Die wichtigsten Compliance-Fragen – Teil 2
Datenschutz in der Microsoft-Cloud
Kann die Anwendbarkeit des Datenschutzrechts durch Verschlüsselung ausgeschlossen werden?
Antwort: Das hängt vor allem von der Art und Weise der Verschlüsselung ab. Sofern eine Verschlüsselung sowohl auf dem Transportweg zwischen Kunde und Microsoft als auch der gespeicherten Daten in der Cloud erfolgt und der Schlüssel allein beim Kunden liegt, fehlt es bereits an der Übermittlung personenbezogener Daten. Eine solche Verschlüsselung kann jedoch die Funktionalität, wie etwa die Suchfunktion, einschränken. Es werden außerdem immer Daten wie die Admin- beziehungsweise Metadaten entstehen, die nicht verschlüsselt werden können, so dass zumindest insofern das Datenschutzrecht zu beachten ist. In jedem Fall ist eine Verschlüsselung ein datenschutzrechtlich positiv zu bewertender Schutz.
Microsoft übermittelt Daten zwischen seinen Rechenzentren daher auch ausschließlich verschlüsselt. Weiterhin bietet Microsoft seinen Kunden an, ihren eigenen Schlüssel für die Verschlüsselung von Daten in Windows Azure Rights Management zu verwenden. Dabei wird der Schlüssel durch ein Hardware-Sicherheitsmodul (HSM) des Hersteller Thales geschützt, so dass Microsoft den Schlüssel nicht exportieren und weitergeben kann.
Auf welcher rechtlichen Grundlage verarbeitet Microsoft personenbezogene Daten in ihren Enterprise Cloud Services?
Antwort: Grundlage für die Leistungsbeziehung sind die Serviceverträge über die Nutzung der jeweiligen Microsoft-Technologie. Diese werden zwischen dem Kunden und der Microsoft Ireland Operations Limited, Irland (nachfolgend: MIOL) abgeschlossen. Die Microsoft Corp. wird dabei als Subunternehmerin von MIOL tätig. Die Serviceverträge werden durch einen Datenverarbeitungsvertrag ergänzt, der die Regelungen für eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz BDSG (bzw. den jeweiligen spezialgesetzlichen Vorschriften) enthält.
Der Datenverarbeitungsvertrag enthält als Anhang die EU-Standardvertragsklauseln, die zwischen dem Kunden und der Microsoft Corp. abgeschlossen werden. Die EU-Standardvertragsklauseln sind von der EU-Kommission verabschiedet worden und gewährleisten, dass die Daten bei der Microsoft Corp. nach EU-Datenschutzstandards verarbeitet werden. Sie verpflichten die Microsoft Corp., die EU Datenschutzstandards auch etwaigen Subunternehmern vertraglich aufzuerlegen.
Können US-Behörden wie die National Security Agency (NSA) auf die Daten der Kunden in der Microsoft Cloud zugreifen?
Antwort: Sollte Microsoft eine Aufforderung zur Herausgabe von Daten erhalten, wird Microsoft den Behörden keine Daten zur Verfügung stellen, sondern die anfordernde Behörde direkt an den Kunden verweisen. Sollte die Behörde gleichwohl die Herausgabe der in den EU-Rechenzentren gespeicherten Inhaltsdaten verlangen, wird Microsoft hiergegen gerichtlich vorgehen, weil die US-Gesetze nach Auffassung von Microsoft nicht für solche Sachverhalte außerhalb der EU gelten.
Microsoft hat in diesem Zusammenhang ein Anfechtungsverfahren gegen die von einem US-Richter angeordnete Herausgabe von Daten, die in der EU gespeichert sind, initiiert. Das erstinstanzliche Urteil hat zwar bestätigt, dass Microsoft zur Herausgabe der Daten verpflichtet ist, allerdings wird Microsoft den weiteren Rechtsweg bestreiten, da unseres Erachtens diese Herausgabe nicht rechtmäßig ist. Nähere Einzelheiten hierzu finden Sie hier.
Bis zur Erstellung dieses Dokuments gab es im Übrigen noch nie den Fall, dass die NSA von Microsoft die Herausgabe von Daten von Unternehmenskunden verlangt hat.
Mehr Informationen zu rechtlichen Aspekten sowie zum technologischen und prozessualen Aufbau der Microsoft Cloud erhalten Sie auf dem Microsoft Event "Die Microsoft Cloud - Rechtliche Aspekte und technische Informationen. Renommierte IT-Rechtler und Microsoft informieren". Er findet in München am 9. März, in Hamburg am 16. April und in Köln am 22. April statt. Anmelden können Sie sich kostenfrei unter www.mscloudevent.de. Die Agenda finden Sie hier.
Und hier geht es zu weiteren wichtigen Compliance-Fragen und -Antworten:
Cloud Compendium - Teil 1: Datenspeicherung
Microsoft setzt ersten internationalen Cloud-Datenschutzstandard um