Hallo zusammen,
vor knapp drei Wochen hatte ich hier über den Start (und den damit verbundenen GA Status) der Microsoft Cloud Deutschland berichtet. Ich hab daraufhin einiges an Feedback bekommen und bin dabei zu der Erkenntnis gelangt: Es besteht dringender Klärungsbedarf.
Was ist unklar?
Im meinem letzten Artikel hatte ich geschrieben:
Die Microsoft Cloud Deutschland ist etwas besonderes, denn ähnlich wie bei den Azure Data Center in China, ist der Betreiber nicht direkt Microsoft, sondern ein lokaler IT-Dienstleister (hier T-Systems International GmbH). Damit ist der Schutz der Daten vor Offenlegung gegenüber Dritten garantiert – sofern dies nicht durch den Kunden oder durch deutsches Recht abgewiesen wird. Selbst Microsoft hat ohne Genehmigung keinen Zugriff.
Laut Feedback sind die beiden letzten Sätze dabei etwas verwirrend. Ich denke wir zerlegen sie einmal in ihre Einzelteile und schauen nach, was diese Teile bedeuten:
„– sofern dies nicht durch den Kunden…“
Ok, Kunden können ihre Daten freiwillig offenlegen und das werden sie in bestimmten Situationen (z.B. um neue Investoren zu gewinnen) auch tun. Es gibt natürlich auch eine Einschränkung: Sollte es sich um Personendaten handeln (z.B. die Daten, die bei der Registrierung eines Neukunden entstehen), muss vor der Offenlegung der Daten, auch das Einverständnis der betroffenen Personen eingeholt werden.
„…oder durch deutsches Recht…“
Eine der Ängste vieler Firma ist es, dass amerikanische Behörden (die mit drei Buchstaben), im Zuge des Patriot Acts ungehindert auf die Firmen Daten zu greifen können. Das ist bei einem Data Center nach deutschem Recht, natürlich nicht der Fall.
Aber!
Das heißt natürlich auch nicht, dass gar kein Zugriff möglich ist. Nationale und internationale Ermittlungsbehörden (also auch das FBI) haben das Recht, sich innerhalb von Ermittlungsverfahren (und nur bei dringenden Tatverdacht) den Zugriff genehmigen zu lassen. Allerdings muss dabei die Frage, ob ein Ermittlungsverfahren und die Verletzung von Rechtsgüter (z.B. den Datenschutz) begründet ist, durch ein Gericht bzw. einen Richter entschieden werden und dies ist ein wesentlich komplexerer Vorgang, als eine Anfrage auf Basis des Patriot Acts.
Da wir gerade beim Thema „Deutsches Recht“ sind, habe ich noch einen wichtigen Hinweis für euch:
Bevor ihr mit euren Anwendungen (Daten etc.) in die Cloud umzieht, solltet ihr unbedingt prüfen, ob ihr das überhaupt dürft. Steuerberater dürfen z.B. Finanzdaten nur mit Zustimmung der Finanzbehörden, in der Cloud speichern oder verarbeiten.
„Selbst Microsoft hat ohne Genehmigung keinen Zugriff“
Betreiber der deutschen Data Center ist nicht Microsoft, sondern T-Systems. Wenn Microsoft an der Azure Plattform arbeiten will (muss), stellt sie einen entsprechenden Request, in eine dafür vorgesehene Queue. T- Systems überprüft das Gesuch und erteilt eine Genehmigung. Diese Genehmigung ist zeitlich begrenzt. Sollte Microsoft seine Arbeit nicht in diesem Zeitrahmen erfüllen, muss ein neuer Request gestellt werden.
Nach Abschluss der Arbeit erfolgt eine neue Review, durch T-Systems.
Jetzt habe ich noch den passenden Lesetipp für euch:
Microsoft Cloud Germany – Compliance in the cloud for organizations in EU/EFTA
Das reicht euch noch nicht?
Dann wollt ihr vielleicht eine Version des BSI (Bundesamt für Sicherheit in der Informationstechnik) IT Grundschutz Katalogs, speziell für die deutschen Azure Data Center geschrieben, lesen. Dank der Firma HI Solutions AG, ist auch das möglich:
Microsoft Azure Germany – IT Grundschutz Compliance Workbook
Das war es für heute. Das Thema Azure Germany ist aber noch lange nicht beendet 🙂 🙂 🙂
Schöne Grüße
Oliver