Weil der Abschluss der Phase 3 des EU-Data Boundary Programmes von Microsoft mit der derzeitigen Situation in Amerika zusammenfällt, wird mein LinkedIn-Feed mit diversen Posts zu diesem Thema überflutet. Post, in denen oft wilde Vermutungen, aber auch einfach falsche Fakten gepostet werden.
Um es mir ein wenig einfacher zu machen, diese „Fakten“ richtig zu stellen, hier eine kleine FAQ.
Alle Punkte, die mit verlässlichen, prüfbaren Fakten hinterlegt sind, habe ich mit (FAKTEN) gekennzeichnet, alles was meine persönliche Meinung ist mit (MEINUNG).
Und wie immer: Ich freue mich über Feedback, Richtigstellungen, wenn FAKTEN hier nicht korrekt sein sollten, Ergänzungen und auch andere Meinungen.
Bedeutet das EU-Data Boundary Programm, dass keine Daten in die USA übermittelt werden ? (Fakten)
Nein. Für die Datenübertragung außerhalb der EU gibt es verschiedene Gründe. In den Microsoft Lizenz Bestimmungen finden sich dazu einige Gründe (Microsoft Product Terms)
Aber die amerikanischen Behörden haben ja Zugriff auf alle Daten, die in den M365 Datacenter von Microsoft gespeichert sind ? (FAKTEN)
Die amerikanischen Behörden haben KEINEN direkten Zugriff auf die Daten in den Microsoft 365 Datacenter von Microsoft.
Grundsätzlich können Strafverfolgungsbehörden, nationalen Sicherheitsbehörden und zivilen Behörden der ganzen Welt rechtliche Anforderungen zur Herausgabe von Daten an Unternehmen und eben auch an Microsoft stellen. Diese Anfragen sind gesetzlich gedeckt, werden von Microsoft geprüft und wenn rechtlich OK, werden diese Daten an die Behörden übermittelt. Diese Übermittlung ist selbstverständlich Datenschutzkonform.
In den USA gibt es zwei Verordnungen, die es US-Regierungsbehörden erlauben, abseits des oben beschrieben rechtlichen Rahmens, Daten von US Telekommunikationsanbietern anzufordern.
NSL erlaubt dabei nur die Anforderung von Verbindungsdaten (zb wer hat mit wem wann kommuniziert), FISA erlaubt auch die Anforderung von Inhaltsdaten. FISA ist klar als „non bulk collection program“ definiert. Dh jede Anfrage nach FISA muss detailliert begründet sein und in einem mehrstufigen Prozess vom Foreign Intelligence Surveillance Court (FISC) geprüft werden.
Die US Telekommunikationsanbieter dürfen die Anzahl der Anfragen nach FISA und NSL halbjährlich veröffentlichen (jeweils für 1 Jahr davor) – beide Berichte finden sich hier: Government Requests for Customer Data Report | Microsoft CSR
Quellen:
INTEL – The Foreign Intelligence Surveillance Court
INTEL – Categories of FISA
18 U.S. Code § 2709 – Counterintelligence access to telephone toll and transactional records | U.S. Code | US Law | LII / Legal Information Institute
Government Requests for Customer Data Report | Microsoft CSR
Sind diese US-Zugriffe nach FISA illegal ? (FAKTEN)
Mit Stand heute (5.3.25) nein.
Am 10. Juli wurde der EU-US Datenschutzrahmen von der EU beschlossen und mit diesem sind – vereinfacht ausgedrückt – diese Zugriffe EU-konform. (Fragen und Antworten: Datenschutzrahmen EU-USA)
Ist der EU-US Datenschutzrahmen überhaupt noch gültig ? (FAKTEN)
Eines des Kernstücke des EU-US Datenschutzrahmens war die Schaffung eines Kontrollgremiums in den USA – „Privacy and Civil Liberties Oversight Board“ (PCLOB) – dieses Board ist gesetzlich verankert, mit 5 Personen besetzt und ist eine erweiterte Aufsicht der US-Geheimdienste. Aus diesem Board wurden 3 der 5 Board-Members gekündigt.
Es gibt jetzt Meinungen, die sagen, dass damit der Datenschutzrahmen nicht mehr gültig ist. Fakt ist, dass es dazu eine Anfrage des EU-Parlaments an die europäische Datenschutzkommission gibt, aber noch keine Entscheidungen. Daher ist aus heutiger Sicht der EU-US Datenschutzrahmen gültig.
Ist die Nutzung von Microsoft 365 illegal, wenn der Datenschutzrahmen nicht mehr gültig ist ? (MEINUNG)
Diese Frage muss jedes Unternehmen für sich beantworten – ich kann Ihnen dazu keine Antwort geben.
Nachdem aber viele meiner Kunden in der Zeit zwischen dem Ende des Privacy Shield ( 2019) und der Gültigkeit des EU-US Datenschutzabkommen (2023) zu M365 gewechselt habe, kann ich hier erzählen, wie diese Unternehmen entschieden haben:
Ehrlicherweise muss man sagen, dass sicherlich 80% gesagt haben: „Alle anderen gehen auch in die Cloud, dann kann ich das auch.“ Eine nicht empfehlenswerte Haltung, nachdem es aber meines Wissens kein einziges Verfahren gegen irgendein europäisches Unternehmen gibt, WEIL es Microsoft 365 einsetzt, ist diese Haltung zumindest verständlich.
