Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Hat Microsoft die DSGVO-konforme Lösung für den Datentransfer in Drittländer gefunden?

Seit dem Inkrafttreten der DSGVO haben viele Anwendungsdienstleister im Vergleich zu den USA mit sehr viel strengeren Regularien in der EU zu kämpfen.

Das Privacy Shield ist gekippt. Ein Angemessenheitsbeschluss ist für die USA nicht zu erwarten. Bleiben nur noch die Standardsvertragsklauseln aber auch diese können nicht garantieren, dass US-Behörden keinen Zugang zu Daten aus dem europäischen Raum erlangen.  

Was also tun?

Microsoft 365 brachte nach einer Klage der niederländischen Regierung zwar schon 2019 eine erste DSGVO-konforme Version heraus, dies war aber nicht bei allen Microsoft 365 Plänen möglich und konnte unter Umständen die Funktionalität einiger Cloud Anwendungen einschränken. In der 2019er Version konnte das selbstständige Übermitteln von Telemetrie- und Diagnosedaten unterbunden werden, wie gesagt war dies aber nur in einzelnen Plänen möglich.

Zum Jahreswechsel 2020/2021 veröffentlichte Microsoft nun eine tragfähige Lösung. Die Lösung heißt: Double Key Encryption (DKE).

Was ist das? Und wie funktioniert das?

Der Name ist Programm, es werden zwei verschiedene kryptografische Schlüssel verwendet. Ein Schlüssel verbleibt bei Microsoft und der zweite Schlüssel beim Anwender. Microsoft hat so keinen Zugang mehr zu den Daten, da zum Entschlüsseln beide Schlüssel benötigt werden.
Man kann sich das Ganze wie ein Bankschließfach vorstellen. Nur mit einem Schlüssel, der bei der Bank verbleibt und dem eigenen, den man vielleicht am Schlüsselbund trägt oder im eigenen Safe aufbewahrt, kann man an den Inhalt seines Bankschließfachs gelangen.

Wer jetzt aber denkt, dass jegliche Daten mit DKE geschützt werden können, irrt. Die Verschlüsselung mit Doppelschlüssel ist für vertraulichste Daten vorgesehen, die den strengsten Schutzanforderungen unterliegen. Die System- und Lizenzierungsanforderungen für DKE sind hoch. Und externe Anwendungen oder Dienste, die nicht über das Microsoft Information Protection (MIP)-SDK (Software Development Kit) in DKE integriert sind, können keine Aktionen für die verschlüsselten Daten ausführen.

Fazit:

Für Anwender aus stark regulierten Branchen, wie dem Finanzsektor oder dem Gesundheitswesen, bietet die DKE eine zusätzliche Schutzebene für kritischste Daten. Es erhöht die Schutztiefe für hochsensible Daten und spezielle Anforderungen, gleichzeitig ermöglicht DKE Anwendern mit größerem Vertrauen solche Daten in der Cloud zu speichern. Ein Gamechanger für alle Daten und Anwendungen ist sie aber nicht.