Die Scottish Police Authority wirft Microsoft vor, Speicherorte und Datenflüsse in Office 365 nicht offenzulegen. Laut DPIA fehlen Nachweise für internationale Transfers und vertragliche Sicherungen. Brisant: Remote-Zugriffe sollen aus über 100 Ländern möglich sein – Datensouveränität bleibt unklar.

Microsoft lehnt es ab, der schottischen Polizei Auskunft über Speicherorte und Verarbeitungswege sensibler Polizeidaten in seinen Cloud-Diensten zu geben. Nach Angaben der Scottish Police Authority (SPA) verweist der Konzern auf »geschäftliche Vertraulichkeit«. Police Scotland bittet seit Oktober 2024 um Transparenz bei internationalen Datenübertragungen – ohne Erfolg.

Laut einer veröffentlichten Anfrage nach dem Informationsfreiheitsgesetz (FOI) hat Microsoft mehrfach Anfragen der SPA und von Police Scotland zu internationalen Datenflüssen im Zusammenhang mit dem Einsatz von Office 365 abgelehnt. Die Behörde prüft derzeit die Cloud-Migration ihrer Dateninfrastruktur.

Hyperscaler im Konflikt mit Datenschutzrecht

Ohne die geforderten Informationen könne die SPA die Anforderungen des Data Protection Act 2018 (DPA) nicht erfüllen. Dieser schreibt für den Umgang mit polizeilichen Daten unter anderem Einschränkungen bei einer Übertragung außerhalb des Vereinigten Königreichs vor.

In einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment DPIA) erklärte die SPA, dass Microsoft weder Transfer-Risikoabschätzungen für Länder ohne Angemessenheitsbeschluss des Vereinigten Königreichs noch internationale Datenübertragungsvereinbarungen (International Data Transfer Agreements) vorgelegt habe.

Regionale Speicherung, globale Remote-Zugriffe

Im Kern geht es um die Trennung zwischen regionaler Datenspeicherung und Remote-Zugriffen: Auch wenn Daten at rest in Rechenzentrumsregionen liegen, können administrative Zugriffe aus Drittstaaten erfolgen. Interne Microsoft-Listen nennen über 100 Länder, aus denen Support- und Betriebszugriffe möglich sein sollen; zudem sind rund 150 Subprozessoren involviert. Für die SPA kollidiert das mit den Anforderungen des DPA 2018 (Part 3 – Law-Enforcement-Daten), da weder umfassende Transfer-Risikoabschätzungen für Länder ohne Angemessenheitsbeschluss noch belastbare International-Data-Transfer-Agreements vorgelegt wurden.

Die vielzitierte EU-Data-Boundary ändert daran wenig, da Ausnahmen für fortlaufende Transfers und Remote-Zugriffe bestehen können. Operativ bleibt kritisch, dass der Anbieter die Verschlüsselungsschlüssel kontrolliert und damit theoretisch Datenzugriffe oder rechtliche Herausgabepflichten in anderen Jurisdiktionen bedienen könnte. Für Beschaffer in Behörden und regulierten Unternehmen heißt das: Verbindliche, versionierte Offenlegung aller Remote-Zugriffsländer und Subprozessoren vertraglich fixieren, Audit- und Informationsrechte bei Änderungen sichern, IDTA/TRA für jedes betroffene Drittland einfordern, kundenseitig kontrollierte Schlüssel (HSM/Double-Key) sorgfältig bewerten sowie Exit-/Lösch-Prozesse vorab testen. Relevanz hat dies für Behörden, KRITIS-Betreiber und Unternehmen mit strafverfolgungs- oder personenbezogenen Daten in M365-Workloads.

Microsoft sichert Datensouveränität nicht zu

Microsoft teilte der SPA mit, dass es nicht möglich sei, die Souveränität der über Office 365 gespeicherten und verarbeiteten Daten zu garantieren. Zwar habe das Unternehmen für das Projekt »Digital Evidence Sharing Capability« (DESC), das auf Microsoft Azure basiert, gewisse Anpassungen zugesagt, diese blieben jedoch unklar. Für Office 365 seien solche Garantien nicht vorgesehen.

Die DPIA stellte zudem fest, dass Microsoft sämtliche Verschlüsselungsschlüssel kontrolliert und daher theoretisch Zugriff auf die Daten habe oder diese auf Anforderung an US-Behörden weitergeben könnte. Auch die Sicherheitsüberprüfung von Microsoft-Mitarbeitern außerhalb des Vereinigten Königreichs werde nicht ermöglicht.

Europäische Strafverfolger »bitten« – US-Hyperscaler juckt's wenig

Weitere FOI-Dokumente zeigen, dass Police Scotland bereits seit Oktober 2024 um Transparenz bei den internationalen Datenübertragungen bittet, bislang jedoch keine zufriedenstellenden Antworten erhielt.

Der Sachverhalt verdeutlicht die Schwierigkeiten, die beim Einsatz von Hyperscaler-Cloud-Diensten für sensible Daten auftreten können: Er kann zu Rechtsverstößen führen – erst recht, wenn selbst staatlichen Stellen die Mittel fehlen, um vollständige Gesetzeskonformität belastbar nachzuweisen.