Folge 32: Cloud Computing und Datenschutz – DSGVO vs. Cloud Act

Das Thema Datenschutz und Cloud Computing sorgt wieder einmal für Schlagzeilen. Das Bundesland Hessen hat Anfang Juli die Nutzung von Office 365 an Schulen verboten. Wieder einmal geht es darum, wo die Daten, die mit der Cloud-Lösung bearbeitet werden, gespeichert werden und was sich daraus für das Einhalten der derzeit geltenden datenschutzrechtlichen Vorgaben ergibt.

In einer Stellungnahme am 9. Juli 2019 erklärt der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch: “Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern..”

Die Nutzung von Cloud-Anwendungen durch Schulen, so Ronellenfitsch, ist generell kein datenschutzrechtliches Problem. In der Microsoft Deutschland-Cloud sei auch die Verwendung von Office 365 in Ordnung gewesen, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung gefunden hätten.
Im August 2018 hat Microsoft dann aber der Öffentlichkeit mitgeteilt, dass für die Deutschland-Cloud keine Verträge mehr angeboten werden und der Vertrieb dieses Produkts eingestellt wird.

Die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler jedoch nicht “in einer (europäischen) Cloud speichern, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist”

Das gleiche gilt laut hessischer Datenschutzbehörde auch für die Cloud Anwendungen von Google und Apple.

DSGVO vs. Cloud Act

Mit seiner Stellungnahme spricht der hessische Datenschutzbeauftragte einen Themenbereich an, der schon seit mehreren Jahren die Gerichte, Experten und Fachöffentlichkeit beschäftigt und mit der Einführung der DSGVO in der EU sowie der Verabschiedung des Cloud Act in den USA so etwas wie einen Höhepunkt der Unsicherheit erreicht hat.

Doch lassen Sie uns ganz am Anfang beginnen.

Wie alles anfing: Microsoft vs. US-Justiz um Herausgabe von Nutzerdaten

Ausgangspunkt für die aktuelle Diskussion war ein Rechtsstreit zwischen der Firma Microsoft und US-Justiz um die Herausgabe von Daten eines europäischen Nutzers des Microsoft E-Mail Services. Die fraglichen Daten waren in einem Microsoft-Rechenzentrum in Dublin, also außerhalb der USA, gespeichert. Der US-District Court in Manhattan forderte vom Unternehmen aber die Herausgabe der Daten. “Wir glauben, dass die Mails den Nutzern gehören und nicht uns. Daher sollten dafür sie den gleichen Datenschutz bekommen, wie ein geschriebener Brief, ungeachtet vom Speicherort”, erklärte der damalige Chief Privacy Officer Brendon Lynch in einem Microsoft-Blog-Beitrag.

Unterstützung bekam Microsoft schon damals durch die EU in Person der damaligen Vizepräsidentin der EU-Kommission Viviane Reding. Sie erklärte: “Die Kommission befürchtet, dass die extraterritoriale Anwendung ausländischer Gesetze (und darauf basierende gerichtliche Anweisungen gegen Unternehmen) gegen internationales Recht verstoßen und den Schutz des Einzelnen verhindern, der in der Union garantiert ist.”

Für betroffene Firmen mit einer Niederlassung in der EU ergebe sich zudem ein rechtlicher Konflikt, da sie nicht nur an US-Recht, sondern auch an europäisches Recht gebunden seien, so Reding weiter. Denn laut geltendem EU-Recht hat das US-Gericht nur die Möglichkeit, über ein Rechtsbeihilfeverfahren der EU die Herausgabe der Daten zu beantragen.

Die Gegenseite, der US-District Court in Manhattan, berief sich dagegen auf den bereits 2001 verabschiedeten Patriot Act, der US-Gerichten die Durchsuchung von Servern von ausländischen Tochterunternehmen von US-Firmen erlaubt, auch wenn lokale Gesetze das untersagen.

