Wer in den letzten Wochen ein wenig die Debatte zur Delos-Cloud verfolgt hat, könnte zu dem Schluss kommen, der CIO des Bundes wäre einen Pakt mit dem Belzebub eingegangen.
Die Delos-Polemik in der Übersicht
Was ist der Tenor der KritikerInnen? „Bundes-CIO Markus Richter hat sich […] für die Delos-Cloud entschieden“, deswegen übe „das Bundeskanzleramt derzeit massiven Druck auf die Länder“ aus, damit diese ihre Behörden „in die ‚digital-souveräne‘ Cloud“ von SAP und Arvato migrierten. Diese allerdings basiere auf M365 und Azure von Microsoft. Daher bestünde das Risiko, dass die USA Zugriff „auf die persönlichen Daten der deutschen BürgerInnen und andere schützenswerte Daten der Verwaltung“ hätten. Zu diesem Schluss käme „auch der Wissenschaftliche Dienst des Bundestages“.
Uninformierte LeserInnen also müssten zu dem Schluss kommen: Markus Richter ist Luzifer, der Urheber des Bösen. Ein Hintermann im Deep State des Finanzministeriums, unterstützt durch gemeine SAP-LobbyistInnen und teuflische Microsoft-Milliarden. Einer, der Kanzler und Bundesländer manipuliert, der bewusst gegen jene Gesetze handelt, über die ihn seine eigenen WissenschaftlerInnen aufklärten.
Zur Böswilligkeit dann gesellt sich noch Inkompetenz. Denn: Mit der Delos-Initiative handele Markus Richter „im Widerspruch zur eigenen Strategie“. Schließlich „plant die Bundesregierung eine Open-Source-Cloud“. Zudem hat „die Föderale IT-Kooperation (FITKO) die Deutsche Verwaltungs-Cloud entwickelt“.
Die Sachlage
Worum nun geht es bei der Debatte um die Delos-Cloud? Im Kern handelt es sich um ein Rechenzentrum, das von den deutschen Unternehmen SAP und Arvato Systems betrieben wird. Die Softwares, Azure und M365, stammen tatsächlich von Microsoft, die Hardware wahrscheinlich aus Asien. Die Cloud selbst ist lediglich für die deutsche Verwaltung nutzbar und fällt somit in die Kategorie der Private Clouds.
Prinzipiell ist dieses Setup vergleichbar mit etwa 60%-80% aller heute schon existierenden Private Clouds. Lediglich die Cloud-Software stammt dort von einem anderen US-Unternehmen: VMware.
Wichtig für die weitere Diskussion: Der Cloud-Provider der Delos-Cloud ist eben nicht Microsoft, sondern die Delos Cloud Gmbh mit Sitz in Walldorf. Ein deutsches Unternehmen als Tochterunternehmen des deutschen Konzerns SAP.
Was sagen die KritikerInnen, was der wissenschaftliche Dienst sagt?
