© Fotolia

Netzpolitik
11/05/2020

Microsofts Rechenzentrum in Österreich fällt unter US-Überwachung

Max Schrems sieht damit einen jahrelangen Rechtststreit rund um den Schutz der Daten der Österreicher mitten im eigenen Land.

von Barbara Wimmer

Vor wenigen Wochen hat Microsoft angekündigt, eine Milliarde Euro in Österreich in ein neues Rechenzentrum investieren zu wollen - das größte Investment, das Microsoft hierzulande je getätigt hat (die futurezone hat berichtet). Microsoft wird damit eine eigene Rechenzentrumsregion aufbauen. Diese wird sich der globalen Cloud von Microsoft anschließen, die jetzt insgesamt 64 angekündigte Regionen umfasst. Dadurch werden mit Microsoft Azure viele Dienste verfügbar: Rechendienste, Netzwerkdienste, Datenbankdienste, Analysedienste, KI-Dienste sowie IoT. 6 Monate bzw. 9 Monate nach der Verfügbarkeit von Azure folgen die Dienste Office 365 und Dynamics 365.

Doch wie sicher sind die Daten in Österreich vor dem Zugriff von US-Behörden? Der Datenschutzaktivist Max Schrems sprach am vierten IoT-Fachkongress von Austrian Standards am Mittwoch in seiner Keynote davon, dass es hier einen „Clash der Rechtsordnungen, physisch mitten in Österreich“ geben könnte. Einerseits gelte die Datenschutzgrundverordnung (DSGVO), andererseits hätten US-amerikanische Behörden aufgrund von Überwachungsgesetzen wie dem Cloud Act die Möglichkeit, auf Daten des österreichischen Rechenzentrums zuzugreifen.

Cloud Act

Der Grund dafür: Microsoft ist ein US-Unternehmen und mit dem sogenannten Cloud Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Der Cloud Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn es EU-Gesetze wie die DSGVO verbieten.

Die in Microsoft-Rechenzentren gespeicherten Daten fallen auch unter US-Überwachungsgesetze wie FISA 702. Dieses Gesetz verpflichtet Microsoft dazu, personenbezogene Daten an die US-Regierung weiterzugeben, ohne dass die Betroffenen darüber informiert werden. Doch genau dies ist laut einem EuGH-Urteil vom Juli 2020 nicht erlaubt. Damit liegt hier ein Rechtskonflikt vor, und zwar der, den Schrems anspricht.

Dieser Rechtskonflikt lässt sich eigentlich nicht lösen, außer, die USA ändert ihre Überwachungsgesetze und räumt europäischen Bürgern mehr Rechte ein, ihre Daten zu schützen.

"DSGVO gilt für uns weltweit"

Microsoft weiß freilich von dieser Problematik - kann aber nichts tun, außer sich an beide Gesetze zu halten: die DSGVO in Europa und den Cloud Act in den USA. Thomas Lutz, Unternehmenssprecher bei Microsoft Österreich, sagt gegenüber der futurezone dazu: „Die DSGVO gilt für uns weltweit, alle Daten werden grundsätzlich nach der EU-DSVGO verarbeitet. Das ist die härteste Währung derzeit im Bereich Datenschutz. Microsoft hat sich bereits vor zwei Jahren dazu entschlossen, das als weltweite Norm zu verwenden.“

Doch die Daten können auch auf Basis des Cloud Acts von US-Behörden angefragt werden. „Die Herausgabe von Daten an Behörden ist außerdem immer an einen Gerichtsbeschluss gebunden. Darüber hinaus wird der Kunde darüber informiert“, sagt Lutz. Zudem gebe es für die Microsoft Cloud über 90 Compliance-Zertifikate, die genaue Aussagen darüber geben, wie mit Daten umgegangen wird.

Firmen sollen Daten verschlüsseln

Weiters haben Unternehmen die Möglichkeit, ihre Daten zu verschlüsseln. Ein Unternehmen, das dieses Problem etwa in Deutschland auf diese Art und Weise gelöst hat, ist die Deutsche Bahn. Man setze auf eine „harte Verschlüsselung, die neugierige Blicke der US-Dienste verhindern soll“, heißt es in der WirtschaftsWoche. „Nur das Unternehmen selbst kann die Daten entschlüsseln“, ergänzt Lutz von Microsoft.

Auch das Digitalisierungsministerium will im Zuge des Großprojekts in Österreich stark mit Microsoft zusammenarbeiten. Zusammen wird man ein "Center of Digital Excellence" ins Leben rufen, um die österreichische IT-Infrastruktur und die des öffentlichen Dienstes zu modernisieren, hieß es in der Ankündigung. Ein essentieller Teil des Center of Digital Excellence soll ein Cybersicherheitsverbund der technischen und naturwissenschaftlichen Universitäten Österreichs werden.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.