Auswirkungen für Microsoft 365 und Azure – Gutachten der Uni Köln

1. Empfehlung für NutzerInnen von Microsoft 365 und Azure

Kernaussage des Gutachtens:
US-Behörden (Geheimdienste und Strafverfolgungsbehörden) haben weitreichende Zugriffs- und Herausgaberechte auf Daten, die bei US-basierten Cloud-Anbietern gespeichert werden – unabhängig davon, ob sich die Server in den USA oder im Ausland befinden. Dies betrifft insbesondere Anbieter wie Microsoft, die als US-Unternehmen dem US-Recht unterliegen. Die Rechtsgrundlagen sind u.a. Section 702 FISA, der CLOUD Act und der Stored Communications Act (SCA). Europäische Unternehmen haben nur eingeschränkte Rechtsschutzmöglichkeiten gegen Herausgabeanordnungen.

Empfehlungen:

• Datenklassifizierung und Risikoanalyse:
  Prüfen Sie, welche Daten in Microsoft 365/Azure verarbeitet werden und ob diese besonders schützenswert oder sensibel sind (z.B. personenbezogene Daten, Betriebsgeheimnisse). Führen Sie eine Risikoanalyse durch, ob und wie US-Behörden auf diese Daten zugreifen könnten.
• Verschlüsselung:
  Nutzen Sie Verschlüsselungstechnologien, bei denen nur Sie als Kunde die Schlüssel kontrollieren („Customer Managed Keys“). Beachten Sie jedoch, dass dies keinen absoluten Schutz bietet, da US-Behörden ggf. auch Herausgabeanordnungen für Schlüssel erwirken können.
• Datenspeicherung und Standortwahl:
  Speichern Sie besonders schützenswerte Daten möglichst in Rechenzentren innerhalb der EU/EWR. Beachten Sie aber, dass auch dann ein Zugriff über US-Recht möglich ist, wenn Microsoft als US-Unternehmen die Kontrolle über die Daten hat (z.B. durch Tochtergesellschaften).
• Vertragliche und technische Maßnahmen:
  Prüfen Sie die Verträge mit Microsoft (z.B. Data Protection Addendum, Standardvertragsklauseln) und setzen Sie zusätzliche technische Maßnahmen um, um den Zugriff zu erschweren.
• Transparenz und Dokumentation:
  Dokumentieren Sie alle Maßnahmen und Entscheidungen im Rahmen Ihrer Rechenschaftspflichten nach DSGVO und anderen Compliance-Vorgaben.
• Alternativen prüfen:
  Für besonders kritische Daten kann es sinnvoll sein, Alternativen zu US-basierten Cloud-Anbietern zu prüfen (z.B. europäische Anbieter).

2. Erwähnung von Microsoft im Gutachten

Microsoft wird im Gutachten explizit im Zusammenhang mit einem Rechtsstreit genannt:

• Microsoft-Irland-Fall:
  Das Gutachten beschreibt den Fall, in dem das FBI von Microsoft die Herausgabe von E-Mail-Daten verlangte, die auf Servern in Irland gespeichert waren. Microsoft argumentierte, dass US-Behörden keinen Zugriff auf Daten außerhalb der USA hätten. Das Berufungsgericht gab Microsoft zunächst recht, aber mit Inkrafttreten des CLOUD Act wurde klargestellt, dass US-Unternehmen wie Microsoft auch Daten herausgeben müssen, die im Ausland gespeichert sind, sofern sie die Kontrolle darüber haben. Das Verfahren wurde daraufhin vom Supreme Court als erledigt erklärt.

  „Die Frage der Extraterritorialität des SCA war zudem Gegenstand eines Rechtsstreits zwischen Microsoft und dem FBI. Das FBI erwirkte einen Durchsuchungsbeschluss unter dem SCA gegen Microsoft und verlangte die Herausgabe von Daten eines E-Mail-Accounts. Microsoft erhob daraufhin Beschwerde beim zuständigen Bundesgericht mit der Begründung, dass die betreffenden Daten beim Tochterunternehmen Microsoft Ireland in Irland gespeichert seien und sich somit außerhalb der Zuständigkeit amerikanischer Gerichte befänden. […] Während des laufenden Verfahrens trat 2018 der CLOUD Act in Kraft, woraufhin der U.S. Supreme Court das Verfahren als erledigt erklärte, da nun kein Disput über die Frage der Extraterritorialität mehr bestehe.“

3. Zusammenfassung

• US-Behörden können auf Daten in Microsoft 365 und Azure zugreifen, auch wenn diese in der EU gespeichert sind.
• Microsoft ist als US-Unternehmen verpflichtet, Herausgabeanordnungen zu befolgen, sofern die Kontrolle über die Daten besteht.
• NutzerInnen sollten technische, organisatorische und vertragliche Maßnahmen ergreifen, um Risiken zu minimieren und Compliance-Anforderungen zu erfüllen.

1. Datenklassifizierung und Risikoanalyse

• Sensible und besonders schützenswerte Daten identifizieren (z.B. personenbezogene Daten, Geschäftsgeheimnisse).
• Risikoanalyse / DSFA / Transfer-Impact Assessment durchführen: Welche Daten könnten für US-Behörden zugänglich sein? Welche Daten können wir durch Maßnahmen schützen?

2. Verschlüsselung

• Verschlüsselung aktivieren, idealerweise mit eigenen, kundenseitig verwalteten Schlüsseln („Customer Managed Keys“).
• Verschlüsselung Prüfen mit DKE (Double-Key-Encryption)
• Prüfen, ob Microsoft Zugriff auf die Schlüssel hat und ggf. zusätzliche Verschlüsselungslösungen einsetzen. (Rücksprache mit Microsoft und DPA -> Zugriff auf eigene Keys. ja!

3. Standortwahl und Datenresidenz

• Daten möglichst in EU-/EWR-Rechenzentren speichern -> DE!
• Prüfen, ob Microsoft als US-Unternehmen dennoch Zugriff auf die Daten nehmen könnte (Kontrollbegriff!). Diese Prüfung ist über den Transparency Report möglich.

4. Technische und organisatorische Maßnahmen

• Zugriffskontrollen und Berechtigungskonzepte implementieren. (Konzept und Umsetzung, Prüfung -> PIM, PAM)
• Protokollierung und Monitoring von Zugriffen aktivieren. (Purview Auditlogs)
• Regelmäßige Sicherheitsüberprüfungen und Audits durchführen. (Pentests)

5. Vertragliche Absicherung

• Data Protection Addendum (DPA) und Standardvertragsklauseln (SCC) mit Microsoft abschließen und dokumentieren.
• Zusätzliche vertragliche Zusicherungen zu Datenzugriffen und -schutz einfordern.

6. Transparenz und Dokumentation

• Alle Maßnahmen und Entscheidungen dokumentieren (Rechenschaftspflicht nach DSGVO).
• Betroffene informieren, falls Daten in die USA oder an US-Unternehmen übermittelt werden könnten.

7. Notfall- und Meldeprozesse

• Prozesse für den Umgang mit Herausgabeanordnungen („Government Access Requests“) definieren.
• Meldewege und Verantwortlichkeiten im Unternehmen festlegen.

8. Alternativen prüfen

• Für besonders kritische Daten Alternativen zu US-basierten Cloud-Anbietern evaluieren (z.B. europäische Anbieter).

9. Schulung und Sensibilisierung

• Mitarbeitende regelmäßig zu Datenschutzrisiken und sicheren Umgang mit Cloud-Diensten schulen.