Datenschutz in Schweizer Datacenter unter dem Einfluss des US Cloud Act

Der inländische Standort der neuen Microsoft-Datacenter ist für Microsoft ein wichtiger Schritt und verspricht mehr Swissness für Schweizer Kunden. Doch wie sieht es mit dem Datenschutz konkret aus? Und ist dafür ein Server­standort in der Schweiz ausreichend? Wie viel Datenschutz steckt wirklich in den Schweizer Cloud-Diensten von ­Microsoft?

Wo werden die Daten gespeichert?

Die gängigsten Azure-Dienste wie Computer (virtuelle Maschinen), Datenbanken und Webservices sind in der Microsoft Cloud Schweiz verfügbar. Allerdings stehen momentan noch nicht alle Dienste bereit. Bei Microsoft 365 werden die meisten Daten in den Microsoft-Rechenzentren in der Schweiz abgelegt. Einige andere Dienste wie Planner, Yammer oder Forms speichern ihre Daten jedoch nach wie vor entweder in den Rechenzentren in Irland, Niederlanden, Österreich, Finnland oder Frankreich.

Wie sieht es mit dem Datenschutz aus?

Microsoft nimmt den Datenschutz ernst und versucht sich stets an die Datenschutzrichtlinien zu halten. Das ist jedoch äusserst anspruchsvoll, wie sich in der Vergangenheit bereits mehrmals gezeigt hat. Das Unternehmen sammelt selbst systematisch Daten über die individuelle Nutzung von Word, Excel, Powerpoint und Outlook. Welche Telemetrie-Daten Microsoft im Hintergrund sammelt, ist für den Benutzer undurchsichtig, zudem ist der Datenstrom verschlüsselt. Es gibt für den Benutzer auch keine Möglichkeit, die Datensammlung auszuschalten. Erschwerend kommt hinzu, dass Microsoft als US-amerikanischer Konzern automatisch dem Cloud Act der US-Regierung untersteht.

Was ist der Cloud Act?

Der Cloud Act ist ein US-Gesetz, das den amerikanischen Behörden die uneingeschränkte Möglichkeit gibt, auf die Daten von amerikanischen IT-Cloud-Providern zuzugreifen. Dabei spielt es keine Rolle, wo die Daten effektiv gespeichert werden. Bei einer Strafverfolgung haben die Behörden freie Hand und müssen die Datenbesitzer nicht einmal benachrichtigen. Microsoft will sich gegen den Cloud Act wehren, und es wird sich in der Zukunft zeigen, ob dies gelingt. Zudem verletzen einige Passagen des Cloud Act das aktuelle Schweizer Recht (z. B. Art. 6 DSG). Damit steckt ein US-Cloud-Provider in der Zwickmühle und verletzt also unter Umständen entweder das Schweizer Recht (DSG), das US-Recht (Cloud Act) oder gar beide zusammen.

Was bedeutet das für die Cloud-Nutzer? Wegen des Cloud Act können sie nicht sicher sein, ob, wann und in welchem Umfang ihre Daten oder die Daten ihrer Kunden von ausländischen Behörden mitgelesen werden. Dies kann vor allem bei sensiblen Daten, die hohe Anforderungen an den Datenschutz stellen, problematisch sein. Das betrifft insbesondere Unternehmen aus der Finanzbranche, juristische Unternehmen, Firmen im Umfeld des Gesundheitswesens sowie auch Regierungsstellen. Zudem ist auch die DSGVO-Konformität solcher Cloud-Dienste fraglich.

Kann ich die Vorteile einer Cloud-Lösung nutzen, ohne unter den Cloud Act zu fallen?

Ja. Schweizer Unternehmen bieten höchst professionelle Private-Cloud-Angebote in Schweizer Rechenzentren an und bestechen durch einen lokalen Support, direkte Ansprechpersonen sowie umfangreiche Zusatzdienstleistungen für eine DSGVO-konforme und sorgenfreie IT. Ebenfalls bieten Schweizer Private-Cloud-Anbieter vielfach auch eine vollumfängliche Kompatibilität zu Cloud-Lösungen von Microsoft, Amazon und Google, die sich entsprechend integrieren und einheitlich administrieren lassen.