Christina Niermann Consultant Datenschutz

Microsoft: Initiative für mehr Datenschutz

Microsoft hat gemeinsam mit anderen Unternehmen neue Prinzipien für einen verantwortungsvollen Umgang mit der Cloud für mehr Datenschutz veröffentlicht. Was dahinter steckt, erklärt Christina Niermann, Consultant Datenschutz und Informationssicherheit.

Christina, Microsoft beteiligt sich zusammen mit anderen Unternehmen an der „Trusted Cloud Principles Initiative“ für mehr Datenschutz in der Cloud. Was genau steckt dahinter?

Hintergrund ist, dass die Datenschutzrichtlinien weltweit noch nicht harmonisiert sind. In Europa haben wir dank der DSGVO ein recht hohes Niveau. Aber der Datentransfer mit den USA beispielsweise ist nicht final geregelt, Stichwort US Privacy Shield. Gesetzgeber und Behörden in so manchen Ländern machen sozusagen ihre eigenen Regeln. Da ist es natürlich schwierig, vertrauenswürdige Datenschutzrichtlinien weltweit für Unternehmer, Kunden und User zu erschaffen. Die „Trusted Cloud Principles Initiative“ soll hier die Standards anheben und angleichen. Die Ziele sind, öffentliche Sicherheit zu fördern, die Privatsphäre wahren und Daten von Unternehmen und Privatpersonen in der Cloud zu schützen.

Und wie genau lauten die Trusted Cloud Principles?

  1. Behörden sollen ihre Anfragen zuerst direkt an die Kundinnen oder Kunden richten und Daten nicht von den Cloud-Anbietern anfordern. Es sei denn, es liegen außergewöhnliche Umstände vor, die ein anderes Vorgehen rechtfertigen.
  2. Kunden sollen ein Recht auf Benachrichtigung haben. Wenn Behörden direkt auf Kundendaten von Cloud-Anbietern zugreifen wollen, sollen die betroffenen Kundinnen oder Kunden das Recht haben, vorher davon zu erfahren. Diese Benachrichtigung kann nur unter außergewöhnlichen Umständen verzögert werden.
  3. Cloud-Anbieter sollen das Recht haben, die Interessen ihrer Kunden zu schützen. Es muss ein klares Verfahren für Cloud-Anbieter geben, mit dem sie staatlichen Forderungen nach Zugang zu Kundendaten widersprechen können. Das schließt auch die Benachrichtigung der zuständigen Datenschutzbehörden ein.
  4. Die Regierungen sollten sich mit Rechtskonflikten befassen. Sie müssen Mechanismen schaffen, um Konflikte anzusprechen und zu lösen, damit die Einhaltung von Gesetzen durch Cloud-Anbieter in einem Land nicht zu Rechtsverstößen in einem anderen Land führt.
  5. Regierungen sollen grenzüberschreitende Datenflüsse unterstützen, denn wir brauchen diese globalen Datenströme für Innovationen, Effizienz und Sicherheit.

Google, Amazon, Cisco, IBM. Viele Unternehmen, die sich an der Initiative beteiligen sind aus den USA – und dort sind, wie du schon erwähnt hast, die Datenschutzrichtlinien weit von europäischen Standards entfernt. Ist das ein Versuch, sich an die DSGVO anzugleichen?

Ich denke ja, hier soll eine Angleichung und vor allem eine gewisse Sicherheit für die Nutzer erreicht werden. Ich finde die Initiative toll. Und ich bin sicher, dass das für Kunden und Neukunden von Cloud-basierten Lösungen ein gutes Signal ist, dass ihre Daten sicher sind. Außerdem muss man festhalten: Dass sich so große und einflussreiche Unternehmen zusammentun, ist schon etwas Besonderes und ein starkes Signal.

Welche Punkte, auf die sich die Initiatoren rund um Microsoft jetzt für mehr Datenschutz festgelegt haben, sind für deutsche Kunden besonders relevant?

Sicherlich sind die grenzüberschreitenden Datenschutz- und Informationssicherheitsregeln besonders interessant. Das ist gerade für Firmenkunden sehr wichtig, die Tochterfirmen im europäischen oder außereuropäischen Ausland haben. Auch der Punkt, dass sich Behörden direkt um Kundenanfragen kümmern sollen – das funktioniert ja auch noch längst nicht in allen Staaten, Ländern und Institutionen. Denn aktuell reagieren Behörden meist sehr langsam, wenn es ein Problem mit personenbezogenen Daten gibt. Die Prinzipien stehen auch dafür ein, dass der Kunde einfach und schnell die Auskunft bekommen soll, was mit seinen Daten passiert. Oft musste sich ein Datenschutzbeauftragter oder eine andere Behörde dazwischenschalten.

Aber wir halten nochmal fest: die Daten in der Cloud sind Stand heute auch sicher …

Natürlich. Die Initiative schreibt dies nur nochmals fest. Die Botschaft ist: Wir halten uns bereits an diese strengen Regeln, aber hier steht alles nochmals schwarz auf weiß. Besonders Microsoft hat sich schon seit Jahren bestimmten Grundsätzen hinsichtlich des Datenschutzes verschrieben. Dazu gehört beispielsweise die digitale Souveränität von Staaten, Unternehmen und jedem Einzelnen. Auch der Schutz vor Cyber-Kriminellen gehört zu den wichtigsten Eckpfeilern. Hier investiert Microsoft jedes Jahr etwa eine Miliarden Dollar in Cyber-Security. Und über allem steht immer der Schutz der personenbezogenen Daten.

Anmeldung zum Newsletter