„Nein, das kann ich nicht garantieren“
In seiner Aussage vor einer Untersuchungskommission des französischen Senats räumte ein Vertreter von Microsoft Frankreich1 ein, man sei nicht in der Lage, die Souveränität der von Microsoft gehosteten Daten französischer Staatsbürger zu gewährleisten.2
Die konkrete Frage war, ob man garantieren könne, dass die von Microsoft gehosteten Daten französischer Bürger niemals ohne die Zustimmung der französischen Behörden an ausländische Behörden weitergegeben werden.
Diese Aussage ist angesichts der amerikanischen Gesetzeslage nicht verwunderlich, aber sie wirft ein Schlaglicht auf die Vereinbarungen zwischen der EU und den USA mit dem Zweck sicherzustellen, dass US-Behörden zumindest ihre Kollegen in der EU von Zugriffen auf Informationen von EU-Bürgern informieren, die US-Cloud-Plattformen nutzen.
Speziell der österreichische Anwalt Max Schrems hat sich damit einen Namen gemacht, zunächst das „Safe-Harbor“-Abkommen und dann das „Privacy Shield“ Abkommen vor dem EuGH zu Fall zu bringen.
Die aktuelle Vereinbarung „Data Privacy Framework“ krankt aber vermutlich an denselben Problemen, denn US-Überwachungsgesetze wie beispielsweise Section 702 des Foreign Intelligence Surveillance Act (FISA) gelten weiterhin.
Wohlgemerkt: der Punkt dabei ist, dass die Anbieter der IT-Dienste US-Unternehmen bzw. deren abhängige Töchter sind – wo die Rechenzentren stehen ist unerheblich (jede andere Aussage ist Augenwischerei).
Im Jahr 2023 reichte der französische Abgeordnete Philippe Latombe eine Klage ein, um den Datenschutzrahmen für ungültig erklären zu lassen.
Eine Anhörung vor dem Gerichtshof der Europäischen Union fand am 1. April 2025 statt. Mit einer Entscheidung des Gerichts wird im Laufe des Jahres 2025 gerechnet.3
Das Thema besitzt eine hohe Brisanz, weil große Teile der europäischen Industrie und Verwaltung zur Auslagerung von IT-Diensten die Leistungen großer amerikanischer Cloud-Anbieter nutzen, speziell von Amazon Web Services (AWS), Microsoft (Azure) und Google (Google Cloud).
Die Nutzung dieser Dienste kann also zwei Risiken nach sich ziehen:
- Verlust der Vertraulichkeit durch Herausgabe von Daten an US-Behörden
- Verlust der Verfügbarkeit durch Erpressbarkeit im Falle eskalierender Konflikte. So lächerlich dieser zweite Punkt vor wenigen Jahren noch schien – man sollte ihn nicht unerwähnt lassen.
Was bedeutet das für mein Unternehmen?
Wer Dienste von US-Cloud-Anbietern nutzt, sollte sich genau überlegen welche Workloads er auslagert – und wohin. Das ist kein neuer Rat, und wenn man früher getroffene Entscheidungen im Lichte neuer Entwicklungen überdenken möchte wären Neuausrichtungen womöglich extrem teuer, da über Funktionalitäten und Programmierschnittstellen (API Calls) oft ein klarer „Vendor Lock-In“ besteht – und weil kein europäischer Cloud-Anbieter funktional mit den amerikanischen Angeboten konkurrieren kann.
Für die meisten Unternehmen ist daher eine „weiter so“-Politik naheliegend; ein Projekt zur Inventarisierung der Cloud-Nutzung und Bewertung der Risiken wäre trotzdem sicherlich eine gute Idee.
Weitere Details zu diesem Thema finden sich z.B. bei Heise:
https://www.heise.de/news/Microsofts-Souveraenitaets-Debakel-Zwischen-blumiger-Werbung-und-keine-Panik-10495023.html