Neue Zweifel an Microsofts Datentransparenz: Cloud-Dienste offenbar in weit mehr Ländern aktiv als angegeben

Ein aktueller Bericht sorgt für Aufsehen: Microsoft soll Kundendaten seiner Cloud-Dienste offenbar in deutlich mehr Staaten verarbeiten lassen, als das Unternehmen bislang offiziell kommuniziert. Die veröffentlichten Informationen zu internationalen Datenübertragungen seien so verstreut und schwer zugänglich, dass eine unabhängige Nachverfolgung kaum möglich sei. Selbst gezielte Suchanfragen führten häufig ins Leere, da manche Dokumente nur durch die Eingabe ganzer Textpassagen auffindbar seien.

Diese unübersichtliche Informationslage erschwert es Behörden, Unternehmen und Aufsichtsstellen, nachzuvollziehen, wohin sensible Daten gelangen und welche Dienstleister oder Tochtergesellschaften Zugriff darauf haben. Kritiker sehen darin ein grundlegendes Transparenzproblem, das die Einhaltung von Datenschutzvorgaben erheblich behindert.

Ein besonders brisanter Fall betrifft die schottische Polizei. Die Behörde hatte über das Informationsfreiheitsgesetz Einblick in die Datenflüsse von Office 365 verlangt, um festzustellen, in welche Länder Polizeidaten übertragen werden. Microsoft lehnte eine detaillierte Offenlegung ab und verwies auf Betriebs- und Geschäftsgeheimnisse. Interne Unterlagen sollen jedoch zeigen, dass Zugriffe aus insgesamt 34 Ländern möglich sind – deutlich mehr, als bisher öffentlich bekannt war. Auf der hauseigenen Plattform Microsoft Learn finden sich zudem Hinweise auf über 100 Staaten, aus denen Partner und Mitarbeiter theoretisch auf Daten zugreifen könnten.

Der britische IT-Sicherheitsberater Owen Sayers sieht in dieser Intransparenz ein ernstes Datenschutzrisiko. Nach seiner Einschätzung verteile Microsoft Informationen zu Subunternehmen, Tochterfirmen und Vertragspartnern über zahlreiche Marketingdokumente, wodurch ein vollständiger Überblick praktisch unmöglich werde. Selbst bei gründlicher Prüfung könne man kaum erkennen, in welchem Umfang Daten tatsächlich ausgelagert sind.

Für öffentliche Institutionen wie die Scottish Police Authority hat diese Situation weitreichende Konsequenzen. Sie ist gesetzlich verpflichtet, den exakten Speicher- und Verarbeitungsort personenbezogener Daten zu kennen. Ohne klare Auskunft von Microsoft gerät die Behörde in Konflikt mit ihren Datenschutzpflichten, während die praktische Nutzung von Cloud-Diensten gleichzeitig unverzichtbar bleibt.

Zwar betont die Scottish Police Authority, dass ihr sämtliche relevanten Speicherorte bekannt seien, doch bleibt unklar, wann die vollständige Integration von Microsoft 365 abgeschlossen wird und ob künftig mehr Offenheit seitens des Unternehmens zu erwarten ist. Fachleute fordern deshalb, dass Cloud-Anbieter künftig detaillierter und zentralisiert über ihre globalen Datenflüsse informieren müssen, um Vertrauen und Rechtssicherheit zu gewährleisten.

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!