Datenschutz, Datensicherheit, die Microsoft Cloud und die NSA

Wie angekündigt widme ich mich heute dem Thema Datenschutz.

Die Akzeptanz von Cloud Computing gleicht dem Meeresspiegel zwischen Ruhe und Sturm. Nach der anfänglichen Ablehnung 2009/2010 haben unter gewissen (strengen) Voraussetzungen (s.u.) die deutschen Datenschutzbeauftragten Ende 2011 auch Cloud Computing Lösungen akzeptiert (siehe Orientierungshilfe Cloud Computing).

Dann kam Snowden. Mann kann deutlich von einem Vertrauen vor Snowden und dem DANACH sprechen. Doch welchen Einfluss hat dies auf die Anforderungen der deutschen Datenschützer?

Die Anforderungen der Datenschutzbeauftragten haben sich nur insoweit geändert, dass es keine Genehmigungen auf Basis von Safe Harbor-Abkommen für den Datenexport in Drittstaaten (außerhalb der E.U., z.B. USA) gibt. Allerdings ist Datentransfer in die USA nicht genehmigungspflichtig – etwas schwammig die Situation. Deswegen würde ich mich aktuell nicht auf Safe Harbor verlassen. Alles andere bleibt gleich.

Als Einstieg finde ich dieses Video zu den Microsoft-Rechenzentren sehr interessant.

Ich konnte in den letzten Wochen einige Vorträge von IT-Rechtsanwälten und Professoren zum Thema anhören und bin immer noch, bzw. umso mehr davon überzeugt, dass Unternehmen mit Office 365 und der Microsoft Cloud eine absolut sichere, rechtskonforme Lösung erhalten. Warum? Das versuche ich in wenigen Punkten zusammenzufassen.

Vorab eine wichtige Ausnahme: besonders schützenswerte Personendaten gem. Art.3 Abs. 1 e) DSG Hier kann im Prinzip nur mit freiwilligen Einverständniserklärungen gearbeitet werden. Aber nachdem bei 95% aller Unternehmen immer über ein Hybrid-Szenario gesprochen wird (und nicht ein „alles in die Cloud“), findet sich hier immer eine schöne Lösung.

  1. Die Anforderung des deutschen Datenschutzes, wenn Daten nicht in Deutschland, sondern in Europa behandelt werden ist eine Auftragsdatenverarbeitung (§11 BDSG insbes. Transparenz, Sicherheit und Zertifizierung). Das kann mit Office 365 erfüllt werden.
  2. Bei Nicht EWR-Cloud nutzt das nichts, da es sich hier um Datenexport in Drittstaaten handelt. Dies kann bei Office365 z.B. bei Support-Anfragen der Fall sein, und Microsoft nennt dies auch von vornerein als möglich, auch wenn der Standort der Daten für europäische Kunden die Rechenzentren in Dublin und in Amsterdam sind. Um hier den Datenschutz zu genügen gab es bis vor kurzem 3 alternative Optionen. Nun sind es noch 2. Office 365 erfüllt immer noch eine mit der Möglichkeit einen Vertrag nach den EU Model Clauses zu unterzeichnen.
  3. Wichtig ist bei der ganzen Thematik die Verantwortlichkeit. Der Auftraggeber (also das Unternehmen) ist für die Einhaltung des Datenschutzes verantwortlich, d.h. wenn ein Unternehmen einen Cloud-Dienst benutzen will, dann muss sich das Unternehmen über die Erfüllung der Anforderungen informieren. In weniger kritischen Fällen kann das über Verweise auf das Microsoft Trust Center erfolgen mit der Dokumentation, dass man (wie bei einer Checkliste) die kritischen Punkt abgedeckt sieht. Wenn man sich in einer Branche mit erhöhten Anforderungen bewegt, dann lässt man einen Anwalt das Vertragswerk und das Angebot prüfen. Einige meiner Kunden haben dies auch erfolgreich tun lassen und die immer weiter steigende Anzahl auch deutscher Unternehmen, die auf Office 365 setzen spricht dafür.

Die Datenschutzrechtlich ordnungsgemäße Umsetzung bei Microsoft Office 365 wurde durch das Bayerische Landesamt für Datenschutzaufsicht ausdrücklich bestätigt.

Was also übrig bleibt ist eigentlich nicht Thema für Rechts- und Datenschutzbeauftragte, sondern primär für das „Bauchgefühl“. Habe ich Angst vor der NSA oder nicht? Aber wie sieht es aus, wenn die NSA Zugriff auf mein „on-premise“ RZ haben will, falls das auch am Netz hängt. Ist das wirklich sicherer? Welche Kompromisse, welchen Aufwand und welche Zusatzkosten muss ich eingehen um überhaupt einen vergleichbaren Standard zu erreichen, den mir Microsoft out-of-the-box anbietet?

Ein spannendes Thema mit dem man primär „erhitzte“ Gemüter erzeugt und heiße (oft irrationale) Diskussionen führt, bzw. leider oft mehr Meinung austauscht. Leider. Persönlich diskutiere ich dies gerne, auf Online-Plattformen nicht.

Erst vor wenigen Tagen auf der Deutschen Partnerkonferenz hat Microsoft deutlich gesagt:

„Ohne juristische Grundlage gibt Microsoft keine Daten heraus“

Das ist in Deutschland, bei deutschen Anbieter und bei deutschen Ermittlungen identisch. Über alle offiziellen Anfragen gibt es einen genauen Bericht. Für Office 365 fand ich die Zahl schon sehr interessant: im ersten halben Jahr 2013 gab es genau 19 Anfragen an Office 365 Accounts und alle haben sich auf Unternehmen der USA bezogen.

Am Ende ist es also „der Bauch“. Lohnt es sich alle (Kosten-) Vorteile zu ignorieren, weil man Angst davor hat die NSA kann Einblick in die eigenen Kalender haben?

Es gibt immer Hybrid-Lösungen für Unternehmenskritische Daten. Ob Baupläne oder besondere Forschung, meistens liegen diese Informationen an anderen Stellen. Warum kann man nicht das Beste aus allen Welten nutzen? Nur wegen „des Bauchs“?

Microsoft (und wir als Microsoft Partner) haben wirklich viel damit zu tun, dieses Bauchgefühl zu beseitigen, aber es lohnt sich für unsere Kunden und Unternehmen, die den Schritt in die Cloud wagen.

Am 23.10 wurde ein wirklich gutes Video veröffentlich (englisch), dass die meistens Bedenken und Themen rund um Datenschutz und Sicherheit anspricht. https://www.youtube.com/watch?v=s5J73goCKo8

Wenn Ihr Interesse an Office 365 und Bedenken bez. Datenschutz und Datensicherheit habt, dann ist dieses Video auf jeden Fall hilfreich und es werden wohl noch mehr kommen. Themen wir Penetration Testing, Identity Management, Encryption, Isolation werden angesprochen und als Nebeninformation war für mich  u.a. die Info interessant , dass die genaue Verfügbarkeit im letzten Quartal bei 99,97% lag, trotz Versionsupdates.

Auf jeden Fall lohnt sich immer mehr der Blick auf das Thema Verschlüsselung, dem ich mich in naher Zukunft auch noch widmen werde.

Advertisements

Ein Gedanke zu „Datenschutz, Datensicherheit, die Microsoft Cloud und die NSA

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s