Microsoft Office 365 ab sofort über deutsche Server nutzbar

News

Microsoft kündigt an, deutschen Unternehmen ab sofort Cloud-Lösungen über deutsche Server zur Verfügung zu stellen. Neben Office 365 sollen auch zahlreiche Dienste von Dynamics 365 über lokale Server nutzbar sein. Zunächst wird diese Neuerung allerdings nur für Neukunden relevant.

Microsoft verspricht die lokale Datenspeicherung

Laut Microsoft sollen zukünftig alle Office 365 sowie Dynamics 365 Kunden die Möglichkeit erhalten die Microsoft Services über deutsche Rechenzentren laufen zu lassen. Damit zieht Microsoft auch bei anderen Produkten dem Angebot beim Hosting der Azure Cloud gleich. Dort ist es schon seit längerem möglich deutsche Server zur Speicherung auszuwählen. Die deutschen Rechenzentren stehen dabei in Frankfurt und Berlin.

Allgemein verfügbar ist allerdings zunächst nur die lokale Speicherung von Office 365. Dynamics 365 steht zum jetzigen Zeitpunkt laut Microsoft nur ausgewählten Kunden zur Verfügung. In den kommenden Monaten soll der Service allerdings für immer mehr Kunden angeboten werden. Wie so häufig beschränkt sich das Angebot auf geschäftlichen Kunden. Private Anwender können bei der Nutzung von Office 365 keine lokale Speicherung beauftragen.

Außerdem steht die standardmäßige Speicherung auf deutschen Servern zunächst nur Neukunden zur Verfügung. Europäische Bestandskunden sollen laut Microsoft „zu einem späteren Zeitpunkt“ in den Genuss der Migration ihrer Daten auf die deutschen Rechenzentren kommen.

Auswirkungen auf die bisherige datenschutzrechtliche Einschätzung

Office 365 steht schon seit langem bezüglich der DSGVO-Konformität in der Kritik. So mangelt es unter anderem an der Möglichkeit datenschutzrechtliche Verträge mit Microsoft abzuschließen. Microsoft nutzt bei einigen „Connected Experiences“ die Daten der Nutzer auch zu eigenen Zwecken, insofern gilt es einen Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abzuschließen. Und selbst wenn die Praxis der Datennutzung zu eigenen Zwecken beendet wird, liegt ein Auftragsverarbeitungsverhältnis vor und ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO muss abgeschlossen werden. Solche Verträge schließt Microsoft ausschließlich in Form sogenannter „Online Service Terms“ (OST) ab. Diese sind zwar datenschutzrechtlich zulässig, bergen allerdings den großen Nachteil, dass die entsprechenden Bestimmungen einseitig von Microsoft verändert werden können. An diesem Problem ändert auch der angekündigte Umzug der Daten deutscher Kunden auf deutsche Server nichts.

Möglicherweise kann der angekündigte Umzug allerdings das folgende datenschutzrechtliche Problem lösen oder zumindest verbessern:

Im Rahmen der bisherigen Nutzung von Office 365 konnte eine Übermittlung der Daten an die Server von Microsoft in den USA nicht ausgeschlossen werden. Eine solche Übermittlung ist zum jetzigen Zeitpunkt nur deshalb rechtskonform möglich, weil das EU-US Privacy-Shield Abkommen wirksam ist und Microsoft im Rahmen dieses Abkommens zertifiziert ist. Genau dieses Abkommen ist aber schon lange in der Kritik und es ist nicht ausgeschlossen, dass das Abkommen auf Dauer dem vorangegangen Abkommen „Safe-Harbor“ folgt. Dieses wurde im Oktober 2016 vom EuGH mit der Folge gekippt, dass für den Datentransfer aus der EU in die USA eine neue Rechtsgrundlage vonnöten war. Diese Lücke wurde durch das EU-US Privacy-Shield Abkommen gefüllt und würde wieder aufbrechen, sobald das EU-US Privacy-Shield für rechtswidrig erklärt wird.

Und auch im aktuellen Rechtsstreit vor dem EuGH zwischen dem österreichischen Juristen Schrems und Facebook äußerte sich der EU-Generalanwalt Henrik Saugmandsgaard Øe in seinem Schlussantrag kritisch bezüglich des Privacy-Shield Abkommens.

Genau diesem Problem der Datenübermittlung in die USA kann durch ein lokales Hosting in Deutschland begegnet werden. Es bleibt allerdings höchst fraglich, ob Microsoft das angekündigte lokale Hosting tatsächlich in letzter Konsequenz „durchzieht“ oder ob doch ein Transfer an internationale Server stattfindet.

Nicht der erste Anlauf

So hatte Microsoft bereits im Jahre 2015 damit begonnen die Daten deutscher Unternehmen auf europäischen Servern zu hosten. Damals versprach Microsoft eine Datenspeicherung in Deutschland komplett ohne Anbindung an Server in Drittländern. So sollte unter anderem dafür gesorgt werden, dass US-amerikanische Behörden keinen direkten Zugriff auf die gespeicherten Daten deutscher Kunden haben.