Neben einigen anderen Kritikpunkten bezweifeln OSBA und Netzpolitik.org, dass die Delos Cloud GmbH eine auf Microsoft-Technologien basierte Cloud datenschutz-konform betreiben könne. Somit bestünde die Gefahr, dass amerikanische Behörden, mit Hilfe von Gesetzen wie Cloud Act und FISA, auf personenbezogene Daten dieser Cloud zugreifen könnte. Beide KritikerInnen berufen sich dabei auf ein Dokument des wissenschaftlichen Dienstes des Bundestages. Esther Menhard von Netzpolitik.org etwa schreibt unter der Überschrift „Die Gefahr unbekannter Hintertüren“:
„Seine souveräne Cloud-Lösung hat Microsoft als Third-Party-Private-Cloud (TPPC) konzipiert und ‚beabsichtigt nach eigenem Bekunden mit Delos einen Exklusivertrag über den späteren Betrieb der bereitgestellten TPPC abzuschließen‘, heißt es im MoU. Diese „exklusive“ Nähe ist datenschutzrechtlich bedenklich. […] Und auch die Datenschutzkonferenz der Länder (DSK) bezweifelt, dass Microsoft 365 datenschutzkonform betrieben werden kann. […] Tatsächlich verpflichtet der US-amerikanische Clarifying Lawful Overseas Use of Data Act (Cloud Act) Anbieter, die der US-amerikanischen Gerichtsbarkeit unterliegen, auf staatliche Anordnung hin Daten und Informationen offenzulegen. Der Cloud Act greift dabei auch, wenn diese außerhalb der Vereinigten Staaten gespeichert werden. Zu diesem Schluss kommt auch der Wissenschaftliche Dienst des Deutschen Bundestages.“
Peter Ganten vom OSBA warnt unter der Überschrift „Datenschutzrechtliche Bedenken“:
„[…] Seit Jahren bestünden datenschutzrechtliche Bedenken gegen die Nutzung von Microsoft Cloud-Services durch die öffentliche Verwaltung. Denn das US-amerikanische Recht könne US-amerikanische Unternehmen zur Herausgabe von persönlichen Daten zwingen. […] Diese datenschutzrechtlichen Bedenken spiegeln sich unter anderem in dem Beschluss der Datenschutzkonferenz der Länder wieder [sic], demzufolge Microsoft bisher keinen Nachweis darüber erbringen konnte, dass Microsoft 365 datenschutzrechtskonform betrieben werden kann. Auch eine Untersuchung der wissenschaftlichen Dienste des Bundestages hat im Januar 2024 diese datenschutzrechtlichen Probleme noch einmal dargelegt.“
Was sagt der wissenschaftliche Dienst des Bundestages?
Sowohl der OSBA als auch Netzpolitik.org berufen sich also auf ein Dokument des wissenschaftlichen Dienstes des Bundestages. Was nun also steht wirklich in dem 29-seitigen Papier mit dem Aktenzeichen WD3-3000-105/23 mit dem Titel „Herausgabepflichten von Daten und Informationen an US-amerikanische Sicherheitsbehörden. Zu den Auswirkungen auf die Nutzung von Cloud-Diensten durch Behörden“? Hat Markus Richter wirklich böswillig oder inkompetent den Rat der eigenen ExpertInnen ignoriert?
Im feinsten Juristen-Deutsch beschreiben die AutorInnen darin zuerst die US-Rechtgrundlagen eines möglichen Zugriffs auf Daten in Europa (ECPA und SCA, FISA insb. Section 702, Executive Order 12333, National Security Letters, Cloud Act). Danach geht es um die Frage, auf wen diese Gesetze anwendbar sind. Unstrittig, so der wissenschaftliche Dienst (S. 12, Abs 2.2), sei die Herausgabeverpflichtung
„[…] für Daten und Informationen, die sich innerhalb der USA befinden, gegenüber US-amerikanischen Unternehmen, die auch ihren Sitz in den USA haben.“
Wir erinnern uns: Delos ist ein deutsches Unternehmen mit Sitz in Deutschland.
Dann stellen sich die WissenschaftlerInnen die Frage: Können die Vorschriften auch extraterritorial angewendet werden? Die Antwort steht auf Seite 13 Absatz 2.2.1:
Für „die Geltendmachung von Herausgabeforderungen gegenüber US-amerikanischen Unternehmen der Speicher- und Aufbewahrungsort [ist] der Speicher- und Aufbewahrungsort der Daten und Informationen irrelevant […]. Es komme für eine zulässige Rechtsanwendung maßgeblich auf die Verfügungsgewalt der US-amerikanischen Unternehmen über die jeweiligen Daten an“
Wir erinnern uns: Delos ist kein US-Unternehmen mit Rechenzentrum in Deutschland. Es ist ein deutsches Unternehmen mit Rechenzentrum in Deutschland.
