Daten in Microsofts Cloud bleiben mitnichten in gewünschter Region

Die regionalen Bereiche der Cloud-Dienste Microsofts sind offen­bar nicht so gut voneinander getrennt, wie der Konzern es gern dar­stellt. Das führt insbesondere bei sensiblen Daten zu gra­vie­ren­den Pro­ble­men beim Datenschutz.

Polizei-Daten weltweit abrufbar

Neue Unterlagen, die durch ein Auskunftsersuchen nach dem schottischen Informationsfreiheitsgesetz offengelegt wurden, werfen ein Schlaglicht auf den Umgang Microsofts mit sensiblen Polizeidaten. Demnach könnten Informationen, die von schottischen Polizeibehörden in Microsofts Cloud-Dienste eingespeist werden, aus mehr als 100 Ländern abgerufen werden - darunter auch Staaten, die von britischen Stellen als "feindlich" eingestuft werden, wie das Magazin ComputerWeekly berichtet.

Die Dokumente zeigen, dass Microsoft der Scottish Police Authority (SPA) und Police Scotland keine vollständigen Angaben zu internationalen Datenflüssen machen wollte. Auch eigene Risikobewertungen über Transfers in Staaten wie China hielt der Konzern zurück. Damit geraten die Behörden in Schwierigkeiten: Nach dem britischen Datenschutzgesetz dürfen Polizeidaten nur unter strengen Bedingungen außerhalb des Vereinigten Königreichs verarbeitet werden.


Brisant ist zudem, dass Microsoft in den Unterlagen selbst einräumt, keine Garantie für die Datenhoheit geben zu können. Ähnliche Aussagen hatte das Unternehmen bereits vor dem französischen Senat gemacht, wo Führungskräfte erklärten, dass die Souveränität europäischer Daten grundsätzlich nicht gesichert werden könne. Das bedeutet, dass es letztlich auch nicht hilft, wenn das Unternehmen damit wirbt, dass europäische Daten nur auf Servern in der EU verarbeitet würden.

Eine Analyse des unabhängigen Sicherheitsexperten Owen Sayers ergab laut des Berichts, dass Microsoft-Mitarbeiter und Subunternehmer in insgesamt 105 Staaten Zugriff auf die Daten haben - verteilt auf 148 Unterauftragnehmer. Zwar finden sich diese Informationen öffentlich auf den Seiten von "Microsoft Learn", doch sind sie über verstreute, schwer auffindbare Dokumente verteilt und nicht zentral verlinkt. Experten sprechen von einem "Verstecken in aller Öffentlichkeit".

Rechtliche Risiken

Für die betroffenen Polizeibehörden ergeben sich dadurch erhebliche rechtliche Risiken. Da sie nicht alle Vorgaben zur internationalen Datenübermittlung einhalten können, könnten Bürger Schadenersatz einklagen. Schon die begründete Sorge, dass persönliche Daten unrechtmäßig ins Ausland gelangt sind, gilt nach aktueller Rechtsprechung als ausreichende Grundlage für Entschädigungsansprüche.

Microsoft selbst verweist auf die Einhaltung aller geltenden Gesetze, ohne die konkreten Vorwürfe zu bestreiten. Police Scotland erklärte, man arbeite eng mit Aufsichtsbehörden zusammen, um die Sicherheit und Rechtskonformität zu gewährleisten. Doch Beobachter wie Bill McCluggage, der ehemalige Chef für IT-Sicherheit der britischen Regierung warnen: Solange Microsoft Daten global verteilt, bleibt unklar, wer wann Zugriff auf sensible Polizeiinformationen hat.

Die Enthüllungen könnten damit weit über Schottland hinaus Folgen haben. Auch andere Behörden im Vereinigten Königreich, die Microsoft-Dienste einsetzen, müssen sich nun fragen lassen, ob sie tatsächlich wissen, wohin ihre Daten fließen - und wie sie die Rechte der Betroffenen wahren wollen. Gleiches dürfte für die EU gelten und es zeigt sich erneut, dass fremde Cloud-Infrastrukturen schlicht nicht geeignet sind, einen Schutz sensibler Daten zu gewährleisten.


Siehe auch: