Der eigenen Obrigkeit im Ausland entrinnen: Die Daten-Treuhand

veröffentlicht am 2. November 2017


Datenverarbeitung ist Vertrauenssache. Das gilt umso mehr, da Nachrichten über Datenvorfälle in Unternehmen nicht abreißen – sei es, dass Unternehmensdaten verloren gehen oder dass Kunden­daten preisgegeben werden. Daher ist es wichtig, neben der sicheren eigenen Datenverarbeitung die Vertragspartner, denen Daten zur weiteren Verarbeitung anvertraut werden, sorgfältig auszuwählen und einzusetzen.

Sicherung von Unternehmensdaten

 

Sofern nicht lediglich Unternehmensdaten, sondern auch personenbezogene Daten betroffen sind, ist das auch verpflichtend. Die deutschen und europäischen Datenschutzgesetze gestatten eine Auslagerung personen­bezogener Datenverarbeitung an Dritte nur unter folgender Bedingung: Der Auslagernde wählt den Auftrag­nehmer sorgfältig aus, gibt ihm die Art und Weise der Verarbeitung vor und überwacht ihn.

 

Beim Cloud-Computing sind dabei zunächst die datenschutzrechtlichen Anforderungen an die Auftragsver­arbeitung zu beachten, insbesondere der Abschluss eines Auftragsverarbeitungsvertrages. Dabei verweisen die Cloud-Vereinbarungen mit Microsoft (Bestimmungen für Onlinedienste, Online Service Terms) bereits auf die Regelungen der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 auch für die Vertragsverhältnisse zwischen Microsoft und den jeweiligen Kunden gilt.

 

Zudem ist insbesondere bei Cloud-Computing zu beachten: Ein Transfer personenbezogener Daten über Ländergrenzen bedarf dann besonderer Garantien, wenn er in Ländern mit einem geringeren datenschutz­rechtlichen Schutzniveau erfolgt, worunter auch die USA fallen. Ein solcher Export kann etwa dadurch entstehen, dass die Daten nicht fest in einem lokalen Rechenzentrum verbleiben, sondern immer in Bewegung sind. Das mit dem Ziel, weltweite verteilte Rechenzentren eines Anbieters entsprechend der jeweiligen Inanspruchnahme auszulasten sowie die Zugriffszeiten auf die Daten zu verringern. Um das Risiko zu reduzieren, sind globale Anbieter von Cloud-Diensten dazu übergegangen, ihren Vertragspartnern mit Zusatz­vereinbarungen zumindest bestimmte Regionen anzubieten, in deren Rechenzentren die eingebrachten Daten verbleiben.

 

Grenzen überwinden

Ein derzeit noch anhängiges Verfahren zeigt ein Risiko, nach dem amerikanische Unternehmen dennoch dazu gezwungen werden könnten, Daten aus ihrem Zugriffsbereich über Ländergrenzen hinweg in die USA zu transferieren. In dem sog. Microsoft-Irland-Fall wurde Microsoft von einem amerikanischen Bezirksge­richt verpflichtet, bestimmte in einem eigenen irischen Rechenzentrum gespeicherte personenbezogene Daten in den USA herauszugeben. Das wurde damit begründet, dass die Verpflichtung eines dem US-Recht unterfallenden Unternehmens zur Herausgabe von Daten unabhängig davon bestehen müsse, wo genau die Daten physisch gespeichert sind. Die Berufung von Microsoft gegen die Entscheidung war zwar mit der Begründung erfolgreich, dass das amerikanische Recht – sofern nicht anders beabsichtigt – nur innerhalb der USA anwendbar ist. Die dagegen gerichtete Beschwerde wurde auch – allerdings bei Stimmengleich­stand – abgewiesen. Nunmehr liegt der Rechtsstreit seit Juni 2017 dem US Supreme Court zur Entschei­dung vor, ist also noch immer nicht abschließend entschieden.

 

Komplexität erhöhen

Auch hierauf hat Microsoft reagiert und bietet eine sog. Daten-Treuhand an, derzeit für die Produkte Azure, Office 365 und Dynamics 365. Dabei befinden sich die Kundendaten selbst in Rechenzentren in Magdeburg und Frankfurt am Main, die von Microsoft bereitgestellt und betrieben werden, jedoch nicht mit anderen Microsoft Cloud-Diensten verbunden sind. Zudem haben Microsofts Mitarbeiter keinerlei Zugriff auf Kundendaten und auch keinen administrativen Zugriff auf die Systeme selbst. Den Zugriff nimmt vielmehr ausschließlich die T-Systems International GmbH wahr, eine Tochter der Deutschen Telekom AG. Als Treu­händer räumt T-Systems selbst Microsoft den Zugriff nur unter vertraglich genau vereinbarten Umständen zeitlich begrenzt ein – etwa für Wartungs- und Supportarbeiten. Neben einem Vertrag zwischen Microsoft und dem Kunden schließt T-Systems mit beiden ebenfalls jeweils Vereinbarungen: Gegenüber dem Kunden verpflichtet sich T-Systems,
  • nur auf Anforderung des Kunden,
  • in vorher festgelegten Fällen oder  
  • auf Anforderungen nach deutschem Recht einen Zugriff auf die Kundendaten zu ermöglichen und sie schließlich  
  • nicht selbst für kommerzielle Zwecke zu nutzen.


Gegenüber Microsoft sagt T-Systems zu, einen Zugriff lediglich unter den genannten Voraussetzungen zu ermöglichen. Ein Anspruch von Microsoft auf einen Zugriff auf Kundendaten besteht daher nicht.

 

Nach der Konstruktion ist Microsoft weder technisch noch rechtlich in der Lage, auf die in den Bereich der Daten-Treuhand fallenden Kundendaten allein zuzugreifen. Aufforderungen amerikanischer Behörden oder Gerichte zur Übertragung von Kundendaten sollten damit ins Leere laufen.

 

T-Systems International GmbH muss als deutsches Unternehmen lediglich die Treuhandvereinbarungen mit dem Kunden sowie die deutschen Gesetze befolgen. Damit braucht T-Systems auf Anfragen ausländischer Behörden nur bei Rechtshilfeersuchen zu reagieren, die erst nach einer Prüfung durch deutsche Behörden an T-Systems herangetragen werden.

 

Das Modell stellt damit sicher, dass die Kundendaten innerhalb von Europa gespeichert werden und ein Zugriff nur nach deutschen Gesetzen möglich ist.

 

Fazit

Weltweit agierende Unternehmen sind daran interessiert, ihr Geschäft dauerhaft zu betreiben und daher an den Orten ihrer Tätigkeit die rechtlichen Regelungen einzuhalten. Im Fall von Microsoft ist das an den Lizenz­bedingungen ersichtlich, die bereits mehr als 6 Monate vor Geltung der DSGVO auf deren Anforde­rungen eingehen. Zudem bietet Microsoft mit der „deutschen Cloud” die Möglichkeit, Daten physisch innerhalb der EU zu halten und durch die Einschaltung eines europäischen Datentreuhänders dem Zugriff durch Weisungen außereuropäischer Behörden und Gerichte zu entziehen. Daher ist davon auszugehen, dass Microsoft auf sich weiter ändernde rechtliche Bedingungen auch künftig angemessen reagieren wird.


 Kontakt

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht

Senior Associate

+49 3641 4035 30
+49 3641 4035 33

Anfrage senden

Profil

 Wir beraten Sie gern!

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu