EU Data Boundary: Was das Versprechen von Microsoft taugt

Auch wenn die Ankündigung von Microsoft, sich an das Programm „EU Data Boundary“ zu halten, lobenswert ist, muss man feststellen, dass der Speicherort nie das Problem war. Vielmehr sind US-amerikanische Unternehmen verpflichtet, ihrer Regierung und den Geheimdiensten auf Anfrage Zugriff auf die Daten ihrer Kunden zu gewähren, egal, an welchem Standort sie gehostet werden. Verweigern sie den Zugang, verstoßen sie gegen US-Recht – den Cloud Act. Auch die vollmundigen Versprechen von US-Unternehmen verpuffen also angesichts dieser Gesetzgebung, die mit dem EU-Recht unvereinbar ist.

EU Data Boundary: Voraussetzungen für Gaia-X erfüllen

Die Ankündigung des Programms „EU Data Boundary“ vermittelt zudem den Anschein, dass Microsoft sich damit für das europäische Cloud-Infrastruktur-Programm Gaia-X positionieren will. Allerdings gibt der Anbieter gleichzeitig zu, den Abfluss von Nutzer- und Kundendaten nur minimieren, aber nicht abstellen zu wollen, und das auch erst ab Ende 2022. Damit gibt Microsoft indirekt zu, bis die technischen Voraussetzungen Ende 2022 geschaffen sind, Daten in die USA zu transferieren, seit dem Fall des Privacy Shield jedoch ohne rechtliche Grundlage.

Inwiefern sich die Situation danach ändert, darüber lässt sich jetzt noch keine Aussage treffen. Aber selbst wenn danach der Datenfluss in die USA weniger werden oder sogar ganz versiegen sollte, das wesentliche Problem bleibt, denn so sehr sich Microsoft und Co. an EU-Recht halten wollen, am Ende läuft es immer auf dasselbe hinaus: US-Amerikanische Unternehmen unterliegen der US-Gesetzgebung. Eine Beteiligung von US-Anbietern an Gaia-X kann aber nur funktionieren, wenn jedes Mitglied sich komplett an die europäischen Spielregeln hält.

Einhaltung von EU-Recht durchsetzen

Unser Appell an die Organisation von Gaia-X-Verband ist, sich nicht blenden zu lassen, sondern bei der Umsetzung von Gaia-X konsequent und unverrückbar auf die Einhaltung von EU-Recht zu pochen. Ein Lösungsansatz wäre zum Beispiel, dass US-amerikanische Anbieter, die sich an Gaia-X beteiligen wollen, dies nur über ein Treuhandmodell tun können, das einen wirksamen Schutz gegen das Zugriffsrecht der US-Regierung auf Basis der amerikanischen Überwachungsgesetze wie dem Cloud Act bietet. In diesem Modell wären die Treuhänder der US-Firmen nicht an US-Gesetze gebunden und könnten die notwendige Daten-Souveränität gewährleisten.

Über den Autor: Tobias Gerlinger ist CEO bei ownCloud. Das Unternehmen entwickelt und integriert Open-Source-Software für die digitale Zusammenarbeit, mit der Teams von überall und von jedem Gerät aus problemlos gemeinsam auf Dateien zugreifen und sie bearbeiten können. ownCloud als Alternative zu öffentlichen Clouds bietet mehr digitale Souveränität, Sicherheit und Datenschutz.

Lesen Sie auch: Corona zeigt: Europa braucht dringend eine gemeinsame Dateninfrastruktur