Anders als bei der jetzigen Vorgehensweise entschied man sich damals allerdings für eine Art „Treuhänder-Modell„:

Microsoft legte die Daten deutscher Kunden auf Servern ab, welche von der Telekom in Deutschland betrieben wurden. Von dieser Lösung verabschiedete man sich allerdings schon im Jahr 2018 wieder. Kunden bemängelten, dass die Angebote von Microsoft nicht in vollem Umfang funktionsfähig seien. Diese eingeschränkte Funktionalität war wohl gerade auf die mangelnde internationale Anbindung zurückzuführen.

Damit war Microsoft an dem Konflikt zwischen voller Funktionsfähigkeit ihrer Dienste und einem unabhängigen Serversystem in Deutschland gescheitert.

Wie ist die lokale Datenspeicherung mit der internationalen Konnektivität vereinbar?

Zum jetzigen Zeitpunkt ist unklar, ob und wie dieser Konflikt durch das neue Angebot gelöst werden kann. Auch die diesbezügliche Aussage der Vorsitzenden der Geschäftsführung von Microsoft Deutschland, Sabine Bendiek, am 20.02.2020 in München führt leider nicht weiter:

„Mit der kontinuierlichen Weiterentwicklung der deutschen Rechenzentrumsregionen ermöglicht Microsoft Unternehmen jeder Größe, ihre digitale Transformation voranzutreiben und gleichzeitig lokale Sicherheits- und Compliance-Anforderungen zu erfüllen. So haben sie die Möglichkeit, die Daten lokal zu verarbeiten, und gleichzeitig in einer vernetzten Welt innovativ und international wettbewerbsfähig zu sein.“

Eine Antwort auf die Vereinbarkeit internationaler Anbindung mit einer sicheren lokalen Datenspeicherung liefert sie gerade nicht. Insofern ist die obige Erklärung wohl eher als Marketing-Maßnahme zu werten und weniger als Schritt hin zur DSGVO-konformen Nutzbarkeit der modernen Microsoft Produkte.

Es bleibt also abzuwarten inwiefern ein DSGVO-konformer Einsatz durch die angekündigten Änderungen möglich wird.

Zugriff von US-Behörden auf deutsche Geschäftsdaten

Den amerikanischen Behörden hingegen wird die angekündigte Änderung gänzlich egal sein. Die amerikanische Regierung  hat durch den sogenannten CLOUD-Act klargestellt, dass sie den Zugriff auf alle bei einem US-amerikanischen Unternehmen gespeicherten Daten durchsetzen will. Dabei spielt der Speicherort explizit keine Rolle.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Moin!
    Bei Nutzung von Office365 über die Telekom (nicht das Treuhänder-Modell) kann schon seit geraumer Zeit der Tenant nach Deutschland verlegt werden. Oder bezieht ihr euch hier auf etwas anderes?

    • Das Angebot der Telekom ist mir nicht geläufig. Auf den ersten Blick sieht das so aus, als würde die Telekom diesbezüglich lediglich Vertriebsarbeiten für Microsoft wahrnehmen.
      Unabhängig davon ist es aber korrekt, dass man den Standort des Tenant auswählen kann. Die entsprechende Auswahl wird aber von Microsoft nach meinem Kenntnisstand nicht garantiert.
      Und selbst wenn sie garantiert werden würde, macht das datenschutzrechtlich keinen Unterschied:
      Der Standort eines Servers macht datenschutzrechtlich nur dann einen Unterschied, wenn kein Datentransfer zu anderen Servern in Drittstaaten stattfindet. Genau dieser Transfer findet aber nach aktuellem Kenntnisstand im Falle von Office 365 in umfangreichem Maße statt. Microsoft hat den Datentransfer an seine amerikanischen Servern bisher nicht grundsätzlich unterbunden. Erst wenn dieser Datentransfer gänzlich unterbunden wird, ändert sich etwas an der obigen datenschutzrechtlichen Einschätzung.

  2. Der Redmonder Konzern bietet wieder ein neues Sicherheitsrisiko betreffs Makroschutz in vielen Office 365 Versionen gratis an.
    Sicherlich bietet eine Cloud einige Vorteile, aber mindestens eben so viele Nachteile ! Wer seine Daten liebt arbeitet mit seiner eigenen Cloud !

  3. So lange ein Softwarehersteller von einer Regierung unter Druck gesetzt werden kann, so lange ist davon auszugehen, dass ein System eine Hintertür enthalten kann.
    Imho spielt es nur eine untergeordnete Rolle, ob der Server in Frankfurt, London, Dallas oder auf den Seychellen steht, so lange die Administration des Servers durch Dritte geschieht. Um Daten, egal ob Personenbezogene oder Unternehmensdaten sicher zu schützen muss die Verantwortliche Stelle auch die Hoheit über die unteren iso/osi-Layer haben. Anders gesagt: Was bringt mir eine selbst gemostete Lösung, wenn das Windows10 hemmungslos nach Hause telefonieren darf?
    Schützenswerte Daten jedweder Art gehören auf sichere Systeme. Man kann auch Windows absichern, wenn manüber das entsprechende KnowHow verfügt. Einen Windows-Server irgendwo zu Mieten und nicht selbst zu administrieren oder eine (Microsoft-)Cloud ohne weitere Sicherungen (z.b. Endpoint-Encryption) zu verwenden ist dabei in meinen Augen schon etwas fahrlässig.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.