Dieser Streich wird Schule machen. Microsoft will sich mit der geplanten Übergabe des Data Centers für die deutsche Cloud-Region, die in einer Datentreuhänderschaft von der T-Systems betrieben werden soll, den Zugriffsmöglichkeiten der US-Behörden entziehen. Sollte das Konzept, das im kommenden Jahr in die Pilot- und sukzessive auch in die Betriebsphase gehen soll, greifen, wäre – im übertragenen Sinne – ein Datenraum geschaffen, der einzig und allein deutscher Gerichtsbarkeit unterliegt.
Das wäre für die USA so etwas wie ein Pearl Harbour im großen vaterländischen Schnüffelkrieg.
Microsoft hat für seine Public Cloud-Angebote – also Azure, Office 365 und Dynamics CRM – länger gebraucht als seine US-Konkurrenten, um die Präsenz mit Datenzentren in Europa zu verstärken. Amazon, Google oder IBM haben schon im vergangenen Jahr mit neuen Hochsicherheitstrakten für Cloud-Daten in Europa Milliardeninvestitionen getätigt. Die Liste ist in der Tat beeindruckend. So werden Amazons Web Services in Dublin und Frankfurt, Googles Dienste in Dublin, St. Ghislain (Belgien), im niederländischen Eemshaven und im finnischen Hamina gespeichert. IBM kündigte noch im vergangenen Oktober den Ausbau europäischer Standorte an, die dann London, Amsterdam, Paris, Frankfurt und Mailand umfassen. Und auch Salesforce hat mit einem eigenen Datenzentrum in Frankfurt einen sicheren Boden unter den Füßen.
Doch der alleinige Gang auf europäisches Terrain ist für US-amerikanische Datendienstbetreiber alles andere als hinreichend, wenn es um datenschutzrelevante Belange geht. Denn nach US-amerikanischer Rechtsauffassung haben US-Behörden in bestimmten begründeten Fällen auch dann Zugriff auf in Europa residierende Daten, wenn der Betreiber ein US-Unternehmen ist und somit auch im Ausland US-Recht unterliegt. Einen derartigen Fall fechten Microsoft und die US-amerikanischen Ermittlungsbehörden derzeit in einem konkreten Fall aus, bei dem die angeforderten Daten in Dublin residieren und ausgeliefert werden sollen.
Es hat wohl dieses Gerichtsverfahrens bedurft, um bei Microsoft die Erkenntnis reifen zu lassen, dass das Betreiben eines Data Centers in Europa nicht ausreicht. Schon vor drei Jahren haben die deutschen Microsoft Partner mit Richmond darüber debattiert, dass prinzipiell die Weitergabe von Daten an US-Behörden gegen geltendes deutsches Recht verstoßen könnte. Im Oktober hat schließlich der Europäische Gerichtshof die Safe Harbour-Vereinbarung mit der Begründung als ungültig erklärt, dass die Datenschutzvereinbarung offensichtlich zwar für US-Unternehmen, nicht aber zwangsläufig für US-Behörden gelte.
Jetzt hat Microsoft als erstes US-Unternehmen die rechtlichen Konsequenzen gezogen: Die deutschen Cloud-Services werden beginnend mit Azure als Basis in das Rechenzentrum von T-Systems in Biere bei Magdeburg verlagert und in Frankfurt gespiegelt. Nach dem Aufbau gibt Microsoft quasi die Schlüssel an Telekom-Techniker ab und versagt sich damit jeglichen Rückgriff auf die dort getätigten Installationen. Im Ergebnis wird Microsoft somit behaupten können, nicht mehr in der Lage zu sein, dem Ansinnen von US-Behörden auf Datenherausgabe folgen zu können.
Der technische, aber verschmerzbare Nachteil: Da die deutsche Cloud in „Biere Harbour“ vollständig von der sonstigen globalen Cloud-Infrastruktur von Microsoft abgekoppelt sein wird, entzieht sie sich auch den Updatemöglichkeiten aus der Microsoft-Zentrale. Neue Versionen und Funktionen müssen also durch die Telekom-Techniker übernommen und installiert werden. Ein weiterer Nachteil ist freilich auch, dass mit der T-Systems ein weiteres Element in der Cloud-Nahrungskette eingebunden ist. Zwar sind noch keine Preise bekannt, aber teurer ist das Mehr an Sicherheit bestimmt.
Das Modell dürfte Schule machen, denn mit dem Gang nach Europa allein haben sich die anderen US-Anbieter dem Zugriff ihrer US-Behörden keineswegs entzogen. Die „deutsche Wolke“ könnte aber auch darüber hinaus werbewirksam für andere globale Regionen wirken. So soll das chinesische Unternehmen Huawai bereits die Dienste in Biere in Anspruch nehmen. Sollte dahinter die Absicht stehen, die eigenen Daten vor der chinesischen Regierung zu schützen, müsste allerdings noch eine ähnliche Treuhänder-Beziehung folgen, wie sie jetzt Microsoft und T-System geschlossen haben.
Dann kann nämlich nur auf Anordnung eines deutschen Richters eine Herausgabe von Daten erreicht werden. Dazu müsste jedoch ein Amtshilfeersuchen aus dem Ausland vorliegen. Ganz versperrt ist die Tür also nicht. Aber sie wird, wenn überhaupt, nach deutscher Rechtsauffassung geöffnet.
Die USA haben mit ihrer Datensammelwut in den vergangenen Jahren möglicherweise sich selbst ein Pearl Harbour bereitet. Sie haben in Europa „einen schlafenden Riesen geweckt“.