wir sie routinemäßig ab oder fechten sie an.
  • Wir sind transparent: Seit vielen Jahren veröffentlichen wir Informationen über staatliche Anfragen nach Kundendaten. Wir haben zudem die US-Regierung verklagt, um mehr Möglichkeiten für die Offenlegung von Anfragen zur nationalen Sicherheit zu bekommen, die wir erhalten. Dabei haben wir einen Vergleich erzielt, der uns genau das ermöglicht. Die Informationen über nationale Sicherheitsanfragen legen wir nun zweimal jährlich zusätzlich zu unserem regulären Law Enforcement Request Report in allen unseren Geschäftsbereichen (Verbraucher*innen, Unternehmen und öffentlicher Sektor) offen.
  • Wir konnten bereits viele juristische Erfolge erzielen: Wir haben mehr Erfahrungen mit Gerichtsverfahren als jedes andere Unternehmen, wenn es darum geht, die Grenzen staatlicher Überwachungsanordnungen zu definieren. Einer dieser Fälle landete sogar vor dem Obersten Gerichtshof der Vereinigten Staaten. Mit dieser Arbeit können wir unseren Kunden mehr Transparenz und einen stärkeren Schutz ihrer Daten bieten.

Dennoch befürchten viele, dass der CLOUD Act den USA schrankenlosen Zugriff auf die Daten ausländischer Unternehmen quasi per Selbstbedienung erlaubt, selbst wenn diese auf Servern außerhalb der USA gespeichert sind.

Damit Microsoft Daten offenlegt, bedarf es jedoch eines offiziellen Dokuments wie einer Vorladung oder eines Haftbefehls, das gemäß den örtlichen gesetzlichen Bestimmungen ausgestellt wird. Unser Compliance-Team prüft dann die behördliche Anfrage nach Kundendaten, um sicherzustellen, dass sie gültig ist, lehnt sie gegebenenfalls ab, wenn sie nicht gültig ist, und stellt nur die Daten bereit, die in der gesetzlichen Anordnung gefordert sind.

Bei den Behördenanfragen an uns kam es jedoch nur in einer sehr geringen Anzahl zu einer Datenfreigabe durch uns, wie in unserem Transparency-Report dokumentiert. Diese Anfragen kommen nicht nur aus den USA, sondern aus Staaten aus der ganzen Welt, einschließlich der Europäischen Union und Deutschland.

In der ersten Hälfte des Jahres 2020 hat Microsoft insgesamt 91 Anfragen von Strafverfolgungsbehörden weltweit für Konten von Unternehmenskunden erhalten. In 42 Fällen wurden diese Anfragen abgelehnt, zurückgezogen oder die Strafverfolgungsbehörden wurden erfolgreich an den jeweiligen Kunden weitergeleitet. In 49 Fällen war Microsoft dazu gezwungen, die entsprechenden Informationen zur Verfügung zu stellen: 24 dieser Fälle erforderten die Offenlegung von Kundeninhalten, 25 der Fälle erforderten nur die Offenlegung von Informationen, die keine Inhalte enthielten. Von den 24 Fällen, in denen die Offenlegung von Inhaltsdaten erforderlich war, standen 20 dieser Anfragen im Zusammenhang mit US-Strafverfolgungsbehörden.

In der ersten Hälfte des Jahres 2020 erhielt Microsoft 74 Anfragen von Strafverfolgungsbehörden aus den Vereinigten Staaten für Unternehmenskunden mit mehr als 50 Lizenzen. Von diesen Forderungen führten zwei Durchsuchungsbefehle zur Offenlegung von Inhaltsdaten, die sich auf Unternehmenskunden bezogen, deren Daten außerhalb der Vereinigten Staaten gespeichert waren.

Microsoft kämpft vor Gericht für den Schutz seiner Kund*innen

Um die Daten unserer Kund*innen vor fremden Zugriffen zu schützen, sind wir bereits vor US-Gerichte gezogen – seit 2013 insgesamt viermal. Das erste Urteil 2014 hat unsere Rechtsauffassung bestätigt, Informationen über die Anzahl und Arten von Anfragen zur Strafverfolgung zu veröffentlichen, wie wir das im Transparency-Report tun. Mit der zweiten Klage haben wir erreicht, dass Behörden auf der Suche nach Informationen diese bevorzugt bei den Besitzer*innen der Daten einholen, nicht bei den Cloud-Providern. Mit der dritten Klage sind wir gegen die Geheimhaltungsvorschriften vorgegangen, die uns verboten hätten, unsere Kund*innen über Anfragen der Behörden zu informieren. Als Konsequenz der Klage hat das Justizministerium in den USA den Umfang seiner Geheimhaltungsanträge deutlich reduziert. Die vierte Klage schließlich stellt die Praxis der USA infrage, Durchsuchungsbefehle für Server auszustellen, die außerhalb des Landes stehen. Wir sind überzeugt, dass Menschen in anderen Ländern das Recht haben, ihre Daten mit nationalen Gesetzen vor dem Zugriff Dritter zu schützen.

