Microsoft ganz offen: "Wir können Ihre Office-365-Daten weitergeben - auch ohne Ihre Zustimmung"
Am Dienstag, den 28. Juni ist Office-365-Tag, dann wird Steve Ballmer die Cloud-Office-Suite offiziell aus dem Beta- in den Release-Status entlassen. Im Vorfeld sind nun einige durchaus pikante Details in Sachen Datenschutz bekannt geworden. So entdeckte Zdnet-Blogger Zack Whittaker im Office-365-Security-Whitepaper interessante Informationen dazu, wie Microsoft den Datenschutz und die Privatsphäre von Office-365-Daten handhabt.
Microsoft gibt hierin deutlich zu erkennen, dass es unter Umständen Kundendaten herausgeben kann oder muss, ohne zuvor die betroffenen Kunden darüber zu informieren. Im Detail lautet der Passus wie folgt:
In einer begrenzten Zahl von Umständen könnte es erforderlich sein, dass Microsoft Ihre Daten ohne Ihre vorherige Zustimmung herausgibt. Eingeschlossen sind Situationen, bei denen es um das Befolgen rechtlicher Verpflichtungen geht oder aber darum, die Rechte oder das Eigentum von Microsoft oder anderen zu schützen (eingeschlossen ist die Erzwingung von Vereinbarungen oder Richtlinien im Zusammenhang mit der Nutzung der Services.)
Diese Regelung betrifft alle Benutzer und Daten der Microsoft Online Services, die bekanntlich die Basis von Office 365 bilden. Eingeschlossen ist dabei auch die aktuelle Business Productivity Online Suite (BPOS), die derzeit auf Office 365 migriert wird.
Microsoft informiert nicht über Datenmigrationen in andere Länder
Interessant wird das Ganze vor dem Hintergrund der geografischen Lage der Kunden und der Rechenzentren. Hierbei kommen zum Beispiel EU-Regelungen wie die EU-Safe-Harbour-Vereinbarung ins Spiel, die die Herausgabe von Daten zwischen der EU und den USA regelt. Grundsätzlich müssen gemäß den EU-Regelungen Kunden explizit zustimmen, wenn Daten den EU-Bereich verlassen. Und genau das kann oder will Microsoft nicht garantieren, wie dem Geographic-Boundaries-FAQ zu entnehmen ist:
F: Wird Microsoft darüber informieren, wenn Kundendaten in ein anderes Land transferiert werden?
A: Nein.
Das wäre grundsätzlich unproblematisch, würde Microsoft die Daten seiner EU-Kunden innerhalb einer klar begrenzten “EU-Boundary” hosten. Aber genau das ist nicht der Fall, denn die für EU-Kunden geltende “Office 365 Geographic Boundary” erstreckt sich weit darüber hinaus auf “Europe, Middle East, Africa”. Laut FAQ wird Microsoft seine Kunden lediglich dann informieren, wenn sich bezüglich der Ordnung der Boundaries etwas ändert. Im Klartext: Würde Microsoft beispielsweise Daten eines deutschen Kunden aus seinem Amsterdamer Rechenzentrum in ein Saudi-Arabisches Rechenzentrum verschieben, müsste es den Kunden darüber nicht informieren.
Patriot Act zwingt US-Firmen zu Datenherausgabe
Unabhängig davon kommt auch noch der amerikanische “Patriot Act” ins Spiel. Gemäß diesem können US-Ermittlungsbehörden Microsoft zur Herausgabe von Daten zwingen, weil es ein in den USA ansässiges Unternehmen ist – sogar dann, wenn die Daten und dessen Besitzer außerhalb der Vereinigten Staaten liegen.
Zusammenfassend betrachtet agiert Microsoft mit Office 365 in einem Datenschutz-rechtlich schwierigen Terrain, in dem auch einige komplizierte politische Aspekte zwischen der EU und den Vereinigten Staaten zum Tragen kommen. Vielen Kunden dürften das nach eingehender Beschäftigung vor einer Nutzung von Cloud-Office-Diensten abschrecken. Den Redmondern kann man aber zumindest zugute halten, dass sie ihre diesbezüglichen Verhaltensregeln relativ transparent machen – wenn auch über diverse FAQs und Whitepapers verteilt.
[UPDATE] Microsoft stellt klar: Patriot-Act erzwingt Zugriff auf EU-Kundendaten
Die Datenschutzdebatte im Vorfeld der Office-365-Premiere kam bei Microsoft an. Pressesprecher von Microsoft Deutschland konnten zwar gestern bei der Launch-Veranstaltung auf meine Anfrage keine weiteren Angaben machen, die über die bereits oben beschriebenen Microsoft-Erläuterungen hinausgehen. Auf der Parallelveranstaltung in Großbritannien jedoch schaltete der Chef von Microsoft-UK, Gordon Frazer, auf Vorwärtsverteidigung und stellte die Situation Microsofts und seiner Kunden klar. Vorangegangen war folgende Frage:
“Kann Microsoft garantieren, dass Daten von EU-Kunden, die in EU-ansässigen Rechenzentren liegen, den europäischen Wirtschaftsraum unter keinen Umständen verlassen – selbst wenn eine Aufforderung unter dem Patriot Act vorliegt?”
Frazers Antwort lautete ganz klar:
“Microsoft kann solche Garantien nicht geben, so wie das kein anderes Unternehmen tun kann.”
Laut Whittaker ist dies das erste mal, dass ein Unternehmen deutlich auf die Folgen des Patriot Acts für EU-Cloud-Kunden hinweist.
- Die Top-10-Limitierungen von Microsoft Teams: Beschränkte Kanäle, fehlende Apps und versteckte Gruppen - 1. Juni 2023
- Swoop-Studie 2023: "Teams wird kaum für die Zusammenarbeit genutzt, E-Mail bleibt dominierende Office-Anwendung" - 30. Mai 2023
- Microsoft peppt die Teams-Suche mit neuen Komfortfunktionen auf - 16. Mai 2023
Noch ein Grund Abstand von Microspoft und anderen US Produkte zu gewinnen. Eine Freundschaft zwischen Nationen stelle ich mit anders vor. Es ist typisch amerikanisch, daß man internationales Recht zu gunsten von amerikanischem Unrecht beugt. Was interessiert uns Amerikaner der Rest der Welt.