Die Unternehmen, die das Thema sehr ernst nehmen, haben – vereinfacht gesagt – diese Argumentation gehabt:
Die Wahrscheinlichkeit, dass einer meiner User von diesen dann illegalen Zugriffen betroffen ist, lässt sich schätzen. Die Anzahl der (aktiven) Benutzer in M365 war lt. Schätzungen bei 382 Millionen User im April 2023 (Microsoft FY24 Q4 Results Continue Growth in Cloud Revenues). Im Juli-Dezember 2023 gab es unter 500 Anfragen durch FISA, die unter 22.500 Accounts betroffen haben. Das sind 3.750 User pro Monat, dh eine Wahrscheinlichkeit von 0,000982 %. Dieses Risiko haben die Kunden ins Verarbeitungsverzeichnis übernommen und dazugeschrieben, was getan wird um das Risiko zu minimieren – hierzu eignet sich der Anhang C des Microsoft DPAs (https//aka.ms/DPA )
Aber wir können selbst dieses Risiko nicht eingehen (MEINUNG)
Simple Lösung: Microsoft 365 nicht nutzen.
In Wahrheit erzeugt JEDE Datenverarbeitung ein Risiko eines DSGVO widrigen Zugriffes. Aus meiner Erfahrung hat die Nutzung von Microsoft 365 bei den allermeisten Unternehmen, die ich begleitet habe, die Risken eines DSGVO widrigen Zugriffes auf Unternehmensdaten ganz massiv verringert. Warum ? Ein paar Beispiele:
- Das Patchen von Sicherheitslücken der IT Systeme erfolgt OnPrem in vielen Unternehmen nicht sehr zeitnah, sondern nach Tagen, manchmal Wochen oder Monaten – in der Cloud in der Regel massivst schneller
- Der Zugriff auf IT Systeme von ausserhalb ist bei OnPrem Systemen sehr oft nicht durch einen zweiten Faktor abgesichert – vor allem OWA – in der Cloud ist bei nahezu allen unseren Kunden ein zweiter Faktor selbstverständlich
- Der Zugriff auf IT Systeme onPrem ist bei vielen Kunden nicht auf Unternehmensgeräte beschränkt – damit liegen Unternehmensdaten auf nicht gemanagten/gesicherten Systemen – bei den meisten unserer Kunden ist in M365 der Zugriff nur von Unternehmensgeräten erlaubt
- Die wenigsten Kundensysteme OnPrem haben internationale/nationale Zertifizierungen – im Gegensatz zu M365
- Die wenigsten Kunden haben dedizierte Sicherheits-Experten, deren ausschliessliche Aufgabe es ist, Angreifer zu erkennen und abzuwehren – daher werden Angriffe in der Regel sehr spät erkannt
Das sind nur ein paar Punkte, die ein wesentlich höheres Risiko eines illegalen, DSGVO widrigen Zugriffes auf Unternehmensdaten haben als die 0,000982% durch FISA…
Aber wie geschrieben: Wem das Risiko zu hoch ist, muss die Nutzung einstellen.
Aber wenn Trump morgen einen präsidialen Erlass unterschreibt, der Microsoft zwingt, einen direkten, dauerhaften Zugang zu den weltweiten MS Datacenter zu errichten (MEINUNG)
Microsoft hat vor 15 Jahren begonnen, sein gesamtes Geschäftsmodell auf die Cloud auszurichten. Hier wurden nicht nur Produkte verändert, sondern auch Lizenzmodelle, Salesziele, Organisationen bis hin zu MItarbeitern. Heute macht Microsoft nicht nur mehr als die Hälfte des Umsatzes mit Cloudprodukten, auch der Aktienkurs des Unternehmens hat sich mehr als verzehnfacht. Ein Zurück zur „alten“ Welt ist aus meiner Sicht für Microsoft nicht mehr möglich.
Die Business Cloud lebt – im Gegensatz zu Consumer Cloud Diensten – nicht nur von den coolen Feature, sondern vor allem durch das Vertrauen von Unternehmen, dass die Unternehmensdaten in der Cloud sicher und geschützt sind.
Dh ein Erlass von Trump, einen ungehinderten Zugriff auf M365 zuzulassen, würde das Vertrauen massivst erschüttern, sehr viele Kunden weltweit dazu bewegen, die Cloud zu verlassen und das Businessmodell von Microsoft damit massivst schaden.
Was bedeutet, dass Microsoft ALLES tun wird, diesen Erlass vor Gericht zu bekämpfen und nicht umzusetzen. Nicht, weil MS unsere Daten so wichtig sind. Oder weil sie die Guten sind. Nein, weil Microsoft alles tun wird, das Vertrauen der Kunden und damit die Grundlage für ihr Business nicht zu verlieren.
Freue mich wirklich über Feedback, Ergänzungen, Richtigstellungen, anderen Meinungen zu diesem Thema.