Eine solche Verfügungsgewalt, so der wissenschaftliche Dienst auf Seite 14, liege auch …
„bei Niederlassungen der US-amerikanischen Unternehmen oder hundertprozentigen Tochtergesellschaften von US-amerikanischen Unternehmen außerhalb von USA vor. Unter Verweis auf andere US-amerikanische Gesetze wird sogar argumentiert, dass US-amerikanische Gerichte bereits dann Kontrolle im Sinne des CLOUD Act annehmen könnten, wenn eine Tochtergesellschaft nur zu 25 Prozent im Eigentum eines US-amerikanischen Unternehmens stehe.“
Wir erinnern uns: Delos ist ein Tochter-Unternehmen von SAP. Von einer Beteiligung eines US-Unternehmens ist nichts bekannt.
Aber die WissenschaftlerInnen haben noch etwas gefunden:
„Als ein Beispiel der tatsächlichen Kontrolle wird die Konstellation angeführt, bei der zwischen dem zur Herausgabe verpflichteten US-amerikanischen Unternehmen und einem anderen Unternehmen mit Sitz im Ausland, das über die Daten verfügt, zwar keine rechtliche Bindung besteht, aber der Unternehmensvorstand identisch ist.“
Auch spannend, aber von einer möglichen Personalunion von Führungskräften bei Delos und US-Unternehmen ist nichts bekannt.
Dann nimmt der wissenschaftliche Dienst Bezug auf eine noch weiterführende These:
„Teilweise wird argumentiert, dass 18 USC § 2713 so weit ausgelegt werden könne, dass auch ausländische Unternehmen bzw. nicht-US-amerikanische Unternehmen, wie auch Tochterunternehmen mit Sitz außerhalb der USA, Adressaten einer entsprechenden Herausgabeverpflichtung sein könnten. Dies solle bereits ‚[b]ei ausreichenden Anknüpfungspunkten‘ gelten, die einen hinreichenden Bezug zur US-amerikanischen Gerichtsbarkeit begründen. Für eine Herausgabe Verpflichtung könne ausreichen, dass die zur Herausgabe verpflichteten Unternehmen lediglich in den USA ‚Geschäftsniederlassungen betreiben‘ oder ‚aus dem Ausland auf dem US-Markt ausgerichtete Dienstleistungen anbieten‘“
Dieses Argument ist besonders spannend. Träfe es zu, dann wäre Delos als Tochter-Unternehmen von SAP durchaus betroffen von Herausgabeverpflichtungen, denn die SAP als globaler Konzern unterhält durchaus relevante Geschäfte in den USA. Gleichermaßen würde dies aber auch auf die Clouds der deutschen T-Systems zutreffen. Denn deren Muttergesellschaft, die Deutsche Telekom, hat mit der T-Mobile US durchaus relevante Anknüpfungspunkte mit der US-Gerichtsbarkeit.
Wie nun bewerten die parlamentarischen WissenschaftlerInnen diese These?
„Dies wäre eine extraterritoriale Ausübung des US-amerikanischen Rechts in einem anderen Staat, die die territoriale Souveränität des jeweiligen anderen betroffenen Staates berührt. Die extraterritoriale Ausübung ist völkerrechtlich zwar nicht per se verboten, allerdings muss insoweit zwischen Ausübung, Rechtsanwendung und Rechtsdurchsetzung bzw. Vollstreckung differenziert werden. Vor allem die Vollstreckung einer solchen Herausgabeverpflichtung in einem fremden Hoheitsgebiet ist grundsätzlich ausgeschlossen und könnte nur mithilfe desjenigen Staates erfolgen, dessen Hoheitsgebiet berührt ist.“
Die USA also können sich die Herausgabeverpflichtung von Delos zwar in ihre Gesetze schreiben, sind für die Durchsetzung dieser Pflicht aber auf die Mitwirkung des deutschen Staates angewiesen. Deutschland verfügt in diesem Fall also weiterhin über die Kontrolle über seine Daten.
Ab Kapitel 3 und Seite 17 geht es in WD3-3000-105/23 dann noch um weitere Fragen, etwa, ob und inwiefern Behörden Cloud-Dienste nutzen dürfen, die, im Gegensatz zu Delos, Adressat US-amerikanischer Herausgabeverpflichtungen sind.