Sommer 2015: Rechtsstreit geht in die zweite Runde

Ein Jahr später, im September 2015, ging das Ganze dann in die Berufungsinstanz. Microsoft warnte damals laut Beobachtern der Verhandlung vor einem “internationalen Feuersturm”, wenn dieser Fall Schule mache.

Wie die Zeitschrift Guardian berichtete, erklärte Microsoft-Justiziar Joshua Rosenkranz in der Verhandlung: “We would go crazy if China did this to us”, auf gut deutsch „Wir würden verrückt werden, wenn die Chinesen dies mit uns machen würden.“

Die Gegenseite, das US-Justizministerium, hielt dagegen, dass die Regierung das Recht habe, die E-Mails von jeder Person auf der Welt anzufordern, solange nur deren E-Mail-Anbieter sein Hauptquartier innerhalb der US-Grenzen habe.

US-Cloud Anbieter befürchten Wettbewerbsnachteile

Als Unterstützung für Microsoft hatten mehr als zwei Dutzend Unternehmen – darunter Apple und Verizon – so genannte “Friends of the Court”-Dokumente (amicus briefs) eingereicht. Die Gründe für dieses Verhalten liegen auf der Hand. Es soll auf jeden Fall verhindert werden, dass ein Präzedenzfall für die weitere Vorgehensweise von US-Behörden geschaffen wird, die den Datenschutz komplett umgeht. Denn dies würde bedeuten, dass die in Rechenzentren US-amerikanischer Cloud Anbieter gespeicherten Daten nicht vor dem behördlichen Zugriff geschützt sind, selbst wenn sich diese in Rechenzentren außerhalb der USA in einem Land wie z.B. Deutschland befinden, dessen Datenschutzgesetze diesen Zugriff nicht erlauben.

Microsoft kündigt deutsche Cloud an

Ohne direkten Zusammenhang – aber wohl unter dem Eindruck der juristischen Auseinandersetzung mit der US-Justiz – stellte Microsoft Chef Satya Nadella im November 2015 die Pläne seines Unternehmens vor, eine Microsoft Deutschland-Cloud einzurichten.

Knapp ein Jahr später, im September 2016, war es dann soweit: Die Microsoft Cloud Deutschland ging online.

Das Besondere an dem Konstrukt: Die Firma T-Systems International kontrollierte als Datentreuhänder den Zugang zu den Kundendaten. Ohne Zustimmung des Datentreuhänders oder des Kunden erhielt Microsoft keinen Zugriff. Wurde diese Zustimmung durch den Datentreuhänder erteilt, griff Microsoft nur unter dessen Aufsicht zeitlich begrenzt auf die Kundendaten zu. “Die Microsoft Cloud Deutschland ist unsere Antwort auf die wachsende Nachfrage nach Microsoft Cloud-Diensten in Deutschland und Europa. Azure Deutschland unterstützt unsere Kunden dabei, zukunftsfähige Lösungen zu entwickeln und gleichzeitig ihre Compliance-Richtlinien einzuhalten”, erklärte damals Sabine Bendiek, Vorsitzende der Geschäftsführung von Microsoft Deutschland.

Mit dem Treuhand-Konzept sollte eben auch sichergestellt werden, dass US-Gerichte und/oder Regierungsstellen KEINEN Zugriff auf in Deutschland in der Microsoft Cloud gespeicherte Nutzerdaten erhalten sollten.

Die Microsoft Cloud Deutschland schließt wieder ihre Pforten

Allerdings schon knapp knapp zwei Jahre später war es dann aber schon wieder vorbei mit der deutschen Microsoft Cloud. Wie bereits eingangs erwähnt, gab Microsoft im August 2018 bekannt, das Angebot einzustellen. Das Unternehmen begründete diesen Schritt mit “veränderten Kundenanforderungen”.

