Cloud Act: Microsoft will Cloud wieder DSGVO-kompatibel machen

Microsoft   will mit einer weitreichenden Produktoffensive auf europäische Datenschutzbedenken reagieren und diesen genügen. Mit einer "Datengrenze" sollen Unternehmenskunden sowie Auftraggeber aus dem öffentlichen Sektor in Zukunft festlegen können, dass Daten der Microsoft Cloud (Azure, Microsoft 365, Dynamics 365) ausschließlich in der Europäischen Union gespeichert und verarbeitet werden. Nach Angaben des Unternehmens sei sichergestellt, dass die Daten zu keinem Zeitpunkt die EU-Grenzen verlassen können.

Letzteres ist wichtig, weil die USA im sogenannten Cloud-Act alle Unternehmen dazu verpflichten, auf Anfrage von US-Behörden Daten auszuliefern, auf die sie Zugriff haben. Nach der Auslegung des Gesetztes spielt es dabei keine Rolle, wo die Daten gespeichert sind. Entscheidend ist allein, ob ein US-Unternehmen Zugriff hat. Die weitere Ausgestaltung des Clous-Act widerspricht den EU-Datenschutz-Ansprüchen jedoch so fundamental, dass nach Meinung vieler Juristen eine Datenüberlassung nur nach ausführlicher Aufklärung und Einwilligung der Betroffenen DSGVO-konform möglich ist.

Unklar bleibt jedoch auch nach Microsofts Ankündigung, wie sich das Unternehmen aus dem Dilemma befreien will. Möglich wäre dies nach Ansicht von Experten nur, wenn Microsoft tatsächlich technisch keinen Zugriff auf die Informationen hätte, etwa weil diese stark verschlüsselt wären. Das ist jedoch fraglich, ob dies nach US-Recht überhaupt zulässig ist. Datenschützer sind daher skeptisch. Baden-Württembergs Datenschutzbeauftragter Stefan Brink hält die Datentransferproblematik nach einer Anfrage   weiter für ungelöst. Nach US-Recht haben Behörden auf sämtliche Daten Zugriff, auf denen auch ein US-Unternehmen Zugriff hat. Microsoft müsste also eigentlich eine rechtlich völlig unabhängige EU-Tochter gründen.