Zur Anhörung des Chefjustiziars von Microsoft France: Kommentar von Jerome Evans
Gerade deutsche Rechenzentrumsbetreiber wissen aus erster Hand, welch hohen Stellenwert ihre Kunden der Integrität und Sicherheit ihrer Daten beimessen. Doch mittlerweile muss jedem klar sein, dass Sicherheit eine Illusion ist, solange europäische Unternehmen und öffentliche Stellen auf Clouddienste US-amerikanischer Anbieter setzen – und ja, das gilt auch dann, wenn Anbieter mit Rechenzentren in Europa werben.
US-Clouds bieten keine Datensicherheit
Mit ungewöhnlicher Klarheit bestätigte Microsoft nun noch einmal, was viele nicht wahrhaben wollen: Es gibt keinen Schutz vor dem Zugriff US-amerikanischer Behörden auf in Europa gespeicherte Daten, wenn diese bei US-Unternehmen liegen. Der Chefjustiziar von Microsoft France, Anton Carniaux, musste es kürzlich in einer Anhörung vor dem französischen Senat einräumen: Eine Garantie, dass Daten europäischer Nutzer nicht an US-Behörden weitergegeben werden, gibt es nicht. Trotz DSGVO und technischer Maßnahmen kann Microsoft also laut eigener Aussage den Zugriff durch US-Institutionen nicht ausschließen, und dies explizit auch nicht bei Daten, die ausschließlich in der EU gespeichert sind.
Einordnung der rechtlichen Situation
Der Cloud Act verpflichtet US-Anbieter, bei einer entsprechenden Anordnung auch dann Daten herauszugeben, wenn dies gegen europäisches Datenschutzrecht verstoßen würde. Kunden erhalten darüber jedoch in vielen Fällen keine Information. Diese Situation zeigt deutlich: Europas juristische Kontrolle und Datenhoheit enden dort, wo US-Recht greift. Das ist bei jedem US-Anbieter der Fall, ganz gleich, wo die Server physisch stehen. Ich halte es deshalb für dringend erforderlich, den Fokus wieder auf europäische Lösungen zu richten. Denn nur europäische Rechenzentrumsbetreiber unterliegen ausschließlich dem europäischen Rechtsrahmen. Nur sie können gewährleisten, dass Daten der Wirtschaft, Forschung und öffentlichen Verwaltung nicht unter dem Einfluss und Zugriff fremder Rechtssysteme stehen.
Bei Datensouveränität gibt es keine Alternative zu europäischen Anbietern
Es gilt daher, die Debatte nicht länger um technische Fassaden zu führen, sondern klar zu benennen, wo echte digitale Souveränität beginnt: nämlich bei der Wahl der Infrastruktur. Wer personenbezogene und sensible Daten schützen will, muss auf europäische Anbieter setzen. Alles andere bleibt ein Kompromiss auf Kosten der Sicherheit und der Selbstbestimmung über unsere Daten.
Über Jerome Evans
Jerome Evans ist Gründer und Geschäftsführer der firstcolo GmbH. Seit 20 Jahren befasst er sich mit IT-Dienstleistungen und speziell Datacentern. Er kümmert sich um den Aufbau und Betrieb von Rechenzentren, zunehmend aber auch um Cloud-basierte Serverinfrastrukturen. Zudem ist Jerome Evans Experte für Blockchain-Technologien und trägt mit seinen Management-Skills aktiv zur Zukunftsgestaltung der firstcolo GmbH bei.
