Im digitalen Zeitalter stehen Unternehmen vor der großen Herausforderung, ihre IT-Systeme vor unerwünschten Störungen und gezielten Angriffen zu schützen. In meinem ersten Artikel der Serie ging es darum, wie Microsoft das Thema Datenschutz lebt und umsetzt. Häufig höre ich aber auch immer wieder in Kundensituationen, wenn man die ganzen Fake News zum Thema Microsoft und Datenschutz entkräftet hat, folgendes Argument: “Aber dann hat die CIA ja wegen dem Cloud Act meine ganzen Daten”. Meine Damen und Herren, mit diesem Zitat präsentiere ich Ihnen die Killerphrase eines jeden Cloud-Gegners, zumeist falsch informierte Datenschutz-Beauftragte. Meist wird dann noch hinterhergeschoben, dass die deutschen Behörden da ja deutlich entspannter wären. Das auch die Bundesrepublik über Geheimdienste und Strafverfolgungsbehörden verfügt, interessiert dabei nicht.
Cloud Act – was ist das eigentlich?
Bevor wir aber klären, wie Microsoft das Thema handhabt, erst mal in aller Kürze, was der Cloud Act überhaupt ist:
Der Cloud Act ist ein 2018 erlassenes US-amerikanisches Gesetz, das US-Behörden den Zugriff auf außerhalb der USA gespeicherte Daten US-amerikanischer IT-Firmen und Cloud-Provider gestattet. Cloud steht für Clarifying Lawful Overseas Use of Data. Der Cloud Act betrifft insbesondere US-amerikanische IT-Unternehmen sowie deren Tochterfirmen. Diese müssen nicht nur die eigenen Daten herausgeben, sondern auch die ihrer Kunden, sofern sie sich in ihrer Obhut und Kontrolle befinden. Letzteres gilt vor allem für Kundendaten, die in den Cloud-Infrastrukturen von US-Providern gespeichert sind. Somit haben die US-Behörden auch Zugriff auf Daten, die in europäischen Rechenzentren US-amerikanischer Provider gespeichert sind.
Was viele nicht wissen: als eines der wenigen Unternehmen, hatte sich Microsoft Anordnungen auf mit der Begründung widersetzt, dass nach geltendem Recht nur in den USA gespeicherte Daten an die Behörden herauszugeben seien. Mit dieser Argumentation ging Microsoft bis vor das höchste US-amerikanische Gericht, den US Supreme Court. Das Verfahren wurde nach Erlass des Cloud Acts ohne Urteil beendet.
Microsoft, Cloud Act und die Theorie
Microsoft hat als Reaktion hierauf erst einmal die sog. “Additional Safeguards” ins DPA mit aufgenommen. Hier verpflichtet sich Microsoft, dass jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten von Unternehmenskunden oder Kunden aus dem öffentlichen Sektor angefochten werden:
Mehr noch, gleichzeitig bietet Microsoft hier die vertragliche Verpflichtung an, dass Nutzer:innen von Kunden bei Microsoft finanziell entschädigt werden, wenn Microsoft die Daten aufgrund einer Anfrage von staatlichen Stellen unter Verletzung der EU Datenschutz Grundverordung (EU-DS-GVO) offenlegen muss:
Cloud Act, Microsoft und die Realität
Nun wissen wir, wie Microsoft damit umgeht, wenn Anfragen von Geheimdiensten oder Strafverfolgungsbehörden an diese herangetragen werden. Doch wie sieht es denn nun tatsächlich aus. Wie oft wurden denn Daten von welchen Ländern angefragt. Auch hier kommuniziert Microsoft ganz offen und transparent über den sog. Law Enforcement Request Report: zweimal im Jahr veröffentlicht der Hersteller die Anzahl der legalen Anfragen nach Kundendaten, die von Strafverfolgungsbehörden auf der ganzen Welt bei Microsoft ankommen.
Und was erblicken unsere hoffentlich nun starrenden Augen da: Nicht die Vereinigten Staaten von Amerika stellen die meisten “Law Enforcement Requests” an die Microsoft. Sondern die Bundesrepublik Deutschland ist hier Spitzenreiter mit ganzen 6.455 Requests. Wer hätte das gedacht. Und wenn das noch nicht genug ist, dann schauen wir uns auch noch die Anfragen, die unter dem Deckmantel des Cloud Acts gestellt wurden an:
Hier kommen wir auf grandios hohe 96 Anfragen, die aber lediglich Consumer Daten betroffen haben und somit nur die Dienste “Outlook.com” oder andere von Microsoft angebotene Consumerdienste wie Xbox oder OneDrive betreffen.
Im Umfeld von Enterprise-Kunden oder Kunden aus dem öffentlichen Sektor, also jene, die hier den Cloud Act als größten Hinderungsgrund vorschieben nicht in eine Cloud wechseln zu wollen, kommen wir auf wahnsinnige “0” Anfragen in H1 2022.
Microsoft besitzt ein eigenes Law Enforcement and National Security Team (LENS) welches jede Behörden-Anfrage 24/7 genau prüft. Meistens werden die anfragenden Behörden dann direkt an die Kunden selbst verwiesen. Sofern Microsoft dann auch nicht gesetzlich daran gehindert wird, benachrichtigt der Hersteller den betreffenden Kunden auch im Falle einer Anfrage. Wichtig sei zu erwähnen, dass, entgegen der landläufigen Meinung, auch keine Encryption Keys zur Verfügung gestellt werden. Und immer wieder werden auch (erfolgreiche) Gerichtsverfahren zum Schutze der Kundendaten vor den amerikanischen und jeweils nationalen Gerichten dieser Welt ausgefochten, durch Microsoft.
Fazit
Ja, es gibt einen Cloud Act. ABER: Microsoft war eines der ganz wenigen Unternehmen, was sich hier bis zum obersten Gericht durchgekämpft hat um sich dagegen zu wehren. Und selbst mit dem Cloud Act wehren sie sich immer noch. Alle Anfragen von Behörden werden pauschal erst einmal angefochten. Muss doch mal was heraus gegeben werden, dann werden Nutzer:innen entschädigt. In H1 2022 fand der Cloud Act aber noch bei keinem Kunden Anwendung. Und nicht die USA stellen die meisten Anfragen, sondern “good old Germany”.
Ich entschuldige mich daher jetzt bei allen Cloud Gegnern und falschinformierten Datenschutzbeauftragten, dass ich euch nun auch die letzte Argumentationsgrundlage genommen habe.
In Teil 3 meines Berichts geht es dann um das Thema Sicherheit und Microsoft.
Kommentare sind geschlossen.