Thought Leadership
Die Ankündigungen von Microsoft in den letzten Tagen sind groß, als der US-Konzern in der vergangenen Woche den Abschluss seiner „richtungsweisenden EU-Datengrenze“ bekanntgab. Es war nicht viel weniger als die Rede von einem Einsatz für „florierende europäische Unternehmen“ und dem Angebot einer „Datenresidenz“ als einer „branchenführenden Lösung“.
Die hinter der Datengrenze stehende Idee klingt erst einmal sinnvoll: Um Datenschutz und Cybersicherheit zu befördern sowie Unternehmen und Behörden, die Microsoft nutzen, die Compliance zu erleichtern, sollen die Kundendaten in der EU und der Europäischen Freihandelszone (EFTA) gespeichert und verarbeitet werden.
Viel Technobabble und wenig Konkretes
Doch bei einem näheren Blick allein schon in die Pressemeldung stellt sich für den geübten Betrachter schnell die Frage, was Microsoft mit ebenjener „Datengrenze“ eigentlich konkret und jenseits eines Werbeversprechens erreichen will, suggeriert sie doch, dass eine Grenze erst einmal geschlossen ist und nur in denjenigen Fällen, in denen ihr Hüter darüber entscheidet, geöffnet werden kann. In der Realität liest sich dies unter Ausklammerung der eigenen Lobpreisungen und des kreativen und großzügig eingesetzten Technobabbles jedoch gänzlich anders, denn für das tiefere Verständnis über die Microsoft’sche Datengrenze ist gerade nicht das entscheidend, was die Datengrenze verspricht, sondern was sie ausklammert.
Schon im Pressetext der Ankündigung laviert sich der Software-Konzern durch wohlklingende wie gleichermaßen unscheinbare Formulierungen. Lediglich fast am Ende des durch Julie Brill, Chief Privacy Officer bei Microsoft verfassten Beitrags heißt es lapidar: „In begrenzten Sicherheitsfällen, die eine koordinierte globale Reaktion erfordern, können wichtige Daten mit robusten Schutzmaßnahmen übertragen werden, die die Kundendaten schützen. Unter diesen Umständen stellt Microsoft transparente Informationen zur Verfügung …“. Was genau aber damit gemeint sein soll, wird an keiner weiteren Stelle der Meldung erklärt oder vertieft – jedenfalls klingt es weder nach einer Datengrenze noch nach der Hoheit des Nutzers über seine eigenen Daten, die in der Cloud von Microsoft gespeichert sind.
Der Blick in die Dokumentation offenbart: Mehr Ausnahme als Grenze
Was bei dem einen oder anderen Leser nun für ein erstes Stirnrunzeln sorgt, setzt sich mit weiteren Zweifeln fort, wenn man einen Blick in die FAQs zur Datengrenze wirft. Im kryptisch klingenden Kapitel „Fortlaufende Datenübertragungen, die für alle EU-Datenbegrenzungsdienste gelten“ finden sich weitere Hinweise darauf, dass die Datengrenze einen Flickenteppich an mehr oder weniger unbestimmten und deshalb intransparenten Ausnahmeregelungen enthält, so heißt es in einem Satz gar, dass „gemäß unseren Standardrichtlinien (…) Massenübertragungen von Daten außerhalb der EU-Datengrenze verboten“ sind, „die eingeschlossenen pseudonymisierten Daten und Professional Services-Daten (…) hauptsächlich in den USA gespeichert“ werden und „pseudonymisierte personenbezogene Daten und Professional Services-Daten, die zu Sicherheitszwecken verarbeitet werden, (…) in eine beliebige Azure-Region weltweit übertragen“ werden können.
Wirklich technisch konkret wird man bei den Ausnahmen der Datengrenze hingegen nicht, so heißt es lediglich, dass ein „kontrollierter Zugriff“ erfolgt, „modernste Verschlüsselung“ eingesetzt wird und es keinen „beständigen Speicher am Remotezugriffspunkt“ gibt. Doch damit nicht genug: In einem weiteren Abschnitt „Fortlaufende Datenübertragungen für bestimmte Dienste“ finden sich weitere umfassende produktbezogene Besonderheiten und Ausnahmen von der Datengrenze.
„Wenn“, „Können“ und „Möglicherweise“ als neuer Qualitätsmaßstab der Cybersicherheit
Was nach genauerer Lektüre des hehren Werbeversprechens zurückbleibt, ist ein fader Beigeschmack: Im Wesentlichen sagt Microsoft nur, was man tut, wenn man auf Daten außerhalb der Datengrenze zugreift, benennt aber weder abschließende Kriterien noch Fälle hierfür, Personenkreise oder was überhaupt mit den Daten final geschehen soll, wie lange die Zugriffe andauern und auf welcher Rechtsgrundlage sie gegebenenfalls erfolgen. Teils wird noch nicht einmal angegeben, in welche Staaten weltweit die Daten überhaupt transferiert werden. Und über die Beschreibungen hinweg fallen zu oft die Worte „wenn“, „können“ und „möglicherweise“. Und selbst Microsoft gibt irgendwo im Kleinklein der überbordenden bürokratischen Texte versteckt zu, dass bislang noch nicht alle Komponenten aus dem Produktportfolio in die Datengrenze aufgenommen werden konnten.
Datengrenze genauso durchlässig wie ihr Werbeversprechen
Am Ende stellt sich deshalb die Frage, wer denn nun Herr über die neue Microsoft Datengrenze ist. Eines jedenfalls ist klar: Es ist nicht der Kunde, denn verkauft wird hier eine Datensouveränität, die eigentlich keine ist. Und selbst wenn man dem Unternehmen nach all den vorgenannten Kritikpunkten immer noch zugutehält, zumindest ansatzweise etwas für die Cybersicherheit getan zu haben, so sind damit noch lange nicht die strengen gesetzlichen Offenlegungspflichten für Daten nach US-amerikanischen Gesetzen wie dem CLOUD Act ausgeräumt, womit ein Datenzugriff auch auf im Ausland in der Microsoft Cloud gespeicherte Daten legitimiert werden könnte.
Im Ergebnis ist die neue europäische Datengrenze deshalb genauso durchlässig wie das Werbeversprechen, das mit ihr gegeben wird. Wenn Microsoft dabei von einer „branchenführenden Lösung“ spricht, dürfte dies im Ergebnis für den europäischen Cloud Markt genauso wettbewerbsverzerrend sein wie die öffentliche Ankündigung eines „Engagements für Europa“ durch den US-Konzern. Ganz im Gegenteil: Es handelt sich nicht um ein Commitment für die EU, sondern lediglich um eine weitere Möglichkeit, um den bereits bekannten Lock-in-Effekt im Cloud Business durch Scheinargumente noch besser ausnutzen zu können – die vermeintliche „Data Boundary“ wird auf diese Weise schnell zu einer „Prison Boundary“ für alle Kunden.