OSBA und Netzpolitik.org führen ihre LeserInnen in die Irre
Die von OSBA und Netzpolitik.org geäusserten Bedenken, die Delos Cloud GmbH könne seine Microsoft-basierten Cloud-Dienste nicht Datenschutz-konform betreiben, lassen sich definitiv nicht durch das Dokument des wissenschaftlichen Dienstes des Bundestages fundieren.
Im Gegenteil: Das Konstrukt des Betreibermodells der Delos Cloud scheint exakt so gewählt, dass unabhängige JuristInnen, wie jene des Bundestages, zu dem Schluss kommen, dass der europäische Datenschutz bei Delos berücksichtigt wird.
Nun gibt es noch drei Möglichkeiten, wie sich die Kritiken von OSBA und Netzpolitik.org erklären lassen:
- Die AutorInnen haben einfach nur schlecht recherchiert.
- Die Organisationen haben sich dem allgemeinen Politiktrend angeschlossen, Fehl-Informationen zu verbreiten.
- Die Beteiligten wissen etwas, das nicht allgemein bekannt ist.
Ersteres wäre peinlich. Das zweite wäre sehr schade, denn es würde ein wirklich schlechtes Licht werfen auf die eigentlich sehr gute Mission der beiden Organisationen. Wenn aber der dritte Fall zutrifft, dann wäre das besonders ärgerlich. Vielleicht ist Microsoft möglicherweise doch an Delos beteiligt? Ist SAP etwa ein US-Unternehmen? Gibt es eine Führungskraft bei Delos mit US-Pass? Funktionieren die sogenannten „Daten-Dioden“ nicht, welche die hereinkommenden Updates und herausgehenden Abrechnungsdaten steuern sollen? Sagt es uns bitte! Seid spezifisch in eurer Kritik, nur dann können die Beteiligten auch etwas verbessern.
Was die Strategie der Bundesregierung betrifft, so haben weder Markus Richter noch der Kanzler einen Pakt mit dem Teufel geschlossen. Beide versuchen lediglich, der deutschen Verwaltung zusätzliche Optionen zu geben. Daher fördern sie nicht nur den SCS und Zendis und unterstützen die Verwaltungscloudstrategie der FITKO. Nein, sie geben auch den normalen Microsoft-NutzerInnen in der deutschen Verwaltung ihre gewohnten Office-Tools und sichern diese mit Hilfe des Delos-Konstrukts gegen bestimmte geopolitische Szenarien ab.
Notabene
In den referenzierten Schriften der Delos-KritikerInnen gibt es noch weitere Ungenauigkeiten:
- OSBA / 2. Absatz: Der Hinweis der Datenschutzkonferenz der Länder vom 24.11.2024, M365 könne nicht datenschutzkonform betrieben werden, stammt aus der Zeit vor dem Angemessenheitsbeschluss der EU. Zudem bezieht er sich auf den Betrieb von M365 durch Microsoft und nicht durch Delos.
- OSBA / 2. Absatz: Gleiches gilt für die Analyse des EU-Datenschutzbeauftragten bzgl. der Nutzung von M365.
- OSBA / 2. Absatz: Gleiches gilt für die Analyse der schottischen Polizei bzgl. der Nutzung von M365.
- OSBA / 2. Absatz: Auch bei Open Source-Software kann nicht völlig ausgeschlossen werden, dass ein Zugriff auf schützenswerte Daten der Verwaltung möglich ist (siehe: log4j)
- Netzpolitik / 2. Absatz: Die SAP hat, nicht wie von der Autorin geäußert, eigene Cloud-Infrastrukturen.
- Netzpolitik / 2. Absatz: Die Arvato Systems hat, nicht wie von der Autorin geäußert, eigene Cloud-Infrastrukturen.
- Netzpolitik / 3. Absatz: Der Hinweis der Datenschutzkonferenz der Länder vom 24.11.2024, M365 könne nicht datenschutzkonform betrieben werden, stammt aus der Zeit vor dem Angemessenheitsbeschluss der EU. Zudem bezieht er sich auf den Betrieb von M365 durch Microsoft und nicht durch Delos.
