In den vergangenen Jahren haben Cloud-Dienste wie Microsoft Entra ID (früher Azure AD) und Microsoft 365 ihren Siegeszug in deutschen Unternehmen und Behörden angetreten. Sie bieten attraktive Vorteile wie Skalierbarkeit, einfache Administration und umfassende Kollaborationstools. Doch gerade für deutsche Unternehmen und Behörden mit hohen Geheimhaltungspflichten, etwa im Bereich Steuern, Justiz, Gesundheitswesen oder kritischer Infrastruktur, entstehen hierdurch signifikante, oft unterschätzte Risiken.
Dieses Whitepaper erläutert, warum die Verwendung von Microsoft Entra ID sowie Microsoft 365 aus Sicht des Datenschutzes und der Datenhoheit kritisch bewertet werden sollte – insbesondere vor dem Hintergrund bestehender US-Gesetze wie dem CLOUD Act und FISA.
1. Ausgangslage: Rechtsgrundlagen in den USA
CLOUD Act
Der 2018 verabschiedete Clarifying Lawful Overseas Use of Data Act (CLOUD Act) verpflichtet US-Technologieanbieter wie Microsoft dazu, gespeicherte Kundendaten – auch wenn diese außerhalb der USA lagern – an US-Behörden herauszugeben. Ausschlaggebend ist hier nicht der Speicherort der Daten, sondern die Kontrolle durch den Anbieter.
Foreign Intelligence Surveillance Act (FISA)
FISA ermöglicht US-Geheimdiensten Zugriff auf Daten ausländischer Bürger und Institutionen, sofern die Informationen als relevant für die nationale Sicherheit eingeschätzt werden. FISA-Beschlüsse erfolgen geheim und ohne Kenntnis der Betroffenen.
National Security Letters (NSL)
US-Behörden wie das FBI nutzen NSLs, um bei Unternehmen Teilnehmerdaten (etwa Metadaten oder Zugangsinformationen) abzufragen – ohne richterliche Genehmigung und oftmals mit einer Geheimhaltungsverpflichtung (Gag Order) versehen.
2. Technische Implikationen für Entra ID und Microsoft 365
Die genannten US-Gesetze zielen auf Anbieter wie Microsoft, die sowohl vertraglich als auch technisch in der Lage sind, auf die Daten ihrer Kunden zuzugreifen. Dienste wie Microsoft Entra ID und Microsoft 365 werden vollständig unter Kontrolle von Microsoft betrieben. Daten werden zwar verschlüsselt gespeichert („Data at Rest“ und „Data in Transit“), jedoch hält Microsoft die Verschlüsselungsschlüssel selbst – eine Ende-zu-Ende-Verschlüsselung (Zero-Knowledge) besteht nicht.
Dies bedeutet konkret:
- Microsoft verfügt jederzeit über die technischen Mittel, Kundendaten – inklusive Dokumente, Mails und Identitätsinformationen – auszulesen.
- Ein Zugriff durch US-Behörden auf Basis von US-Gerichtsbeschlüssen oder geheimen Anordnungen ist technisch unkompliziert möglich.
- Ein Schutz vor Zugriffen nach US-Recht erfolgt lediglich durch vertragliche Zusicherungen, nicht aber durch eine tatsächlich unabhängige technische Architektur.
3. Risiken durch politische Entwicklungen in den USA
Insbesondere unter einer US-Regierung, die nationale Sicherheitsinteressen expansiv definiert, steigt das Risiko deutlich. Bereits während der ersten Amtszeit der Trump-Regierung wurde sichtbar, wie schnell politische Veränderungen sich auf internationale Datenschutzstandards auswirken können.
Ein erneuter Politikwechsel in den USA hin zu einem expansiven Sicherheitsverständnis könnte dazu führen, dass:
- Bestehende Rechtsinstrumente wie CLOUD Act und FISA noch intensiver genutzt werden, um Daten ausländischer Unternehmen, Behörden und deren Klienten oder Partnern einzusehen.
