Arbeit mit der Office-365-Cloud

Das wesentliche Merkmal von O365 ist, dass sämtliche Dienste in der Cloud beheimatet sind. Und das ist auch eins der zentralen Probleme, jedenfalls hinsichtlich des Datenschutzes.

Cloud-Dienste sind an sich nichts Böses, eine Cloud bietet gegenüber „on premises“ betriebenen Servern einige Vorteile. Sie ist effizienter, immer auf dem neuesten technischen Stand, der Betreiber kann eine Verfügbarkeit und Erreichbarkeit garantieren, die man mit eigenen Mitteln nur zu äußerst hohen Kosten erreichen könnte, und nicht zuletzt kann sie auch energieeffizienter sein.

Die Befürchtung, dass eine Cloud Hackerangriffen ausgesetzt ist, besteht natürlich zurecht. Aber ein eigener Server ist ja auch mit dem Internet verbunden, und auch der kann das Ziel von Hackern oder von Schadsoftware werden. Man darf davon ausgehen, dass professionelle Anbieter von Cloud-Diensten wie Microsoft, aber auch Google, Amazon, SAP und andere, genügend Know-How haben und genügend Mittel für Personal und Technik bereitstellen, um ihre Systeme besser gegen Angriffe zu „härten“, als man das mit eigenen Mitteln kann.

Insofern ist unter dem Aspekt der Verfügbarkeit und der Sicherheit grundsätzlich nicht viel gegen cloudbasierte Dienste einzuwenden.

Der Einwand „und was, wenn der Internetzugang ausfällt?“ ist nicht wirklich relevant. Einen Internetzugang stabil, z. B. redundant bereitzustellen dürfte eine geringere Herausforderung sein, als mehrere Server stets betriebsbereit und verfügbar zu halten. Und der Einwand „dann haben wir die Daten ja nicht im Haus – wer weiß, wer was damit anstellt“ kann im Prinzip auch vernachlässigt werden. Ein seriöser Provider sollte dafür sorgen können, dass die Daten sicher verwahrt werden, und auch ein Server „im eigenen Keller“ ist nicht sicher vor Angriffen von außen und dem Ausspähen von Daten. Allerdings besteht da ein Problem – eher rechtlicher als technischer Natur, wir kommen gleich darauf zu sprechen.

Microsoft betreibt derzeit (Stand September 2019) Cloud-Server in den Niederlanden und in Irland, also im Geltungsbereich der DSGVO. Derzeit werden Cloud-Serverfarmen auch in Deutschland (Frankfurt und Berlin) eingerichtet und ausgebaut, die ab dem 1. Quartal 2020 auch O365 hosten können sollen. Da sollte man meinen, dass die Daten nach den Standards der DSGVO geschützt sind, und Microsoft verspricht auch, dass das so ist.

Aber es gibt ein Problem: In den USA gilt ein Gesetz (der sog. „Cloud-Act“ ), das US-amerikanische Anbieter von IT-Dienstleistungen verpflichtet, auf die Anforderung US-amerikanischer Sicherheitsbehörden hin Daten auch von außerhalb der USA bereitzustellen und zu übermitteln (und das, ohne den jeweils Betroffenen darüber zu informieren). Es gelten bestimmte Voraussetzungen, unter denen das eingeschränkt werden kann, aber diese Voraussetzungen sind (Stand September 2019) im Verhältnis zwischen Europa und den USA nicht erfüllt – das „Privacy Shield“ hilft da nicht weiter.

Das bedeutet: Microsoft ist gezwungen, gegen ein Gesetz zu verstoßen, wenn eine US-amerikanische Behörde verlangt, dass Daten von europäischen Servern an sie geliefert werden. Entweder verstößt Microsoft gegen die DSGVO (sofern es sich um personenbezogene Daten handelt) und außerdem gegen den Vertrag mit dem Kunden und liefert die Daten an die US-Behörde, oder Microsoft hält sich an europäisches Recht, muss dann aber gegen US-amerikanisches Recht verstoßen.

Dieses Problem ist derzeit ungelöst, und es ist überhaupt nicht absehbar, ob es dafür jemals eine Lösung geben wird. Ein deutsches Unternehmen, das Daten in der O365-Cloud verarbeitet, muss also mit dem Risiko leben, dass sein Auftragsverarbeiter Microsoft sich nicht an die vereinbarten Bedingungen und die DSGVO hält. Weil aber der Auftraggeber für den Auftragsverarbeiter haftet, bedeutet das für die deutschen Kunden von Microsoft, dass sie ggf. für Schadensersatz und Bußgelder mit in Haftung genommen werden. Darüber hinaus geht es nicht nur um personenbezogene Daten, sondern es kann ja auch sein, dass sehr schützenswerte andere Daten (z. B. Betriebs- oder Geschäftsgeheimnisse über technische Entwicklungen, Beziehungen zu Kunden etc.) auf diese Weise an US-amerikanische Behörden gelangen.

Die Arbeitnehmervertretung kann dem nicht abhelfen, das Risiko muss ganz allein der Arbeitgeber tragen. Ob ein Betriebsrat das als Grund sieht, der Einführung und Anwendung von O365 nicht zuzustimmen, ist eine Frage, die das Gremium letztlich „politisch“ entscheiden muss. Wir werden später sehen, dass das nicht das einzige Datenschutzrisiko bei O365 ist.

Es gab ein Produkt „Deutschland Cloud“, bei dem die Cloud-Dienste von O365 nicht von Microsoft, sondern von T-Systems gehostet wurden, und Microsoft selbst gar keinen Zugriff auf die Daten hatte. Damit wäre ein Zugriff durch US-amerikanische Behörden nicht mehr durchsetzbar. Dieses Produkt konnte sich jedoch wegen verschiedener Unzulänglichkeiten nicht durchsetzen, und inzwischen werden keine neuen Verträge für dieses Produkt angeboten. Ob es später einen vergleichbaren Nachfolger geben soll, ist derzeit nicht bekannt. Allerdings haben Nachforschungen eines renommierten Verlags ergeben, dass eine Speicherung ausschließlich in der Infrastruktur von T-Systems auch bei diesem Lizenzmodell möglicherweise nicht gesichert ist.

Technisch wäre das Problem evt. dadurch lösbar, dass sämtliche Daten auf den MS-Cloud-Servern durch den Kunden so verschlüsselt werden, dass Microsoft nicht auf sie zugreifen kann. Mir ist aber kein Mittel bekannt, mit dem dies auf auch nur halbwegs praktikable – und vor allem für die Anwender bequeme – Weise umgesetzt werden könnte (Die „Kunden-Lockbox“ ist erst ab Lizenz „E5“ verfügbar, die eher die Ausnahme bei den meisten Kunden bildet). Wer solch ein Produkt und eine Methode kennt: Ich bin für Anregungen und Empfehlungen immer dankbar.

Natürlich kann man auch ganz ohne Cloud arbeiten und Dateien ausschließlich auf lokal gehosteten Servern oder auf Cloudspeichern anderer Anbieter speichern. Die Frage ist dann allerdings, welchen Sinn der Einsatz von O365 dann noch hat, zumal durchaus nützliche Funktionen (z. B. die Zusammenarbeit am selben Dokument) dann meistens nicht mehr verfügbar sind.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Vorheriges Thema Nächstes Thema