Microsoft-CEO Satya Nadella gibt in einer unmöglichen Situation das Bestmögliche. Microsoft investiert beträchtliche Anstrengungen und Ressourcen in "private" und "souveräne" Dienstangebote und Kuration, um den EU-Kunden zu versichern, dass ihre Daten sicher sein werden. In einem kürzlich veröffentlichten LinkedIn-Post kündigte Satya neue souveräne Angebote an, die seiner Meinung nach Microsofts Engagement widerspiegeln, den Kunden Wahlmöglichkeiten, Kontrolle und Sicherheit zu bieten.
Es gibt keinen Grund, an der Echtheit von Nadellas und Microsofts kommerziellen und internen Beweggründen zu zweifeln. Schließlich ist die EU ein riesiger Markt, und jedes Unternehmen möchte seine Kunden zufrieden stellen und ihre Bedürfnisse erfüllen. Aber es gibt nur ein Problem.
Dieses Versprechen kann Microsoft nicht einhalten. Und das kann auch keines der anderen großen Technologieunternehmen.
Das ist nicht unbedingt die Schuld von Microsoft oder einem anderen Unternehmen. Aber es ist dennoch Realität.
Der Grund dafür ist ganz einfach: Die Überwachungsgesetze der USA und die Kontrolle über den Technologiesektor sind unumstößlich. Nichts, was Microsoft oder ein anderes großes Technologieunternehmen ankündigen oder versprechen kann, wird diese Tatsache ändern.
Die US-Überwachungsgesetze - einschließlich des Foreign Intelligence Surveillance Act (FISA), des CLOUD Act und der Executive Order 12333 - erlegen amerikanischen Technologieunternehmen weitreichende Verpflichtungen auf, unabhängig davon, wo sich ihre Infrastruktur oder Kunden befinden. Diese Gesetze ermöglichen es den US-Behörden, den Zugang zu Daten zu erzwingen, selbst wenn diese Daten außerhalb der Vereinigten Staaten gespeichert sind oder nicht-amerikanischen Personen gehören.
Abschnitt 702 desFISA-Gesetzes erlaubt es den US-Geheimdiensten, ausländische Personen, die elektronische Kommunikationsdienste in den USA nutzen, ohne richterliche Anordnung zu überwachen. Entscheidend ist, dass dieses Gesetz für jedes Unternehmen gilt, das der US-Gerichtsbarkeit unterliegt", was alle Firmen mit Hauptsitz in den USA und ihre weltweiten Tochtergesellschaften einschließt. Die Einhaltung des Gesetzes wird im Geheimen verlangt, oft durch Nachrichtensperren.
Das CLOUD-Gesetz (Clarifying Lawful Overseas Use of Data Act) weitet diese Reichweite noch weiter aus, indem es den US-Strafverfolgungsbehörden ausdrücklich das Recht einräumt, von US-Unternehmen im Ausland gespeicherte Daten anzufordern, selbst wenn sie mit ausländischen Datenschutzgesetzen in Konflikt stehen.
DieExecutive Order 12333 führt eine weitere Ebene ein, indem sie die Massenerfassung von im Ausland abgefangenen Kommunikationsdaten ohne richterliche Aufsicht erlaubt, was vor allem dann Risiken birgt, wenn US-Unternehmen im Rahmen undurchsichtiger rechtlicher Verpflichtungen tätig sind und mit Forderungen der nationalen Sicherheit konfrontiert werden.
Diese US-Gesetze haben Vorrang vor den lokalen Schutzbestimmungen der EU-Datenschutzgrundverordnung (GDPR) hinsichtlich der tatsächlichen Kontrolle des Zugriffs. Selbst in Fällen, in denen EU-Einrichtungen ihre Daten auf einer "EU-basierten Infrastruktur" hosten, die von US-Unternehmen wie Microsoft, Google oder Amazon bereitgestellt wird, bleibt die zugrunde liegende Gerichtsbarkeit amerikanisch. Das bedeutet, dass europäische Kunden ausländischen Überwachungsregelungen ausgesetzt sind, die sie nicht überprüfen oder kontrollieren können.
Kurz gesagt, die rechtliche Zuständigkeit und nicht der physische Standort der Daten bestimmt den Zugang und die Kontrolle. Diese Tatsache macht es für US-Technologieunternehmen unmöglich, EU-Organisationen echte digitale Souveränität zu bieten, trotz Marketingaussagen über "souveräne" oder "europäische" Cloud-Angebote.
Im Allgemeinen ist Big-Tech-Software ein Closed-Source-Produkt, bei dem keine Transparenz darüber besteht, was unter der Haube passiert. Laut Gesetz könnte die US-Regierung Hintertüren in jede Software einbauen, um Verschlüsselungsschlüssel, Kundendaten und Metadaten abzugreifen - und kein Kunde würde es je erfahren, da die Forderung geheim gehalten werden müsste.
Es gibt echte Beweise dafür, dass diese Art des Eindringens in die Privatsphäre bereits stattfindet, und zwar in noch größerem Umfang als bisher. Die rote Fahne für viele EU-Regierungen und Unternehmen wurde geschwenkt, als Microsoft auf Druck der US-Regierung dem Chefankläger des Internationalen Strafgerichtshofs aufgrund von Sanktionen der US-Regierung den Zugang zu seinen Diensten verwehrte. Diese Art der willkürlichen Verweigerung von Diensten steht im absoluten Widerspruch zur Datenschutz-Grundverordnung.
In der Vergangenheit waren EU-Organisationen und -Regierungen trotz der Tatsache, dass die US-Überwachungsgesetze in der Lage waren, sich über alle politischen Vereinbarungen zur Einhaltung der EU-Datenschutzbestimmungen hinwegzusetzen, bereit, Vertrauen zu zeigen, da zumindest ein Geist der Zusammenarbeit als enge Verbündete bestand. Die geopolitische Landschaft hat sich jedoch dramatisch verändert.
Die effektive Auflösung des Privacy and Civil Liberties Oversight Board (PCLOB) durch die US-Regierung hat erhebliche Auswirkungen auf EU-Organisationen, die sich mit dem Datenschutz und dem transatlantischen Vertrauen befassen. Das PCLOB wurde ursprünglich eingerichtet, um eine unabhängige Aufsicht über die Überwachungstätigkeiten der USA zu gewährleisten, und war ein wichtiger Mechanismus, der in den Abkommen zwischen der EU und den USA über den Datentransfer - wie dem inzwischen eingestellten Privacy Shield - als Schutzmaßnahme zur Gewährleistung der Verhältnismäßigkeit und der Wiedergutmachung genannt wurde.
Ohne eine funktionierende PCLOB gibt es kein glaubwürdiges unabhängiges Gremium, das die US-Überwachungspraktiken überprüft oder sicherstellt, dass sie mit den Datenschutzgrundsätzen vergleichbar mit der DSGVO übereinstimmen. Dies untergräbt die Kernbehauptung, dass die Überwachung in den USA einer Kontrolle unterliegt, und schwächt die Zusicherungen in Rahmenwerken wie dem Data Privacy Framework (DPF), das in der EU bereits auf dem Prüfstand steht.
Für europäische Organisationen bedeutet dies ein erhebliches Rechts- und Reputationsrisiko, wenn sie Daten an in den USA ansässige Dienstleister übermitteln oder diesen anvertrauen, insbesondere an solche, die Gesetzen wie FISA und dem CLOUD Act unterliegen.
Die Behauptungen der US-Tech-Giganten, souveräne Lösungen für die EU zu liefern, sind magisch. Daran zu glauben, bedeutet, sich dem magischen Denken hinzugeben. Aber weder Microsoft noch irgendein anderes US-Tech-Unternehmen besitzt eine magische "Ausstieg aus der Überwachung"-Karte.
Vertrauen kann nicht auf Marketingerklärungen oder schwammigen Gefühlen über das, was einmal war, beruhen. Es erfordert eine nachweisbare rechtliche, institutionelle und technische Rechenschaftspflicht.
Die Regierungen und Unternehmen der EU müssen auf einem höheren Standard bestehen - der rechtsverbindlichen, unumstößlichen Einhaltung der EU-Datenschutzgesetze. Alles andere bedeutet, dass die Souveränität aufgegeben wird, anstatt sie zu schützen.
In der Praxis bedeutet dies, dass man sich für EU-Technologieanbieter entscheiden muss, die nach den EU-Datenschutzgesetzen arbeiten. Es bedeutet auch, EU-Technologieunternehmen zu bevorzugen, die Open-Source-Transparenz bieten, so dass Organisationen nicht nur überprüfen, sondern auch vertrauen können.
Die gute Nachricht ist, dass es glaubwürdige, starke EU-Technologielösungen für das gesamte Spektrum von Anwendungen und Anwendungsfällen gibt.