Anders formulierte dies das Handelsblatt, es berichtete schlicht von einer zu geringen Nachfrage nach der deutschen Microsoft Cloud, da diese einfach „zu limitiert und zu teuer“ sei.

Zeitgleich wurde für den Sommer 2018 endlich ein Urteil im Rechtsstreit zwischen Microsoft und der US-Justiz erwartet. Fast zeitgleich dazu trat im Mai 2018 die DSGVO in Kraft.

Doch es kam ganz anders: Nun, die DSGVO trat natürlich schon in Kraft, aber auf der anderen Seite des Atlantiks tat sich etwas.

Cloud Act im “Schnellverfahren” ratifiziert

Schneller als von vielen Marktbeobachtern erwartet – und trotz aller Bitten und Warnungen – wurde bereits Ende März der Clarifying Lawful Overseas Use of Data (CLOUD) Act verabschiedet. Nach dem neuen Gesetz sind amerikanische Internet-Unternehmen, also auch Cloud Service Provider aus den USA, dazu verpflichtet, amerikanischen Sicherheitsbehörden Zugriff auf Nutzerdaten zu ermöglichen, die außerhalb der USA gespeichert sind.

Rechtsexperten sahen in der neuen Regelung eine klare Konfrontation zur noch nicht einmal in Kraft getretenen DSGVO. Diese räumt dem Schutz personenbezogener Daten von EU-Bürgern höchste Priorität ein und untersagt genau den im CLOUD Act geregelten Zugriff auf Nutzerdaten, ohne dass der Nutzer informiert wird. Darüber hinaus hat der Betroffene nicht die Möglichkeit, sich gegen den Zugriff zu wehren. Ein Einspruchsrecht liegt lediglich beim amerikanischen Cloud Service Provider.

Eine weitere Regelung, die durch das neue US-Gesetz beeinträchtigt wurde, ist der EU-US-Privacy Shield, der 2016 als Nachfolgeregelung des vom EuGH gekippten Safe Harbor-Abkommens verabschiedet wurde. Bisher konnten Daten aus der EU an US-Unternehmen, die dem EU-US-Privacy Shield beigetreten sind, übermittelt werden, da das Datenschutzniveau dem der EU angeglichen wurde. Inwieweit das amerikanische Datenschutzniveau nach Verabschiedung des CLOUD Act noch dem EU-Datenschutzniveau entspricht, ist nach wie vor unklar.

Auf amerikanischer Seite wird man nicht müde, zu betonen, dass die neuen Gesetze ausschließlich dazu dienen, den Kampf gegen das internationale Verbrechen zu gewinnen. Auf europäischer Seite scheint man zumindest von der Geschwindigkeit, mit der mit der Verabschiedung des CLOUD Act Fakten geschaffen wurden.

Microsoft Verfahren wird eingestellt

Und so kam es, wie es kommen musste: Das seit Jahren laufende Verfahren der US-Justizbehörden gegen die Firma Microsoft um die Herausgabe von Nutzerdaten, die auf Server außerhalb der USA gespeichert sind, wurde bereits im April 2018, also nur wenige Wochen nach Inkrafttreten des Cloud Act, vom Supreme Court, dem höchsten Gericht der USA, eingestellt. Begründung der Richter: Aus ihrer Sicht besteht überhaupt kein Konflikt mehr, denn mit dem CLOUD Act wurde Ende März ein Gesetz verabschiedet, das sich nach Ansicht des Gerichts auf den Streitfall anwenden lässt.

Im Klartext: Microsoft ist zur Herausgabe der Daten verpflichtet: Fall abgeschlossen!

Und die Google, Apples und Microsofts dieser Welt? Die begrüßten die Entscheidung (dann doch)

US-Firmen wie Apple oder Microsoft positiv auf die Entscheidung. So erklärte Microsofts Chefjustiziar Brad Smith letzte Woche laut Spiegel Online, dass er “die Entscheidung des Supreme Court begrüße, dass es sich dem Fall angesichts des “Cloud Act” nicht weiter widmet. Microsofts Ziele in dem Rechtsstreit seien schon immer ein neues Gesetz sowie internationale Vereinbarungen mit strengem Datenschutz gewesen, die regeln, wie Strafverfolger digitale Beweise über Grenzen hinweg sammeln”.

