Im Mai 2021 angekündigt soll die sogenannte „EU-Datengrenze“ für die Microsoft Cloud zum 1. Januar 2023 an den Start gehen. Was sich zunächst wie eine negative Beschränkung anhört, ist eigentlich eine gute Nachricht für Nutzer:innen der Plattform. Eigentlich.

Während Microsoft eigenen Angaben zufolge schon jetzt Kund:innen-Daten „weitgehend regional in Rechenzentren in der EU“ speichert und verarbeitet, soll es der neue Dienst jetzt insbesondere Nutzer:innen aus dem öffentlichen Sektor und Unternehmenskund:innen ermöglichen, ihre Daten vollständig innerhalb der EU zu managen.

Microsoft verspricht, dass dadurch „Datenflüsse nach außerhalb der EU maßgeblich“ reduziert und eine „noch größere Transparenz mit detaillierter Dokumentation zu verbleibenden, notwendigen Datenflüssen“ hergestellt werde.

Der Rollout der Datengrenze soll in mehreren Phasen erfolgen. Zunächst würden die Kund:innendaten angegangen. In weiteren Schritten sollen Protokolldaten, Servicedaten und andere Arten von Daten einbezogen werden. Die letzte Phase soll 2024 abgeschlossen sein.

Microsoft reagiert damit auf zwei Urteile des Europäischen Gerichtshofes zum Datenaustausch zwischen den USA und Europa, die Datenschutzaktivist Max Schrems ins Rollen gebracht hatte. Gekippt wurde zuerst die Vereinbarung Safe Harbor, später die Nachfolgeregelung Privacy Shield.

Die EU legt damit fest, dass die USA kein mit dem hiesigen vergleichbares Datenschutzniveau haben, insbesondere weil US-Geheimdiensten dort ein weitreichender Zugriff – auch auf Daten in der EU – gewährt wird. Microsoft reagierte darauf – und will diese Maßnahmen mit der Datengrenze jetzt noch ausbauen.

Es bleibt jedoch schon hier ein großes Aber: Personenbezogene Daten werden damit zwar grundsätzlich, aber eben nicht ausnahmslos in der EU gespeichert und verarbeitet. Die Zusage gilt zum Beispiel nicht „für bestimmte IT-Sicherheitsmaßnahmen“, wie IT-Rechtsanwalt Christian Solmecke t3n sagte.

Aktuell steht etwa einmal mehr Microsoft 365 (ehemals Office 365) unter Beschuss deutscher Datenschützer:innen. Zwar hatte Microsoft in seinem überarbeiteten Auftragsverarbeitungsvertrag die neuen Standardvertragsklauseln der EU verwendet und berücksichtigt. Das reicht aber offenbar nicht aus.

Laut der Deutschen Datenschutzkonferenz, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ist Microsoft 365 weiterhin nicht datenschutzkonform. Unternehmen, Organisationen und Behörden müssten bei einem Einsatz zusätzliche Schutzvorkehrungen treffen, wie der Bundesdatenschutzbeauftragte Ulrich Kelber erklärte.

Andrea Wörrlein, Geschäftsführerin von Virtual Network Consult, einem Softwareunternehmen mit Sitz in Berlin, sieht in der „Unvereinbarkeit von Microsoft 365 mit Datenschutzgesetzen“ keinen handwerklicher Fehler. Vielmehr sei das „prinzipbedingt und unverzichtbarer Teil des Geschäftsmodells“.

Das Problem, das die Datenschutzbehörden mit Microsoft 365 vor allem haben, ist, dass „die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird“.

Der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, könne daher nicht erbracht werden. Oder, wie es Wörrlein ausdrückt: „Niemand weiß, was in der hermetischen Black Box tatsächlich passiert.“

Dass Microsoft viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der Datenschutzkonferenz für grundlegend falsch hält, ist kein Trost für deutsche Unternehmen oder Schulen, die Microsoft 365 einsetzen.

Auch die „EU-Datengrenze“ kann dieses Problem in Hinblick auf den Datenschutz nicht komplett lösen. Aber, so Rechtsanwalt Solmecke, letztlich würden nicht die Datenschutzbehörden, sondern Gerichte darüber entscheiden, ob die Gesetze (zum Beispiel die DSGVO) eingehalten würden. Die Rechtsunsicherheit für Unternehmen bleibt bis dahin aber vorhanden.