Beim Datenschutz stehen die Vereinigten Staaten aus Sicht des Europäischen Gerichtshofs in einer Reihe mit Russland und China. Für Unternehmen und öffentliche Verwaltungen in Europa ist die Zusammenarbeit mit Cloud-Diensten von US-Konzernen wie Amazon, Google und Microsoft vor allem deshalb heikel, weil die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben. Microsoft hat nun eine weitreichende Produktoffensive gestartet, um auf diese Datenschutzbedenken in Europa einzugehen.

Kunden des Softwaregiganten in der Europäischen Union sollen künftig ihre Daten bei Microsoft ausschließlich in der EU verarbeiten und speichern lassen können. "Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen", kündigte Microsoft-Präsident Brad Smith am Donnerstag in einem Blogeintrag an.

Microsoft reagiert damit auf zwei Urteile des EuGH zum Datenaustausch zwischen den USA und Europa. Auf Betreiben des Datenschutzaktivisten Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die Vereinbarung "Safe Harbor" gekippt. Im vergangenen Juni brachte Schrems vor dem EuGH auch die Nachfolgeregelung "Privacy Shield" zu Fall.

EuGH entzug in großen Teilen das rechtliche Fundament

Mit den beiden Urteilen war der kommerziellen Datenübertragung in die USA in großen Teilen das rechtliche Fundament entzogen worden. Nach Ansicht des EuGH existiert in den USA kein vergleichbares Datenschutzniveau wie in der EU. Kritisch gesehen wird vor allem das US-Gesetz "Cloud Act", das den US-Geheimdiensten mit Hilfe von Geheimgerichten ermöglicht, Daten zu beschlagnahmen - auch außerhalb der USA. Die neue US-Regierung unter Präsident Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfassende Datenschutzvereinbarung abzuschließen.

Cloud-Giganten wie Amazon (AWS), Google und Microsoft waren nach dem ersten EuGH-Urteil zum "Safe Harbor" auf Standardvertragsklauseln ausgewichen, in denen sie die Einhaltung von Datenschutzvorschriften zusagten. Außerdem boten die Cloud-Konzerne Server-Standorte in Deutschland und anderen europäischen Ländern ein. Mit dem zweiten EuGH-Urteil zur Nachfolgeregelung "Privacy Shield" war aber klar, dass Serverstandort und Vertragsklausel alleine nicht ausreichen, um den Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) zu genügen.

Projekte aufgrund der DSGVO gescheitert

Viele Verantwortliche in europäischen Unternehmen und öffentlichen Verwaltungen, die sich fachlich für eine Lösung eines US-Anbieters entschieden hatten, blendeten die wackelige Rechtsgrundlage aus und legten einfach los. Andere schoben die Investitionsentscheidung auf die lange Bank. Nach einer Umfrage des Digitalverbandes Bitkom vom November 2010 sind bei mehr als jedem zweiten Unternehmen (56 Prozent) neue, innovative Projekte aufgrund der DSGVO gescheitert. Dabei spielte auch der erschwerte Datenaustausch mit den USA eine gravierende Rolle.

Das neue Microsoft-Angebot einer "EU-Datengrenze" richtet sich an Kunden in Unternehmen und dem öffentlichen Sektor, nicht an private Anwender. Die Verpflichtung werde für alle zentralen Cloud-Dienste von Microsoft gelten - Azure, Microsoft 365 (inklusive Microsoft Office und Teams) und Dynamics 365. "Wir haben bereits mit den technischen Vorbereitungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämtliche personenbezogenen Daten unserer Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn sie das wünschen", heißt es in dem Blogeintrag von Smith.

Unklar bleibt aber, ob die Datengrenze die rechtlichen Unsicherheiten beim Datentransfer zwischen Europa und den USA tatsächlich beseitigen kann. Dem Vernehmen nach ist weiterhin der Microsoft-Konzern rechtlich für die Cloud-Daten verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington unterliegt damit der US-Rechtssprechung.

Der österreichische Datenschutzaktivist Max Schrems sieht das Microsoft-Angebot deshalb kritisch: "Nachdem Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben", sagte Schrems der Deutschen Presse-Agentur. "Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben."

Microsoft glaubt, einen Ausweg gefunden zu haben: Das Zugriffsrecht der US-Geheimdienste könnte nämlich technisch ausgehebelt werden, wenn die Kunden ihre Cloud-Daten selbst wirksam schützen. "Bei vielen unserer Services liegt die Kontrolle über die Verschlüsselung der Daten durch die Verwendung von kundenverwalteten Schlüsseln in den Händen der Kunden selbst", erklärte Microsoft-Präsident Smith. Dabei kämen Schlüssel zum Einsatz, die nicht von Microsoft verwaltet werden, sondern von den Kunden selbst. "Zudem schützen wir die Daten unserer Kunden zusätzlich vor einem unzulässigen Zugriff durch staatliche Stellen", erklärte Smith.

Experten weisen zudem darauf hin, dass der lange Arm der US-Justiz auch bei Anbietern zuschlagen kann, die nicht aus den USA stammen. Jede Firma, die eine Niederlassung in den USA hat, kann in ein rechtliches Verfahren in den Vereinigten Staaten verwickelt werden. (dpa/rs)