Microsoft Office 365 ist eine beliebte Cloud-Lösung für kleinere Unternehmen und Gewerbetreibende. Um die Akzeptanz in Deutschland zu stärken und den Datenschutzrichtlinien der Europäischen Union zu genügen, wurden kürzlich die EU Model Clauses in den Office 365 Vertrag integriert. Darüber hinaus gelten bei uns die deutschen Datenschutzbestimmungen. Damit sollte das Thema Privacy und Datenschutz eigentlich vom Tisch sein und für die meisten Anwender ist es das auch. Es bleibt aber Unsicherheit im Markt.

Office 365 ist eine Cloud-Lösung für Selbständige und kleinere bis mittlere Organisationen. Im Gegensatz zur traditionellen Software, die auf dem jeweiligen Rechner des Nutzers installiert und bei Bedarf auch auf diesem ausgeführt wird, läuft Office 365 im Browser und benötigt keine Installation. Die Software wird On-Demand (also bei Bedarf) über das Internet abgerufen. Daten wie E-Mails, Dateien, Einstellungen werden jedoch nicht lokal auf dem Rechner des Benutzers oder im Firmen-LAN gespeichert, sondern in der Cloud. Die nebulöse Cloud ist letztendlich aber gar nicht so nebulös. Sie befindet sich in Form von physikalischen Servern und Speichermedien in einem (oder mehreren) Microsoft-Rechenzentrum. Und genau das ist die Krux an der Sache.

Der US Patriot Act besagt, dass alle Unternehmen mit Sitz in USA den Ermittlungsbehörden im Bedarfsfall Zugriff auf deren Server gewähren müssen. Das gilt auch für Server und Datenspeicher, die beispielsweise in einem Land der EU betrieben werden. Für viele Organisationen mit sensiblen Daten ist Office 365 daher ein No-Go, weshalb der Vertrieb von Office 365 in Deutschland den internationalen Vergleichswerten hinterher hinkt.

• Deutsche Kunden werden im Rechenzentrum in Irland gehostet
• Die EU Model Clauses sind seit kurzem Bestandteil der Office 365 Verträge
• Das Office Trust Center (vertrauensbildene Maßnahme)

Durch diese Maßnahmen darf Microsoft den US-Ermittlungsbehörden nur dann Zugriff gewähren, wenn die Anfrage auch den Europäischen Datenschutzgesetzen genügt. Was passiert aber in der Praxis, wenn im konkreten Fall Microsoft einerseits durch den Patriot Act zur Herausgabe der Daten verpflichtet ist, andererseits das europäische Recht genau diese Herausgabe bzw. den Zugriff auf die Server verbietet?

Wie weit hier Anspruch und Theorie von der Praxis abweichen werden nur die ersten wirklichen Streitfälle zeigen. Bis dahin kann sich der Office 365 Benutzer bezüglich der Sicherheit seiner Daten recht komfortabel fühlen. Statt sich der “German Angst” hinzugeben oder auf Prinzipien herumzureiten, sollte man versuchen eine pragmatische Entscheidung zu treffen, die ihrem Vorhaben oder ihrem Unternehmen dient. Ist Office 365 einen für mich vorteilhafte Lösung? Wenn sie das bejahen, dann sollten Sie abwägen, ob ihre Daten wirklich so geheim und gefragt sind, dass sich der US-Geheimdienst dafür interessierten könnte. Ich glaube, die wenigsten unter ihnen, werden auf die letzte Frage mit einem Ja antworten.