Unsere Erfolge und Fortschritte bei der Anfechtung von Geheimhaltungsverfügungen

Wir sind überzeugt, dass unsere Kund*innen als Eigentümer ihrer Daten das Recht haben, diese zu kontrollieren und – sofern keine außergewöhnlichen Umstände vorliegen – zu erfahren, wenn Strafverfolgungsbehörden ihre E-Mails oder Daten anfordern. Zudem sind wir der Meinung, dass wir berechtigt sein sollen, unsere Kund*innen über solche Anfragen zu informieren. Aus diesen Gründen fechten wir Geheimhaltungsverfügungen der US-Regierung an, wenn wir glauben, dass sie einer zweiten juristischen Prüfung bedürfen. Bei allen Fällen, bei denen wir gerichtlich gegen eine Geheimhaltungsverfügung im vergangenen Jahr vorgegangen sind, wurde diese zurückgezogen. Zudem fechten wir weiterhin die Geheimhaltungsverfügung in einem weiteren Fall an, über den wir bereits vor einem anderen Bundesgericht in New York berichtet haben. Seit mehr als zwei Jahren verfolgen wir diesen Fall bereits. Ende 2020 erhielten wir dabei breite Unterstützung durch fünf Amicus Curiae-Briefe, die von Organisationen und Einzelpersonen aus der Wirtschaft, der Technologie- und Medienbranche unterzeichnet wurden – darunter Amazon, Apple, Google, 36 ehemalige Bundesstaatsanwälte, Nachrichtenorganisationen wie Associated Press, The New York Times und The Washington Post sowie Industriegruppen wie die National Association of Manufacturers und die U.S. Chamber of Commerce.

Mehr Informationen zu unseren Anstrengungen zum Schutz von Kundendaten gibt es in diesem englischen Blogpost.

Microsoft diskutiert über Datenschutz mit

Die Auseinandersetzung um den Schutz personenbezogener Daten und um Transparenz über die Verwendung dieser Daten im Rahmen von Behördenanfragen wird nicht nur vor Gericht ausgefochten, sondern ist auch Gegenstand politischer und juristischer Debatten zwischen der EU und den USA. Wir arbeiten aktiv mit den politischen Entscheidungsträgern auf beiden Seiten des Atlantiks zusammen, um die nicht zuletzt durch die Entscheidung über den Privacy Shield aufgeworfenen Fragen zu klären.

Tatsächlich hat Julie Brill, Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer bei Microsoft, im November 2020 mit „Defending Your Data“ neue Maßnahmen zum Schutz von Kundendaten verkündet. Darin verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht sogar noch über die vorgeschlagenen Empfehlungen des Europäischen Datenschutzausschusses hinaus. Darüber hinaus werden wir die Anwender*innen unserer Kunden finanziell entschädigen, wenn wir ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen. Diese Verpflichtung geht über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Microsoft ist damit das erste Unternehmen, das auf die Handlungsempfehlungen des Europäischen Datenschutzausschusses reagiert.

Und in einem früheren Blogpost zum Schrems-II-Urteil fasst Julie Brill die Haltung Microsofts sehr treffend zusammen: „Unsere Kunden können sicher sein, dass wir uns dafür einsetzen, dass ihre Daten weiterhin durch unsere Dienste fließen können. Sie können sich darauf verlassen, dass wir unsere Arbeit daran fortsetzen werden, ihnen auf der Grundlage der in der Entscheidung des EuGH aufgeworfenen Fragen einen besseren Schutz zu bieten, und dass wir mit Regierungen und politischen Entscheidungsträgern bei der Gestaltung neuer Ansätze zusammenarbeiten werden.“

Weitere Beiträge der Serie

Wie Microsoft die Daten seiner Kund*innen schützt und welche Daten wir verarbeiten, haben wir bereits in den ersten beiden Blogposts unserer Reihe „Im Daten-Dschungel“ erklärt:

Zum Weiterlesen empfehlen wir auch dieses Dokument, in dem wir sechs Prinzipien für internationale Abkommen über den Zugang von Strafverfolgungsbehörden zu Daten darlegen.


Ein Beitrag von Ralf Wigand
National IT Compliance Officer bei Microsoft Deutschland
Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

Tags:

Weitere Infos zu diesem Thema

19. Januar 2021
Im Daten-Dschungel: Wie können wir Zusammenarbeit in einer hybriden Arbeitswelt besser gestalten?

Eine veränderte Arbeitswelt erfordert neue Tools, um die Zusammenarbeit zu organisieren und zu optimieren – doch wie evaluieren Unternehmen, ob die technische Ausstattung den Anforderungen der täglichen Arbeit entspricht? Der Productivity Score, MyAnalytics und Workplace Analytics sind drei Lösungen, mit denen Unternehmen Antworten auf diese Fragen finden können. Wozu sie dienen und wie wir dabei die Daten der Beschäftigten schützen, erklären wir in diesem Beitrag aus unserer Reihe „Im Daten-Dschungel“.

10. November 2020
Im Daten-Dschungel: Wo speichert Microsoft eigentlich meine Daten?

Heute werden Daten oft dezentral gespeichert – außerhalb des firmeneigenen Rechenzentrums oder des eigenen Zuhauses, in der Cloud. In diesem Beitrag aus unserer Reihe „Im Daten-Dschungel“ erfahrt ihr, wo Microsoft die Daten ablegt, wer Zugriff darauf hat und besonders – wie sicher ist das?