Was Microsoft Deutschland zum aktuellen Datenschutz-Geschehen sagt
Ein Interview mit Fatih Ataoglu, Head of Data Privacy and Data Security, und Ralf Wigand, National IT-Compliance Officer bei Microsoft Deutschland.
Welche Erwartung haben Sie an einen Privacy Shield Nachfolger, wie er in der gemeinsamen Erklärung der Europäischen Kommission und den USA zum Transatlantischen Datenschutzrahmen angekündigt wurde?
Aus Sicht von Microsoft ist das angesprochene Rahmenwerk ein wichtiger Schritt auf dem Weg zu einem einheitlichen Verständnis des Datenschutzrechts in den USA und Europa. Ungeachtet dessen werden wir auch weiterhin zusätzliche Instrumente einsetzen, um ein nach den Vorgaben der EU angemessenes Datenschutzniveau zu erreichen. Eine tragende Rolle werden in diesem Zusammenhang die von der EU-Kommission bereitgestellten Standardklauseln 2021/914/EU spielen.
Ein weiteres Instrument nach DSGVO zum Nachweis eines angemessenen Datenschutzniveaus bei Datenübermittlungen in Drittstaaten können ja Zertifizierungen nach DSGVO sein. Hat Microsoft hierzu Pläne?
Mit Inkrafttreten der DSGVO wurden die Rahmenbedingungen für eine Datenschutzzertifizierung nach Art. 42 DSGVO gelegt. Wir sind überzeugt, dass eine solche Produktzertifizierung unsere bestehenden Zertifizierungen wie z.B. ISO, SOC, C5 mehrwertstiftend ergänzen würde. Daher verfolgen wir die Diskussionen und Beratungen in diesem Zusammenhang und bringen uns aktiv in die damit zusammenhängenden Fragestellungen ein. Gegenwärtig gibt es jedoch keine feststehenden Pläne, die Angemessenheit des Schutzniveaus in Drittstaaten künftig (schwerpunktmäßig) auf dieser Grundlage sicherzustellen. Maßgebend für eine Produktzertifizierung nach Art. 42 DSGVO sind zudem akkreditierte und passende Zertifizierungsprogramme. Wir beobachten kontinuierlich das Zertifizierungsumfeld sowie den Akkreditierungsprozess auf Seiten der Zertifizierer.
Die deutschen Datenschutz-Aufsichtsbehörden haben die Ergebnisse eines externen Gutachtens zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden veröffentlicht. Es zeigt, dass zahlreiche Konstellationen, in denen US-Dienstleister in die Datenverarbeitung eingebunden sind, datenschutzrechtlich problematisch sein können. Wie bewertet Microsoft dieses Resultat?
Wir begrüßen die objektive Auseinandersetzung mit Fragen des US-Rechts, die im Zusammenhang mit den Befugnissen der US-Justiz stehen. In die Bewertung von Microsoft sollten unsere Bemühungen zur Einschränkung von Datenzugriffen durch Regierungen aufgenommen werden, die sich aus unserer Initiative „Defending your Data“ oder der EU Data Boundary for the Microsoft Cloud“, einer EU-Datengrenze für unsere Cloud-Lösungen, ergeben.
Können Sie einen Überblick geben, was Microsoft gegenwärtig mit Blick auf die DSGVO unternimmt?
Microsoft engagiert sich seit langem, um die Anforderungen der EU-Datenschutzbestimmungen zu erfüllen oder zu übertreffen. So haben wir uns als erstes großes Technologieunternehmen klar zu den Regelungen der Europäischen Datenschutz-Grundverordnung bekannt und die grundlegenden Rechte der DSGVO auf Verbraucher*innen weltweit ausgedehnt. Mit unserem globalen Datenschutz-Dashboard können Kund*innen die Nutzung ihrer personenbezogenen Daten in Onlinediensten von Microsoft einsehen und zentral verwalten. Davon haben seit der Einführung der DSGVO bereits mehr als 18 Millionen Microsoft-Kund*innen weltweit Gebrauch gemacht – allein vier Millionen aus der EU.
Wies sieht es Zertifizierungen aus?
Weltweit ist Microsoft zudem der Cloudanbieter mit der größten Anzahl von Zertifizierungen. Mehr als 50 internationale Standards sind damit abgedeckt sowie weitere Industriestandards oder nationale Standards wie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegte Kriterienkatalog C5 (Cloud Computing Compliance Controls Catalogue).
Zudem haben wir uns mit der Initiative Defending your Data verpflichtet, jede Anfrage einer staatlichen Stelle nach Daten von Unternehmenskunden oder Kunden aus dem öffentlichen Sektor anzufechten, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht dabei über die Empfehlungen des Europäischen Datenschutzausschusses hinaus. Microsoft wird die Nutzer*innen seiner Kunden zudem finanziell entschädigen, wenn das Unternehmen Daten dieser Nutzer*innen aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der DSGVO offenlegen muss. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus.
Cloud-Services arbeiten international, also über EU-Grenzen hinweg. Wie geht Microsoft mit diesem Thema um?
Im Mai 2021 haben wir die Einrichtung einer EU-Datengrenze für unsere Cloud-Lösungen bekanntgegeben. Mit der EU-Datengrenze ermöglicht Microsoft seinen in der EU ansässigen Kunden aus der Privatwirtschaft und dem öffentlichen Sektor künftig, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern.
Damit ergänzen wir unser grundlegendes Datenschutz-Versprechen und die umfassenden Schutzmaßnahmen, die wir unseren Kunden bieten. Dazu gehört unter anderem eine starke Verschlüsselung: So verschlüsseln wir Kundendaten sowohl während der Übertragung als auch im Ruhezustand mit einem hohen Verschlüsselungsstandard. Diese Verschlüsselung ist ein zentraler Punkt im Entwurf der Empfehlungen des Europäischen Datenschutzausschusses. Wir stellen keiner Regierung unsere Verschlüsselungs-Keys oder eine andere Möglichkeit zur Verfügung, unsere Verschlüsselung zu brechen.
Aber der Staat greift am Ende doch auf Daten zu?
Wir gewähren keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten unserer Kunden. Falls eine Regierung Kundendaten von uns verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Wir werden Forderungen nur dann nachkommen, wenn wir eindeutig dazu gezwungen sind. Wir sind transparent: Seit vielen Jahren veröffentlichen wir Informationen über staatliche Anfragen nach Kundendaten. Wir haben zudem die US-Regierung verklagt, um mehr Möglichkeiten für die Offenlegung von Anfragen zur nationalen Sicherheit zu bekommen, die wir erhalten. Dabei haben wir einen Vergleich erzielt, der uns genau das ermöglicht. Die Informationen über nationale Sicherheitsanfragen legen wir nun zweimal jährlich zusätzlich zu unserem regulären Law Enforcement Request Report in allen unseren Geschäftsbereichen offen.