Im Auftrag des Präsidiums und des CIO der TU Berlin schätzen wir die Risiken von Cloud-Produkten US-amerikanischer Hersteller ein. Aktueller Anlass ist die angedachte Nutzung von Microsoft 365-Diensten an der TU Berlin.
Wir skizzieren die datenschutzrechtliche Situation rund um die Nutzung US-amerikanischer Dienste, deren Einsatz wir als datenschutzrechtlich äußerst kritisch beurteilen. Und zwar unabhängig davon, ob sich die Server in Europa oder in der USA befinden.
Problematisch sind hierbei vor allem die US-amerikanischen Sicherheitsgesetze: Der USA PATRIOT Act / USA FREEDOM Act, der CLOUD-Act und der Foreign Intelligence Surveillance Act (FISA) Abschnitt 702. Diese erlauben US-Behörden wie dem FBI, der NSA oder der CIA, auf Server innerhalb und außerhalb der USA zuzugreifen bzw. eine Herausgabe von Daten zu verlangen, in vielen Fällen sogar ohne richterliche Anordnung.
In eine Diskussion über alternative Lösungen, die als datenschutzrechtlich mildere Mittel zu MS 365 zu betrachten wären, werden wir unsere datenschutzrechtliche Expertise einbringen. Ebenso wie eine datenschutzkonforme Multi-Vendor-Strategie ausgestaltet werden kann, mit der eine einseitige Abhängigkeit von einem Anbieter verhindert werden kann.