M365, DSGVO & Speicherort

25. November 2020 11:25 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Bei der Diskussion um die Nutzung von Microsoft 365 (ehemals Office365, O365) wurde neben formalen Mängeln häufig als Ablehnungsgrund angeführt, dass die Daten nicht in Deutschland gespeichert werden und es weiterhin Datenabfluss und Zugriffsmöglichkeiten aus den USA gibt. Microsoft versucht natürlich die Unsicherheiten in Bezug auf die DSGVO zu zerstreuen (Protecting your Data). Zwar ist auch eine Speicherung von nicht-personenbezogenen Daten fast überall in Europa zulässig (free flow of data), dennoch wird gerade in Deutschland das Argument immer wieder hervorgeholt, dass nur auf Systemen in Deutschland gespeichert und archiviert werden darf.

Microsoft betreibt mit Unterstützung der Deutschen Telekom zwei Rechenzentren in Deutschland und erfüllt damit eigentlich auch diese Bedingung. Die Rechenzentrumsstandorte sind Frankfurt und Berlin. Neue Kunden, die jetzt Microsoft 365 buchen, werden automatisch auf der deutschen Plattform eingerichtet. Kunden mit älteren Verträgen müssen dies extra beantragen. Die Frist der Beantragung für Bestandskunden läuft noch bis zum 1.5.2021. Wann dann der Umzug exakt durchgeführt wird und wie man dies dann auch erfahren kann, wo die Daten physisch liegen und wo die Sicherungen dieser Dateien dann gespeichert sind, ist noch nicht definitiv geregelt. Der tatsächliche Umzug kann sich auch schon mal bis zu zwei Jahren verzögern.

Wer es noch nicht gemacht hat – den Antrag für den Umzug können Sie selbst in der Administrationskonsole losschicken:
– Anmeldung bei Office.com mit Admin-Rechten
– Anwahl des Administrationsbereiches
– Anwahl „Einstellungen“
– Anwahl „Einstellungen der Organisation“
– Anwahl Register „Organisationsprofil“
– Anwahl „Data Residency“
– Anklicken der Checkbox unten zur Beantragung, die ruhenden Kundenkerndaten der eigenen Organisation nach Deutschland zu migrieren.

Dies wird die Diskussion um die DSGVO-Zulässigkeit der Microsoft-Cloud-Lösung nicht beenden, erleichtert diese aber und bringt mehr Sicherheit in Bezug auf den Datenschutz mit sich.

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

3 Kommentare zu “M365, DSGVO & Speicherort

  • Reicht das denn?
    15. Dezember 2020 um 19:10
    Permalink

    Sind nicht alle Unternehmen, die in USA wirtschaftlich tätig sind wie die Deutsche Telekom (und nicht nur ansässig wie Microsoft), laut Cloud Act zur Datenherausgabe an die US-Behörden verpflichtet. Und zwar unabhängig davon, wo die Daten gespeichert sind. Da nützt dann auch das sicherste RZ in der deutschen Hauptstadt Nullkommanix

    Antwort
    • Geht es nur um "psychologische Kriegsführung?"
      16. Dezember 2020 um 10:59
      Permalink

      Lieber Herr Maier,

      Sie haben natürlich mit Ihrem Einwurf recht und einen wunden Punkt getroffen.
      Ich weiß nicht wie die Verhältnisse in Österreich sind, aber in Deutschland wird das Thema des Datenschutzes in Bezug auf Plattformen wie Microsoft Teams, Box und anderen immer wieder benutzt um komfortable Lösungen zum Beispiel bei der Zusammenarbeit in Projekten, die keine direkt personenbezogenen Daten und keine streng vertrauliche Informationen enthalten, zu verhindern. Hier ist die Verlegung des Speicherortes zumindest in ein Rechenzentrum in Deutschland eine psychologische Hilfe zur Überwindung von pauschalen Widerständen. 

      Zwei Aspekte sollten wir aber besser trennen: 

