Das ist gerade deshalb für US-Unternehmen von Bedeutung, weil der Europäische Gerichtshof (EuGH) in Luxemburg das Fundament des europäisch-amerikanischen Datenschutzabkommens “Safe Harbor” (englisch für sicherer Hafen) zu Fall gebracht hat. EU-Unternehmen, die Kundendaten über amerikanische Cloud-Dienste verarbeiten, wurden mit einem Streich rechtlich angreifbar. Deshalb suchen beide Seiten – Nutzer wie Anbieter – fieberhaft nach Lösungen. Die könnte, meinen Anbieter wie Cisco, VMWare, Salesforce, der HighTech-Konzern Huawei und seit heute auch Microsoft, in den deutschen Datenbunkern liegen. Microsoft-Chef Satya Nadella kündigte heute Vormittag in Berlin an, dass Microsoft zwei Rechenzentren in Deutschland bauen will. Nadella: “Das ist ein neues Modell, bei dem T-Systems von der Deutschen Telekom als Daten-Hoster dient.” Alle Daten bleiben in Deutschland, unter der Kontrolle eines deutschen Unternehmens.
Ist Microsofts Ansatz die ultimative Lösung?
Zwischen den beiden geografisch getrennten neuen Rechenzentren soll ein kontinuierlicher Abgleich erfolgen. Damit soll gewährleistet bleiben, dass selbst im Katastrophenfall die Daten wieder hergestellt werden können. Der eigentliche Austausch soll nur über ein privates, vom Internet abgetrenntes Netzwerk erfolgen. Damit will der Konzern erreichen, dass die Daten in Deutschland verbleiben. Vorgesehen ist auch eine Art Monitoring für die Kunden: Sie sollen jederzeit verfolgen können, wie und wo ihre Daten verarbeitet werden. Diese Punkte sind wesentliche Voraussetzungen, um für mehr Vertrauen bei deutschen Kunden zu sorgen.
Die Grundfrage nach der Datensicherheit liegt aber an einem ganz anderem, nämlich dem rechtlichen Punkt: Gibt Microsoft einfach nur die Zutrittskontrolle zum Rechenzentrum an die Deutsche Telekom ab? Also können nur ausgewählte Mitarbeiter der Telekom zu den Verarbeitungsserver, wo die unverschlüsselten Daten liegen. Dann bleibt das Problem erhalten, dass die US-Gesetze den Konzern dazu verpflichten, die Daten ihrer Kunden rauszurücken. Elektronisch kann der Konzern ja noch auf die Daten zugreifen (Zugriffskontrolle). Zwar wehrt sich Microsoft zurzeit mithilfe eines Berufungsverfahrens, doch für die US-Regierung unterliegt Microsoft als US-Unternehmen ausschließlich den Gesetzen der USA und der physische Speicherort von Daten ist irrelevant. Diese Urteil erging bereits 2013 und gilt weiterhin. Fungiert die Telekom also als “Verwahrer”, sprich Hoster, der Daten im Rechenzentrum, dann hat sich nicht wirklich etwas geändert.
Liegt die Kontrolle des elektronischen Zugriffs zudem auch ausschließlich bei der Telekom, tritt Microsoft nur noch als Technologielieferant auf. An die unverschlüsselten Daten der Verarbeitungsserver können dann wirklich nur ausgewählte Telekom-Mitarbeiter heran. In diesem Fall könnte das Unternehmen zum Beispiel den Dienst Office 365 in Europa selbst nicht mehr direkt anbieten. Der Ausweg aus diesem Dilemma: Anbieten kann der IT-Gigant wieder selber, falls er ausschließlich technische Maßnahmen zum Schutz der Daten einsetzt (also Versiegelungstechnologie / Sealed Cloud). Nur in diesem Fall können deutsche Nutzer Nadellas schöne Worte – “Deutsche Daten bleiben in Deutschland” – tatsächlich glauben.
Zutritt versus Zugriff
Um das zu verdeutlichen: Ein vier Meter hoher Schutzerdwall um das Rechenzentrum mag einen 40-Tonner zum Stoppen bringen, wie die Welt berichtete. Die US-Regierung stoppt eine Zutrittskontrolle aber nicht, Daten von US-Firmen einzufordern. Solange diese Firmen Zugriff darauf haben.