- Unternehmen und Behörden, deren Daten in US-Clouds liegen, unmittelbar und ohne Vorwarnung betroffen wären.
4. Folgen für deutsche Unternehmen und Behörden
Für deutsche Unternehmen und Behörden, die besonderen gesetzlichen Geheimhaltungspflichten unterliegen, ist die Nutzung von Entra ID und Microsoft 365 mit erheblichen rechtlichen, wirtschaftlichen und reputativen Risiken verbunden:
- Verstoß gegen EU-Datenschutzvorgaben (DSGVO):
Europäische Gerichte (insbesondere der EuGH) sehen den CLOUD Act und FISA als nicht kompatibel mit europäischem Datenschutz an. - Reputationsverlust und Kundenvertrauen:
Sollte bekannt werden, dass sensible Daten – z.B. Mandantendaten, Gesundheitsinformationen, Forschungsergebnisse – indirekt an US-Behörden gelangen, droht massiver Vertrauensverlust und wirtschaftlicher Schaden. - Rechtliche Konsequenzen:
Bußgelder der Datenschutzaufsicht sowie Klagen von betroffenen Kunden oder Partnern könnten folgen.
5. Warum Microsoft 365 Deutschland keine echte Souveränität bietet
Die 2016 gestartete „Microsoft Cloud Deutschland“ versprach ursprünglich echte Datenhoheit durch Betrieb durch T-Systems als Treuhänder. Microsoft selbst hatte keinerlei direkten Zugriff auf diese Daten. Diese Version wurde jedoch 2020 eingestellt.
Die neue Lösung („EU Data Boundary“) verspricht zwar eine Datenhaltung innerhalb der EU. Aber technisch und organisatorisch bleibt Microsoft alleiniger Betreiber der Infrastruktur. US-Behörden können weiterhin auf Grundlage des CLOUD Act und FISA Zugriff auf diese Daten verlangen.
Kurzum:
Die EU Data Boundary bietet lediglich eine vertragliche, keine technische Souveränität und keinen Schutz vor Zugriffen durch US-Behörden.
6. Empfehlungen für deutsche Unternehmen und Behörden
Um rechtlich und technisch sicher zu agieren, sollten Unternehmen und Behörden folgende Maßnahmen umsetzen:
- Nutzung souveräner europäischer Clouds:
Alternativen wie IONOS Cloud, T-Systems Sovereign Cloud, Open Telekom Cloud, etc. Lösungen bieten echte Unabhängigkeit und europäische Kontrolle. - Zero-Trust-Architekturen:
Trennung von Authentifizierung (z.B. Entra ID als reiner Login-Provider) und Datenhaltung (getrennte Systeme mit Ende-zu-Ende-Verschlüsselung). - Customer Managed Encryption Keys:
Lokale Schlüsselverwaltung bei Verwendung US-amerikanischer Dienste reduziert Risiken und steigert Kontrolle. - Rechtliche und organisatorische Maßnahmen:
Verbindliche Prozesse zur Klassifizierung sensibler Daten und Auditierung der Cloud-Infrastrukturen.
Fazit und Handlungsaufforderung
Cloud-Dienste wie Microsoft Entra ID und Microsoft 365 bieten große Chancen, stellen aber gerade für Unternehmen und Behörden mit besonderen Geheimhaltungspflichten ein erhebliches Risiko dar. Angesichts der geltenden US-Gesetze und der ungewissen politischen Entwicklung in den USA sollten europäische Unternehmen und öffentliche Einrichtungen genau abwägen, welche Daten sie auf US-gehosteten Plattformen speichern.
Es gilt, technische, organisatorische und rechtliche Maßnahmen zu ergreifen, um sich effektiv zu schützen und die eigene Souveränität nachhaltig sicherzustellen.
Die Wahl der richtigen Infrastruktur ist dabei nicht nur eine technische Frage, sondern eine Entscheidung über Souveränität, Compliance und Vertrauen.