      (1) Rechtlich

      Rechtlich gesehen gibt es durch den europäischen Free Flow of Data Act (http://bit.ly/EU-DSM-FFoD) schon länger die Möglichkeit in einem beliebigen Staat der EU seine Daten zu verarbeiten und zu speichern – mit bestimmten Ausnahmen z.B. für HR-Daten und anderen Informationen unter den GDPR. Ein Wechsel von einem irischen Rechenzentrum in ein deutsches RZ wäre also prinzipiell unnötig (von Grossbritannien nach Europa aktuell eher notwendig http://bit.ly/2CNYjBU). Internationale Software-, Internetdienste- und Cloud-Speicher-Anbieter wie IBM, Amazon, Google, Microsoft & Co. , die letztlich der Gesetzgebung der USA unabhängig vom Standort ihrer Unternehmen unterliegen (z.B. Patriot Act), können gezwungen werden, auch Daten europäischer Unternehmen und Personen bei gerichtlichen Anfragen offenzulegen. Dies ist anders zu bewerten, als wenn generell Daten auf den freien Markt geworfen und verkauft werden (z.B. nach Hacks, die sich auch in deutschen Clouds und in On-Premises-Lösungen im Unternehmen selbst kaum vermeiden lassen). Selbst bei der gesetzlich begründeten und gerichtlich verfügten Offenlegung und Übergabe von Daten wehren sich Unternehmen wie z.B. Microsoft. Generell Ausforschung oder gar Datenmissbrauch zu unterstellen halte ich für übertrieben. Jedoch muss generell die Auswertung der Daten – weniger die reine Speicherung – geregelt werden, da hier durch KI, Analytics, BigData, DataScience etc. immer mächtigere Werkzeuge zum Einsatz kommen. Diese Transparenz durch Überlassung von Daten im Internet und auf Social Media war von uns im Tausch gegen die Leistungen der Internet-Dienste-Anbieter gewollt. Es ist so schwierig zu begründen, warum bei einem Anbieter kostenfreie Dienste gegen Daten in Anspruch nimmt aber auf der anderen Seite verlangt, dass er die gespeicherten Daten nicht nutzt. Aber wir sprechen hier ja eher von den internen Unternehmensdaten in Collaborationsplattformen, Projekträumen und Archivspeichern. Hier müssen natürlich Vertraulichkeits-Maßstäbe gewahrt bleiben und in rechtlichen Normen verankert sein. Dies verlangt z.B. ja auch das GeschGehG (http://bit.ly/geschgehg) von den Unternehmen in Bezug auf die Speicherung und Sicherheit von Daten. Bezogen auf den konkreten Fall der Verlegung von Datenspeichern von Microsoft in ein deutsches Rechenzentrum hilft hier wenig wenn die Muttergesellschaft in den USA gezwungen wird den Zugang – im Einzelfall – zu gewähren. Da helfen auch die aktuellen Bestrebungen in den USA zur Schaffung von Datenschutzgesetzen vergleichbar den GDPR (z.B. in Kalifornien der CPRA https://bit.ly/CRPAPrivacy) nicht viel weiter.
      Von diesen gezielten Datenabforderungen sind zu dem noch die ständigen Datenabflüsse zu unterscheiden, wo einmal durch Erzeugung von Datensicherungskopien und Synchronisierung  Informationen von einem RZ automatisiert in ein anderes RZ übertragen werden (was letztlich aus Sicherheits- und Verfügbarkeitsgründen gewünscht ist) und andererseits Protokoll- und Nutzdatenjournale in die Auswertung abfliessen. Letzteres dürfte auch der entscheidende Punkt sein, wo am Ehesten Konflikte mit GDPR/DSGVO/BDSG/GeschGehG zu erwarten sind. Hier arbeitet die EU mit neuen Richtlinien (und letztlich auch Verurteilungen und Strafen gegen Mißbrauch) im Rahmen des DSM Digital Single Market Privacy Regulations Act (z.B. https://bit.ly/3eaVnPi) an Lösungen. Die Frage des Standortes eines Rechenzentrums wird rechtlich gesehen in einer globalisierten Wirtschaft immer weniger wichtig werden, da es im Internet- und Cloud-Zeitalter keine Chancen mehr zur vollständigen Abschottung gibt. Besser Transparenz und Nachvollziehbarkeit regeln denn zu versuchen, technische Systeme durch Gesetze zu regulieren.

