Gestern schrieb ich auf LinkedIn einen kurzen Post zum EU Boundery Programm, welches nun abgeschlossen ist. In der Theorie super gute Nachrichten. Was das EU Boundery Porgramm genau bedeutet, hat Raphael Köllner in einem der jüngsten Posts ausführlich „zusammengefasst“. Kurz gesagt, bedeutet das EU Boundery Programm, dass nun mehr alle Daten bei/von Diensten wie M365 in der EU gespeichert und verarbeitet werden. Das ist sehr gut. Allerdings… werden dann wieder doch nicht so ganz alle Daten hier bei uns verarbeitet. Das kann man ganz einfach bei Microsoft unter „Remotezugriff auf in der EU-Datengrenze gespeicherte und verarbeitete Daten“ nachlesen. Dort erläutert Microsoft (sehr verkürzt dargestellt): „Es ist grundsätzlich alles in der EU gespeichert und wird dort verarbeitet, aber im Einzelfall (insb. Security-Issues) müssen wir natürlich doch auf Ihre Daten von außerhalb der USA zugreifen (und können das auch).“.
Dazu schrieb ich dann eben auf LinkedIn weiter das Folgende:
Diese Form der Zugriffe reicht für eine Übertragung im Sinne der DSGVO grundsätzlich aus.
Das wäre undramatisch, wären die USA weiterhin ein verlässlicher Rechtsstaat. Dann gälten die Vorschriften, die Grundlage für den Angemessenheitsbeschluss der EU (EU-US Data Privacy Framework) darstellen und die Übertragung in die USA (derzeit) legitimieren. Allerdings sehen wir jeden Tag, dass in den USA Recht und Gesetz weniger gelten. Das stellt zum einen den bestehenden Angemessenheitsbeschluss in Frage. Und zum anderen wird es mit dem eratischen Verhalten der US-Regierung auch zunehmend schwieriger eine Datenübertragung, wie sie in Unternehmen vorgenommen wird, rechtlich auf die EU-Standard-Verträge und den risikobasierten Ansatz der DSGVO zu stützen. Noch gilt der Angemessenheitsbeschluss. Noch gelten die EU-Standard-Verträge in der Regel als taugliche Absicherung. Doch wie lange noch?
Das Problem ist hier nicht der Datenschutz allein. Sondern geht mit Fragen von Industrie- und Militärspionage einher.
Zu eben dieser Problematik äußert sich Microsoft überhaupt nicht. Doch dies wäre, nein, ist dringend geboten. Und so stellen sich die folgenden Fragen:
Wie beabsichtigt Microsoft die Zugriffe der US-Administration durch insbesondere us-amerkanischen Mitarbeitern auf europäische Daten von Unternehmen und (!) öffentlichen Institutionen zu unterbinden? Wie sehen die konkreten Maßnahmen und die dafür vorgesehenen Zeitpläne aus?Andernfalls ist allen, und ja, ich weiß, es sind zehntausende von Unternehmen und öffentlichen Institutionen, wohl geraten, sich damit auseinanderzusetzen, die Dienste von Microsoft zu verlassen und durch andere Dienste zu substituieren. Google ist hier natürlich auch keine Lösung. Und ja, dass das alles andere als leicht ist, ist keine Frage. Um so dringender sind hier Antworten und Maßnahmen seitens Microsoft erforderlich.
Unter diesem Posts landeten – natürlich – Kommentare und es entspannen sich Diskussionnen. Basierend auf diesen Diskussionen möchte ich noch ein paar weitere Gedanken zu diesem Thema aufgreifen und mich mit den Kommentaren dort auseinandersetzen. Das wollte ich erst auf LinkedIn. Aber einerseits meinte LinkedIn, ich würde zu viel schreiben. Und andererseits hat es es ja auch gewisse Ironie, dieses Thema nun auf der Plattform weiter vertieft zu diskutieren… Nun aber los:
Raphael Köllner sieht das Thema auch kritisch und stimmt mir grundsätzlich zu, schlägt aber etwa vor hochsensible Daten wie Strafakten et al. nicht einer Microsoft Cloud zu speichern und verweist im Übrigen auf die Encryption-Angebote von Microsoft und für E-Mails auf PGP.
Das Problem ist hier recht offensichtlich: Die Encryption-Modelle von MS sind eben Modelle von MS. Das hilft also nur bedingt (ok, gar nicht) weiter.
PGP ist eine tolle Lösung. Nur allein, sie wird nicht genutzt. Für die PGP-Verschlüsselung ist es notwendig, dass Sender UND Empfänger diese nutzen. Passiert nicht. Wir bieten es immer an. Und gerade mal 0,5% der Mandanten (wenn überhaupt) nutzen es.
Weiter beginnen sensible Daten beginnen nicht erst bei „sensiblen Daten“ im Sinne der DSGVO. Für Unternehmen ist schon allein die Frage der Verfügbarkeit eine hochsensible. Was, wenn Trump, eine EO erlässt, nach dem Microsoft die Dienste in der EU sofort einstellen muss? Oder er, konkret in Bezug auf Datenherausgabe, sagt „Das Gesetz bin ich“? Für Unternehmen eine Katastrophe, für öffentliche Institutionen…? Ich lasse Euch den Gedankengang selbst zu Ende führen.
Christian Decker [MVP] sieht kein Problem, da es es ja richterliche Anordnungen braucht, um Datenanfragen bei MS zu stellen. Gegen etwaige EO von Trump würde MS gerichtlich vorgehen. Im Übrigen sei der europäische Markt viel zu wichtig, als dass MS dem einfach Daten herausgäbe. Die Cloud lebe vom Vertrauen, deswegen würde die GF die Datenherausgabe niemals zulassen.
-> Alles soweit richtig, gut und schön. Nur setzt eben all dies einen funktionierenden Rechtsstaat mit Gewaltenteilung voraus. Dass eben dieser nicht „in Gefahr“ ist, sondern Trump & Musk das Playbook des Faschismus (Aufhebung der Gewaltenteilung, Ab- und Besetzen von Richtern und Staatsanwälten, Eingriffe in die Ordnungsmäßigkeit der Exekutive, Massendeportationen, Gleichschaltung der Medien, kein/zu später Aufstand der Zivilgesellschaft) bereits in full speed abspielen, sieht jeder, der die Entwicklungen in den USA auch nur halbwegs verfolgt und sich dabei nicht beide Augen zuhält.
Ich wünschte, ich, wir alle könnten auf den US-armerikanischen Rechtsstaat zählen. Ich sehe nur, dass dieser vor unseren Augen erodiert.
Der Kollege Dr. Olaf Koglin verweist auf die DPAs und dass diese in Zusammenschau mit der EU Boundery ausreichend Schutz gewähren.
-> Das sind aber ebenso nur Vertragswerke. In einem Rechststaat volle Zustimmung. Problem: Siehe oben.
Auch andere Kollegen wollen keine Probleme darin sehen, dass MS „zur Sicherstellung der Dienste“ kurzfristigen Zugriff haben.
-> Das war auch nie ein Problem. Aber eben das ändert sich, denn: siehe oben.
Ich habe mich bisher immer voller Überzeugung auf den Standpunkt gestellt, dass die Nutzung von M365 und anderer Microsoft-Produkte rechtlich unproblematisch ist, selbst ohne Angemessenheitsbeschluss. Ich habe dazu auch entsprechende Artikel wissenschaftliche Aufsätze u.a. zusammen mit dem Kollegen Heiko Roth verfasst. Diese Auffassung ging jedoch immer von der Prämisse aus, dass die USA ein Rechtsstaat mit der entsprechenden Gewaltenteilung sind. Das ist – Stand der aktuellen Entwicklungen – Vergangenheit. Ich wünschte, ich hätte Unrecht. Aber es passiert.
Das riesengroße Problem an dieser Stelle ist, dass es derzeit keine realen, funktionierenden Alternativen zu Microsoft, M365 (einschließlich entra, intunes et al.) gibt. Ja, es gibt alternative Office Suites. Ja, es gibt alternative Betriebssysteme. Ja, es gibt alternativen zur Netzwerksicherheit und dem Multidevice-Management. Ja, es gibt inzwischen auch Alternativen zu IaaS und PaaS. Das ist ohne große eigene IT-Abteilungen, die dann auch noch die entsprechenden Kenntnisse inhouse verfügbar haben müssten, nicht umsetzbar. Und selbst dann ein riesiger Aufwand von Ressourcen in finanzieller wie personeller Hinsicht, einschließlich Arbeitszeitverlusten durch die Umstellungen im ganzen Unternehmen. Das ist nicht mal eben gemacht.
Noch schwieriger wird es für kleine und mittelständische Unternehmen. Sie verfügen über keine eigenen IT-Abteilungen. Sie benötigen Systeme, die up & running funktionieren. Eben das bietet M365 und zwar mit Windows zusammen aus einer Hand: managable IT-Sicherheit, Betriebssystem, Office. Alles dabei. Keines der alternativen Systeme ist für sich 100% „up & running“ geignet. Es bedarf hier Unterstützung und Beratung von entsprechenden IT-Systemhäusern.
Aber ich fürchte, europäische Unternehmen stehen IT-technisch vor dem gleichen Problem wie die europäische Sicherheitspolitik und die gemeinsame Verteidigung. Die USA wie wir sie stets kannten, existiert nicht mehr. Sie ist kein verlässlicher Partner. Und damit können auch US-amerikanische Unternehmen keine verlässlichen Partner mehr sein. Es wird teuer(er) werden. Und komplizierter. Aber es gibt keine wirklich Alternative dazu, diesen Weg zu gehen.
(Ich wünschte, ich hätte Unrecht).
Nachtrag, 04.03.2025, 14:48
Das „einfachste“ wäre natürlich, wenn Microsoft dieses Thema adressieren und schnell umsetzen würde. D.h. vollständige Verarbeitung der Daten (einschl. Support und Sicherheitsfragen) in der EU sowie… Gründung einer Entität auf die US-Behörden tatsächlich keinen Zugriff haben.
Nachtrag, 04.03.2025, 16:46
Eine „Panik“, dahingehend, dass etwa Datenschutzbehörden jetzt flächendeckenden Zinnober machen, halte ich für unangebracht. Es wäre und ist schließlich keine Lösung, mindestens 97,5% der deutschen Unternehmen mit Bußgeldbescheiden zu überziehen. So gut wie jedes Unternehmen hat US-Dienstleister in seinem Portfolio. Es wäre halt nur mehr als angebracht, ohne Panik, dieses Thema zu verfolgen.
Nachtrag, 12.03.2025, 19:31
Und eine wichtige Information, die für mich so klar wie Kloßbrühe ist, habe ich im Zusammenhang mit dem letzten Nachtrag natürlich unterschlagen: Formaljuristisch sind derzeit Übermittlungen in die USA überhaupt nicht anzugreifen. Schließlich gilt derzeit der Angemessenheitsbeschluss, das EU Data Privavcy Framework, für Übermittlungen in die USA. (Es rumort halt, wen wundert es, dass dieser gerade mal wieder intensiv geprüft wird.). Ich sag ja, ohne Panik einfach das Thema verfolgen.
In diesem Sinne,
keep the heads up high and go forward!
