Microsoft ist in diesen Tagen etwas Beachtliches gelungen: Für "Office 365" bekam der Konzern das O.K. der Datenschützer. Was das für die Branche und für den Fachhandel heißt, lesen Sie hier.
Datenschutz ist in diesen Tagen ein heißes Thema. Wie heiß es ist, zeigte allein die Tatsache, dass Microsoft Deutschland für die Veröffentlichung seiner entsprechenden News vor wenigen Tagen mit dem kompletten Führungsstab inklusive Deutschlandchef Ralph Haupter antrat, um zu verkünden: "Was Office 365 angeht, können wir sagen: Wir sind Datenschutzkonform!"
Doch was bedeutet diese Meldung, was steckt dahinter, und welche Bedeutung hat die Thematik rund um den Datenschutz für den Fachhandel?

Die Situation

Worauf Datenschutzexperten hinweisen: Letztlich ist immer der Kunde verantwortlich für den Datenschutz, ob er seine Daten nun bei sich in physische Ordnern verstaut oder diese in die Cloud packt. Der IT-Fachhandel kommt vor allem in Supportfragen mit ins Spiel, etwa wenn dieser Einblick und Zugriff auf Kundendaten erhält. Wenn Dritte mit ins Spiel kommen, spricht man von Auftragsdatenverarbeitung. Unabhängig von der Cloud und ihren technischen Möglichkeiten sei es hier für Fachhändler immer geboten, auf Anfrage vom Kunden Datenschutzkonforme Verträge anbieten zu können, wie Dr. Dirk Bornemann, Rechtsanwalt und Head of Legal bei Microsoft Deutschland im Gespräch mit ChannelPartner erklärt.

Cloud Computing kann sicher sein

Eine gesonderte Rolle kommt in diesen Fragen aber natürlich der Cloud zu, da hier per se Daten ausgelagert werden. Cloud Computing halten viele Teilnehmer der Branche als besonders unsicher, gerade was das Thema Datenschutz angeht. Seit dem Oktober 2011 sieht die Situation aus Sicht der Experten anders aus: Der Arbeitskreis Technik und Medien, der im engen Verbund mit den Datenschutzbeauftragten von Bund und Ländern steht, veröffentlichte die so genannte "Orientierungshilfe Cloud Computing". Dieser öffentlich zugängliche Leitfaden zeigt auf, unter welchen Umständen Cloud Computing aus Sicht der Datenschützer als sicher zu bezeichnen ist. Dabei gibt es mehrere Wege, wie dieses Ziel zu erreichen ist, wie Datenschutzexperten ChannelPartner gegenüber erläuterten.

Microsoft hat einen dieser Wege gewählt: Der Konzern bietet ab Mitte Dezember 2011 EU-Standardvertragsklauseln im Vertragswerk rund um das Cloudprodukt Office365 an, mit welcher der Hersteller Partnern und Endkunden die Möglichkeit bietet, Office, E-Mailíng und Co. datenschutzkonform aus dem Internet zu nutzen.

Das umzusetzen hat nach Angaben des Konzerns enormen technischen Aufwand bedeutet, denn es galt laut Deutschlandchef Ralph Haupter, auch alle Verträge mit Subunternehmern, die Microsoft rund um Office365 einsetzt, ebenfalls an diese Klauseln anzupassen. Und es musste Kunden ein sehr ausdifferenziertes Auditrecht ermöglicht werden.

Microsoft hat es geschafft: Die bayrische Datenschutzbehörde sieht mit dem Vertragswerk die nötigen Anforderungen gemäß der Orientierungshilfe erfüllt.

Worin steckt der Vorteil für Office-365 Partner?

Ein Kunde, der Office 365 aus der Cloud beziehen möchte, schließt den Mietvertrag in der Regel direkt mit Microsoft ab. Der IT-Fachhandel ist hier zunächst nur insofern beteiligt, als er dem Kunden dieses Cloud-basierte Produkt vermittelt. Da die Vertragsbestimmungen rund um Office 365 jetzt offiziell datenschutzkonform sind, könnten Kunden nun leichter für diese Produkte zu gewinnen sein. "Für die Microsoftpartner sind das gute News", wie Florian Müller, Produktmanager Office 365 ChannelPartner erklärt. "Umgekehrt heißt das auch für den Kunden, dass es für ihn nun einfacher ist, Datenschutzbestimmungen nachzukommen."

Die zweite Rolle, die der Partner innerhalb des Office-365-Modells übernimmt, ist die des First-Level-Support-Dienstleisters. In diesen Support-Situationen gelten jedoch nicht die Vertragsbestimmungen, die der Endkunden mit Microsoft direkt eingegangen ist. "Sollte der Partner selber eingreifen, etwa per First-Level-Support, müsste ergänzend ein eigener Vertrag zur Auftragsdatenverarbeitung geschlossen werden, den der Partner als guter IT-Support-Dienstleister bereits anbieten sollte", wie Bornemann erklärt. Dieser Vertrag ist aus datenschutzrechtlicher Sicht nötig, weil der Partner in diesem Fall Einblick und Zugriff auf Kundendaten erhält.

Microsoft bietet hier jetzt insofern Unterstützung an, als entsprechende datenschutzkonforme Vertragsdokumente für Partner und Endkunden ab Mitte Dezember ebenfalls über das Portal www.trustcenter.office365.de abrufbar sind.

