© epa/Jochen Lübke

Bestimmungen
12/16/2011

Microsoft-Cloud berücksichtigt EU-Datenschutz

Seit Mitte Dezember gibt es für Microsoft-Kunden neue Vertragsdokumente, die neben diversen datenschutzrechtlichen Regelungen auch die EU-Standardvertragsklauseln ("EU Model Clauses") beinhalten. Wenn die US-Behörden aufgrund der "Patriot Act" Daten anfordern, muss Microsoft diese dennoch herausrücken. Das Unternehmen will Kunden in der Regel allerdings vorher darüber informieren.

von Barbara Wimmer

Der Software-Konzern Microsoft bietet mit Office 365 seit dem Sommer seine Office-Palette für kleine und mittlere Unternehmen in der Cloud an. Nun stehen den Kunden neue Vertragsdokumente zur Verfügung, die die europäischen Datenschutzbestimmungen reflektieren sollen. Das Unternehmen will dadurch die Office 365-Kunden dabei unterstützen den rechtlichen Verpflichtungen zum Datenschutz einfacher nachzukommen.

„In der Vergangenheit haben wir mit den Office 365-Kunden direkt über das Thema Datenschutz und die Umsetzung österreichischen und europäischen Rechts gesprochen. Das war für die Kunden ein relativ großer Aufwand. Durch die Integration der EU-Standardvertragsklauseln und der Veröffentlichung der entsprechenden Dokumente an zentraler Stelle schaffen wir Transparenz, die ihresgleichen sucht", so Alexandra Moser von Microsoft Österreich. Die Bestimmungen sind im Web abrufbar.

Für neue und bestehende Verträge anwendbar
Die "EU Model Clauses" sind von der Europäischen Kommission vorgegebene Vertragsklauseln, die den Datentransfer zwischen Unternehmen innerhalb und außerhalb der EU regeln. Die Vertragsklauseln stellen hohe Anforderungen an Anbieter Cloud-basierter Lösungen.

Micorosoft sei damit das erste Unternehmen, das freiwillig auf die "EU Model Clauses" setze, erklärte der Unternehmenssprecher von Microsoft Österreich, Thomas Lutz gegenüber der futurezone. Und das koste schließlich zusätzliches Geld, da dadurch weitere Zertifizierungsprozesse notwendig werden und Audits erfolgen müssen. Laut Lutz gelten die neuen Vertragsdokumente für alle neu abgeschlossenen Verträge. Doch es werde auch die Möglichkeit geben, bestehende Verträge entsprechend upzudaten.

Datenauslieferung an Behörden
Dennoch sind Kunden dadurch nicht vor behördlichen Zugriffen, wie zum Beispiel unter dem Deckmantel der Patriot Act gefeit. Diese ermöglicht es, dass Cloud-Daten aus der EU, die bei US-amerikanischen Anbietern gespeichert werden, durch US-Behörden eingesehen werden können.

So erklärte Gordon Frazer von Microsoft im Sommer bei der Präsentation von Office 365 in London, dass man Daten, die in der Cloud abgelegt sind, nicht vor der US-Patriot-Act schützen kann. Das bestätigte Microsoft, betonte jedoch mehrfach, dass es auch andere US-Unternehmen wie Apple, Google oder Amazon betreffen würde.

Kein österreichischer Fall bekannt
"Es handelt sich dabei um eine recht virtuelle Diskussion. Ich kenne keine Fälle, bei denen österreichische Kundendaten betroffen gewesen wären", erklärte Lutz gegenüber der futurezone. "Wenn es derartige Fälle gäbe und wir derartige Anfragen bekommen würden, würden wir Kunden in der Regel darüber informieren, bevor wir ihre Daten einfach herausgeben", fügte Lutz hinzu. In der Regel bedeutet in dem Fall: Wenn es keine Geheimhaltungspflicht gibt, die Behörden dem Unternehmen auferlegen (das dürfen diese nämlich).

Diese Diskussion schürt aus der Sicht Microsofts Ängste und Bedenken, die in Österreich jeglichen realen Hintergrund entbehren würden, so Lutz. Konkrete Hinweise darauf, dass diese gesetzlichen Bestimmungen das Geschäft von Microsoft beinträchtigen würden, gebe es nicht.

Geschäftsschädigend?
"Es wäre aber schwer, Marktbewegungen auf bestimmte Klauseln zurückzuführen", ergänzte Lutz. Doch wie die futurezone erst kürzlich berichtet hat, gibt es international sehr wohl Fälle von Unternehmen, die aufgrund er Patriot Act auf Office 365 verzichten - zuletzt gab BAE Systems den Verzicht auf die Microsoft Cloud-Lösung bekannt.

Mehr zum Thema