      (2) Technisch

      Wie schon unter rechtlich angemerkt ist der Austausch von Daten zur Steuerung einer vernetzten Internet- und Cloud-Infrastruktur unerlässlich. Es kann hier also nur darum gehen, was an Daten genutzt und ausgewertet wird – und wie dies kontrolliert werden kann. Auch wenn diese Operationen zum Datenaustausch, die auch zu Datenabfluss in die USA und zur Speicherung von Daten in den USA führen, schon sehr intransparent sind, gibt es noch eine weitere, fast unsichtbare offene Flanke: Hardware und Betriebssoftware. Dies betrifft alle Geräte vom hochsicheren Rechenzentrum bis zum Mobiltelefon. Es werden z.B. Komponenten wie Router, Server usw. verbaut, die alle fernwartbar sind und vielfach über „Hintertüren“ verfügen (… müssen, um im Notfall administrieren zu können). man ist auf bestimmte Basistechnologien bei Hardware und Betriebssystemen angewiesen, die leider nicht mehr aus Deutschland oder Europa kommen (ob die europäische Cloud Gaia-X hier Abhilfe schaffen kann, ist zweifelhaft, da auch hier chinesische und US-amerikanische Technologie verbaut wird und auch international Anbieter mitmachen wollen https://bit.ly/2U9TGc5). Auch der Versuch, ausländische Anbieter wie z.B. Huawei durch gesetzliche Maßnahmen ausschließen zu wollen (siehe das neue IT-Sicherheitsgesetz https://bit.ly/2W9TLx3) dürfte nicht grundsätzlich etwas ändern. Die Abhängigkeit von Technologie und den Unternehmen, die diese Technologie anbieten oder bereitstellen, lässt sich nicht zurückdrehen. Der Zug ist abgefahren.

      Gewisse Dinge in Bezug auf die Nutzung und den Schutz von Daten wird man regeln müssen. Gerade unter dem Gesichtspunkt, dass Systeme immer komplexer werden und Künstliche Intelligenz ein Eigenleben entwickeln kann, müssen hier Nachprüfbarkeit und Verhinderung von Mißbrauch forciert werden – rechtlich wie auch technisch. Sonst schlägt nämlich das dritte Gesetz von Shana Zuboff aus den 80er Jahren des letzten Jahrhunderts voll zu: “ Jede Technologie, die zum Zwecke der Überwachung und Kontrolle kolonisiert werden kann, wird, was immer auch ihr ursprünglicher Zweck war, zum Zwecke der Überwachung und Kontrolle kolonisiert“.

      Dr. Ulrich Kampffmeyer

       

       

      Antwort
  • Microsoft & Compliance-Standards
    9. April 2021 um 20:58
    Permalink

    Inzwischen hat Microsoft einiges getan um in Punkto Compliance und Governance nationale wie internationale Vorgaben umzusetzen. Die Argumente der traditionellen ECM- und Archivierungsanbieter, warum man in ihren Systemen Informationen nur aufbewahren sollte, werden immer weniger. An vielen Stellen wurden M365, Azure, Sharepoint und andere Dienste professionalisiert. Auch wenn nicht in allen Punkten bereits „Revisionssicherheit“ nach deutschen Standards gegeben ist, so ist doch das Thema Aufbewahrung (nicht „Langzeitarchivierung) professionell umgesetzt. 

    Auf der Microsoft-Webseite „Informationen zu den Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen“ sind die wesentlichen Informationen zu M365 zusammengefasst: https://bit.ly/3mFALD5. Leider braucht man für Vieles E5-Lizenzen oder Zusatzmodule. Grundsätzlich kann aber jeder mit Standard-M365-Mitteln seine meisten Auflagen erfüllen (wenn man sich denn die Mühe der Einrichtung und Pflege macht). 

    Auf der Webseite „Microsoft Compliance-Angebote Weltweit“ https://bit.ly/2OAWvn7 gibt es einen Überblick, welche Gesetze, Standards und Zertifizierungen von Microsoft eingehalten werden. Viele internationale Branchen-Anforderungen und natürlich die Vorgaben aus den USA finden sich dort gut repräsentiert. Bei Europa wird es schon merklich dünner und die deutschen Vorgaben rund um BDSG, HGB/AO/GoBD, GeschGehG etc. vermisst man dort – noch? Lediglich wenn ein Markt groß oder wichtig genug ist, werden die Compliance-Anforderungen umgesetzt.

    Fazit: man kann mit M365/Sharepoint im Prinzip vieles erfüllen, aber  auf die entsprechenden Bestätigungen und Anerkennungen in Deutschland muss man noch verzichten. Immerhin sind GDPR und ISO 27001 schon einmal abgedeckt und  international tätige Unternehmen werden den einen oder anderen Standard sehr begrüßen. Aber Zertifikate soll man auch nicht überbewerten, denn es geht immer darum, wie die Systeme und die Software beim Anwender betrieben, gesichert, dokumentiert und genutzt wird. Software per se und allein ist nicht sicher und schon gar nicht „rechtssicher“. Die aufgeführten Zertifikate von Microsoft zeigen vor allem eines – Microsoft hat sich aufwändigen Prüfungen der Software unterzogen und erfüllt die grundsätzlichen Kriterien bei ordnungsmäßigem Betrieb, Sicherung, Dokumentation und Nutzung der Software. Dies gilt auch und gerade für Microsoft-Produkte.

    Antwort

Schreibe einen Kommentar zu Dr. Ulrich Kampffmeyer Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.