Doch das nimmt den Partner nicht aus der Pflicht. "Im Support-Fall obliegt es nach wie vor ausschließlich dem Endkunden und dem Partner, die in diesen Verträgen zur Auftragsdatenverarbeitung definierten Auflagen zu erfüllen. Der Datenschutz ist nicht in Office 365 ‚eingebaut’", bringt es Bornemann auf den Punkt.

Portal mit Vertragsdokumenten

Ab Mitte Dezember 2011 wird Microsoft unter der Internetseite www.trustcenter.office365.de ein Informationszentrum rund um Microsofts Aktivitäten in Sachen Datenschutz anbieten. Partner können dieses etwa verwenden, um Kunden zu beraten. "Hier geht es natürlich nicht um Rechtberatung, aber Partner können damit Kunden über die Orientierungshilfe und die Existenz von EU-Standardvertragsklauseln informieren. Und Kunden können dann diese Informationen an ihren Rechtsberatern zu Prüfung weitergeben - womit ein hohes Maß an Transparenz für alle Seiten des Marktes geschaffen wäre", erklärt Dr. Dirk Bornemann, Rechtsanwalt und Head of Legal bei Microsoft Deutschland, im Gespräch mit ChannelPartner.

Was ist für SPLA-Partner drin?

Für Partner, die im Rahmen von SPLA-Verträgen (Service Provider Licence Agreement) das Hosting der Office-Produkte selbst übernehmen, können die von Microsoft für Office 365 definierten Vertragsdokumente und Regelungen zwar als Orientierungshilfe für die eigene Vertragsgestaltung dienen. Mehr allerdings auch nicht. Denn das SPLA-Modell sieht vor, dass der Partner selbst, und nicht Microsoft mit dem Endkunden den Vertrag abschließt. Und hier gilt, wie beim Support-Vertrag: Für die Erfüllung der datenschutzrechtlichen Pflichten sind der Dienstleister oder Hoster und der Endkunde verantwortlich.

Was ist mit der Patriot Act?

Einige Partner haben Office 365 bislang auch deshalb ihren Kunden nicht angeboten, weil - so die Befürchtung - hier der Zugriff der US-Behörden generell möglich sei (so genannter Patriot Act). Diesen Punkt kann Microsofts Datenschutz-Initiative selbstverständlich nicht auflösen. Doch Microsoft-Justiziar Bornemann will zumindest einige der meist verbreiteten Missverständnisse klären: "Rein theoretisch ist das natürlich möglich, ebenso wie jede andere Behörde eines Landes im konkreten Verdachtsfall auf Daten zugreifen kann", führt er aus. "Doch auch in den USA ist dieser Zugriff nur unter ganz bestimmten Bedingungen rechtlich zulässig, und diese Vorschriften wurden hier in den vergangenen Jahren äußerst verschärft."

Prof. Peter Bräutigam, Rechtsanwalt und Fachanwalt für Informationstechnologierecht von der Kanzlei Noerr LLP, pflichtet ihm bei: "Die Patriot Act gibt es de facto überall. Doch der Zugriff muss und kann immer nach rechtsstaatlichen Regeln erfolgen."

Für den möglichen Zugriff sei es außerdem völlig unerheblich, ob der Hoster, der Kunde oder der Cloud-Anbieter in den USA ansässig sei. "Auch in einer Konstellation, in der Endkunde, Partner, Hoster und Anbieter ausschließlich in Deutschland ansässig sind, könnten Behörden im begründeten Verdachtsfall auf Daten zugreifen. Es würde ausreichen, dass beispielsweise ein Mitarbeiter in die USA reist", so Bornemann. Das sei allerdings keine Besonderheit des US-Rechts, sondern gelte generell auch beispielsweise für Sicherheitsbehörden hierzulande.

Wie es weitergeht

Wie beschrieben, gibt es mehrere Wege, Datenschutzrechtskonformes Cloud Computing anzubieten. Microsoft hat es geschafft und sich das O.K. der deutschen Behörden für Office 365 eingeholt. In weiteren EU-Ländern sei dasselbe geschehen, wie Ralph Haupter erklärt. Der Manager betont, dass diese Zertifizierungen und Anpassungen auch für weitere Microsoft-Cloud-Produkte folgen sollen - unter anderem für Sharepoint und Microsoft Dynamics. "Da wir nun den Weg durchs Nadelöhr gefunden haben, werden wir es auch wieder schaffen", so Haupter.

Microsoft scheint zumindest in Deutschland der erste Hersteller zu sein, der es in Deutschland geschafft hat, sich eine offizielle Zustimmung der Datenschützer für sein Produkt einzuholen. Das schließt natürlich nicht aus, dass auch andere Konkurrenz-Produkte bereits Datenschutzkonform sind. Aber die Transparenz rund um die Marke Cloud Computing aus dem Hause Microsoft ist damit deutlich gestiegen, das steht fest. Ralph Haupter: "Wir sind überzeigt davon, Cloud Computing damit in eine neue Umlaufbahn katapultiert zu haben." Es wird sich zeigen, ob andere Hersteller nun versuchen, den gleichen Weg zu gehen.

(AR / rb)