Nicht alles was glänzt ist DSGVO
Microsofts deutsche Azure Cloud ist nicht datenschutzkonform - obwohl sie unter der Obhut der deutschen T-Systems betrieben wird. Zu diesem Schluss kommt das Magazin für Professionelle Informationstechnik iX.
Dank dem treuhänderischen Betrieb durch die deutsche T-Systems soll die deutsche Azure Cloud DSGVO-konform sein. So das Versprechen von Microsoft. Das Magazin iX hat es auf sich genommen, dies zu überprüfen. Mit Wireshark wurde der Netzwerkverkehr einer Windows und mit strace, tcpdump und ngrep derjenige einer Linux-Instanz überprüft. Dabei kam heraus, dass Daten unautorisiert an eine öffentliche IP-Adresse geschickt werden.
Wenn Daten ohne Wissen des Kunden an eine nicht von ihm autorisierte IP-Adresse geschickt werden ist das zumindest unschön. Sofern es sich nicht um Kundendaten handelt und solange die IP-Adresse in Deutschland terminiert wird, wäre das aber noch nicht unbedingt ein DSGVO-Problem. Da aber weder das Eine noch das Andere klar von Microsoft oder T-Systems deklariert wird, wird es zum Problem. Denn gemäss DSGVO muss der Auftraggeber im Streitfall nachweisen können, dass die Kundendaten DSGVO-konform verarbeitet wurden. Wenn aber Datenverkehr stattfindet, über den er nicht informiert ist und der Netzwerkverkehr an eine IP-Adresse geht, deren Lokation nicht klar ist, kann er das nicht.
Vielleicht hat es System, vielleicht sind es nur Kinderkrankheiten. Aber die Azure Cloud ist – obwohl in Deutschland vom Treuhänder T-Systems betrieben – offenbar nicht datenschutzkonform. Andere Clouds wurden nicht getestet, aber die Resultate dürften ähnlich ausfallen.
Quelle:
iX 9/2018: Datenschutz: Wie DSGVO-konform ist die Azure-Cloud von T-Systems?
Update:
Microsoft stellt seine speziellen Cloud-Angebote mit Daten-Treuhänderschaft durch die Deutsche Telekom ein. (Heise Online: 31.08.2018)