Was ist für SPLA-Partner drin?

Für Partner, die im Rahmen von SPLA-Verträgen (Service Provider Licence Agreement) das Hosting der Office-Produkte selbst übernehmen, können die von Microsoft für Office 365 definierten Vertragsdokumente und Regelungen zwar als Orientierungshilfe für die eigene Vertragsgestaltung dienen. Mehr allerdings auch nicht. Denn das SPLA-Modell sieht vor, dass der Partner selbst, und nicht Microsoft mit dem Endkunden den Vertrag abschließt. Und hier gilt, wie beim Support-Vertrag: Für die Erfüllung der datenschutzrechtlichen Pflichten sind der Dienstleister oder Hoster und der Endkunde verantwortlich.

Was ist mit der Patriot Act?

Einige Partner haben Office 365 bislang auch deshalb ihren Kunden nicht angeboten, weil - so die Befürchtung - hier der Zugriff der US-Behörden generell möglich sei (so genannter Patriot Act). Diesen Punkt kann Microsofts Datenschutz-Initiative selbstverständlich nicht auflösen. Doch Microsoft-Justiziar Bornemann will zumindest einige der meist verbreiteten Missverständnisse klären: "Rein theoretisch ist das natürlich möglich, ebenso wie jede andere Behörde eines Landes im konkreten Verdachtsfall auf Daten zugreifen kann", führt er aus. "Doch auch in den USA ist dieser Zugriff nur unter ganz bestimmten Bedingungen rechtlich zulässig, und diese Vorschriften wurden hier in den vergangenen Jahren äußerst verschärft."

Prof. Peter Bräutigam, Rechtsanwalt und Fachanwalt für Informationstechnologierecht von der Kanzlei Noerr LLP, pflichtet ihm bei: "Die Patriot Act gibt es de facto überall. Doch der Zugriff muss und kann immer nach rechtsstaatlichen Regeln erfolgen."

Für den möglichen Zugriff sei es außerdem völlig unerheblich, ob der Hoster, der Kunde oder der Cloud-Anbieter in den USA ansässig sei. "Auch in einer Konstellation, in der Endkunde, Partner, Hoster und Anbieter ausschließlich in Deutschland ansässig sind, könnten Behörden im begründeten Verdachtsfall auf Daten zugreifen. Es würde ausreichen, dass beispielsweise ein Mitarbeiter in die USA reist", so Bornemann. Das sei allerdings keine Besonderheit des US-Rechts, sondern gelte generell auch beispielsweise für Sicherheitsbehörden hierzulande.

Wie es weitergeht

Wie beschrieben, gibt es mehrere Wege, Datenschutzrechtskonformes Cloud Computing anzubieten. Microsoft hat es geschafft und sich das O.K. der deutschen Behörden für Office 365 eingeholt. In weiteren EU-Ländern sei dasselbe geschehen, wie Ralph Haupter erklärt. Der Manager betont, dass diese Zertifizierungen und Anpassungen auch für weitere Microsoft-Cloud-Produkte folgen sollen - unter anderem für Sharepoint und Microsoft Dynamics. "Da wir nun den Weg durchs Nadelöhr gefunden haben, werden wir es auch wieder schaffen", so Haupter.

Microsoft scheint zumindest in Deutschland der erste Hersteller zu sein, der es in Deutschland geschafft hat, sich eine offizielle Zustimmung der Datenschützer für sein Produkt einzuholen. Das schließt natürlich nicht aus, dass auch andere Konkurrenz-Produkte bereits Datenschutzkonform sind. Aber die Transparenz rund um die Marke Cloud Computing aus dem Hause Microsoft ist damit deutlich gestiegen, das steht fest. Ralph Haupter: "Wir sind überzeigt davon, Cloud Computing damit in eine neue Umlaufbahn katapultiert zu haben." Es wird sich zeigen, ob andere Hersteller nun versuchen, den gleichen Weg zu gehen.

(AR / rb)