Im Auftrag des Präsidiums und des CIO der TU Berlin schätzen wir die Risiken von Cloud-Produkten US-amerikanischer Hersteller ein. Aktueller Anlass ist die angedachte Nutzung von Microsoft 365-Diensten an der TU Berlin.
Wir skizzieren die datenschutzrechtliche Situation rund um die Nutzung US-amerikanischer Dienste, deren Einsatz wir als datenschutzrechtlich äußerst kritisch beurteilen. Und zwar unabhängig davon, ob sich die Server in Europa oder in der USA befinden.
Problematisch sind hierbei vor allem die US-amerikanischen Sicherheitsgesetze: Der USA PATRIOT Act / USA FREEDOM Act, der CLOUD-Act und der Foreign Intelligence Surveillance Act (FISA) Abschnitt 702. Diese erlauben US-Behörden wie dem FBI, der NSA oder der CIA, auf Server innerhalb und außerhalb der USA zuzugreifen bzw. eine Herausgabe von Daten zu verlangen, in vielen Fällen sogar ohne richterliche Anordnung.
In eine Diskussion über alternative Lösungen, die als datenschutzrechtlich mildere Mittel zu MS 365 zu betrachten wären, werden wir unsere datenschutzrechtliche Expertise einbringen. Ebenso wie eine datenschutzkonforme Multi-Vendor-Strategie ausgestaltet werden kann, die eine einseitige Abhängigkeit von einem Anbieter verhindert.
Nachtrag vom 6. Juni 2025
Erfreulicherweise trifft unsere Einschätzung auf viel Resonanz, und das nicht nur aus dem Hochschulbereich. Uns erreichen naturgemäß vor allem unterstützende Stimmen, aber uns ist bewußt, dass wir ein kontroverses Thema angesprochen haben. Es bleibt spannend!
Es sei daran erinnert, das die Einhaltung von Verträgen mit IT-Anbietern von den beauftragenden Hochschulen kontrolliert werden muss – was bei den (amerikanischen) Cloud-Anbietern faktisch unmöglich ist:
- kuketz-blog.de – MS365: Papier schützt keine Daten – Warum juristische Freibriefe in die Irre führen (9.5.2025)
„Wer sich bei einer Datenschutzbewertung ausschließlich auf Vertragswerke stützt und technische Analysen ignoriert oder bewusst ausblendet, handelt fahrlässig und unverantwortlich. „
Und die aktuellen Entwicklungen sprechen für sich:
- Microsoft hat nach Trump-Sanktionen das Mail-Konto des Chefanklägers des Internationalen Gerichtshofs blockiert.
heise.de – Strafgerichtshof: Microsofts E-Mail-Sperre als Weckruf für digitale Souveränität (18.5.2025)Der US-Präsident könne per Dekret „jede Organisation, die von US-Technologie abhängig ist, digital abschalten“.
- Artikel auf netzpolitik.org
- Max Schrems told Euractiv that the Commission’s silence could leave companies in the legal limbo of an invalidated Data Privacy Framework (DPF).
Euractiv.com – Deafening Commission silence with no credible EU-US data oversight left (3.3.2025)
He said:“My biggest worry… is that there is no fucking contingency plan”
- Demnächst wird eine Klage zum DPF am EuGH verhandelt
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C_202300348 , s.a.Audatis (Beratungsunternehmen) – EuG-Urteil zum DPF erwartet: Latombe-Verfahren und aktuelle Entwicklungen (11.3.2025)