Im Laufe des Verfahrens hatte dies noch ganz anders geklungen. Wie war das Zitat des damaligen mit dem Fall betraute Microsoft-Justiziars Joshua Rosenkranz in der Gerichtsverhandlung? “We would go crazy if China did this to us”, auf gut deutsch “Wir würden verrückt werden, wenn die Chinesen dies mit uns machen würden.

Fazit: Cloud Act vs. DSGVO – es bleibt spannend

Stand heute regelt nun also der CLOUD Act den Zugriff amerikanischer Justizbehörden auf Nutzerdaten außerhalb der USA. Nachfolgend in der Zusammenfassung nochmals die wichtigsten Punkte aus dem neuen Gesetz:

  • Amerikanische Behörden können auf Nutzerdaten außerhalb der USA zugreifen: Die als vertrauensbildende Maßnahme für deutsche Cloud Computing-Kunden gedachten Ankündigungen amerikanischer Cloud Service Provider wie Oracle, Amazon AWS, Salesforce oder Google, auch in Deutschland ein Rechenzentrum zu betreiben, laufen damit ins Leere, denn sie schützen nicht vor dem Zugriff.
  • Nur der amerikanische Service Provider kann gegen den Zugriff Einspruch einlegen. Dies ist allerdings wohl an zahlreiche Bedingungen geknüpft so dass beispielsweise Heise online erklärt: “Selbst wenn der Betreiber zulässig Einspruch erhebt, müssen die dann zuständigen US-Gerichte so viele Faktoren berücksichtigen, dass eine Aufhebung oder Einschränkung des Herausgabebefehls die große Ausnahme bleiben dürfte.”
  • Der vom Datenzugriff betroffene Nutzer kann gegen den Zugriff keinen Einspruch einlegen, er muss nicht einmal darüber informiert werden. Diese Regelung steht laut Rechtsexperten im krassen Gegensatz zu in Europa geltenden Regelungen wie z.B. der EU-DSGVO, die dem Nutzer ein umfassendes Informationsrecht und dem Betreiber eine Informationspflicht einräumen.

Vor diesem Hintergrund ist das Verbot von Office 365 an hessischen Schulen nur logisch. Die Frage stellt sich darüber hinaus, was dies für den Unternehmenseinsatz von Cloud-Lösungen amerikanischer Service Provider bedeutet. Dürfen personenbezogene Daten wie z.B. Mitarbeiterdaten in die Microsoft-, Google- oder Amazon-Cloud? Verstößt ein Unternehmen damit gegen die DSGVO-Vorgaben?
Wir werden versuchen, uns in diesem Zusammenhang einmal einen Expertenrat einzuholen und hoffen, dass wir Ihnen da möglichst bald eine Antwort bieten können.

Am besten also, Sie abonnieren den Cloud Computing Report Podcast über Apple iTunes, Spotify oder Google Podcasts – zumindest dies sollte DSGVO-konform möglich sein. Darüber hinaus freue ich mich natürlich über Feedback in den Kommentaren bzw. ein „Like“, wenn Ihnen diese Folge gefallen hat.

Bis zum nächsten Mal. Ihr Werner Grohmann

 

Cloud Computing Report Podcast: Bleiben Sie auf dem Laufenden!

Sie möchten regelmäßig über neue Folgen im Cloud Computing Report-Podcast informiert werden, dann abonnieren Sie am besten Cloud Computing Report Podcast bei iTunes, Spotify oder Google Podcasts.

Cloud Computing Report Podcast auf iTunes
Cloud Computing Report auf Spotify
Cloud Computing Report Podcast auf Google Podcasts