“Deut­lich schwe­rer als die tech­ni­schen und orga­ni­sa­to­ri­schen Fra­gen eines mög­li­chen Exits wiegt wohl meist das Ein­ge­ständ­nis, dass eine daten­schutz­recht­lich unbe­denk­li­che Nut­zung und ein finan­zi­ell risi­ko­frei­er Ein­satz von Office 365 nach wie vor weder mög­lich und nicht in Sicht sind.” – Mat­thi­as Herkert

Seit dem EuGH-Schrems-II-Urteil ist der inter­na­tio­na­le Daten­trans­fer aus Euro­pa in die USA ist nur noch ein­ge­schränkt mög­lich. Die ver­än­der­te Rechts­la­ge hat den Blick in den Geschäfts­füh­run­gen und  IT-Abteilungen in den ver­gan­ge­nen Mona­ten wie­der auf die Not­wen­dig­keit der Ent­wick­lung von Aus­stiegs­stra­te­gie bei der Ver­wen­dung von Microsoft-Cloud Diens­ten gelenkt. Und auch wenn die momen­ta­ne Ent­wick­lung eine Lösung mit Micro­soft wahr­schein­lich wer­den lässt (hier­zu unser Blog­ar­ti­kel »Micro­soft stärkt die Rech­te sei­ner Nut­zer«), blei­ben zahl­rei­che Risi­ken, die eine betrieb­li­che Exit-Strategie auch zukünf­tig erfor­dern werden.

Doch was sich so ein­fach liest, ist indes in der Pra­xis kein leich­tes Unter­fan­gen. Bedeu­tet es doch, dass die ver­ant­wort­li­che Fach­ab­tei­lung neben dem oft nicht uner­heb­li­chen Bud­get für die Umstel­lung auf die Online­diens­te von Micro­soft, ein zwei­tes Bud­get zur Frei­ga­be vor­le­gen soll­te, in dem, für den Fall einer erfor­der­li­chen Ver­trags­be­en­di­gung, etwa wegen einer erzwun­ge­nen Offen­le­gung per­so­nen­be­zo­ge­ner Daten auf­grund des CLOUD-Acts durch US-amerikanische Behör­den, alles wie­der rück­gän­gig gemacht wer­den muss.

Kom­po­nen­ten der Exit-Strategie

Die Diö­ze­san­da­ten­schutz­be­auf­trag­ten für die (Erz-)Bistümer Frei­burg, Ful­da, Lim­burg, Mainz, Rottenburg-Stuttgart, Spey­er und Trier haben in ihrem jüngst vor­ge­leg­ten Tätig­keits­be­richt (hier geht es zur PDF-Datei auf der Home­page des Katho­li­schen Daten­schutz­zen­trums Frank­furt am Main) Bau­stei­ne einer sinn­vol­len Exit-Strategie auf­ge­zeigt, die den Ver­ant­wort­li­chen hel­fen sol­len, den Risi­ken aus dem Ein­satz der Micro­soft Cloud­diens­te in anste­hen­den Umstel­lungs­pro­jek­ten zu begegnen.

• Pro­gno­se der im Fall einer Rück­mi­gra­ti­on anfal­len­den Daten­vo­lu­men erstel­len - Da in den nicht-cloudbasierten Micro­soft­pro­gram­men der Spei­cher­platz auf Anwen­der­ebe­ne meist gerin­ger ist als in der Microsoft-Cloud (bei Out­look z.B. 1 GB kon­ven­tio­nell je Post­fach statt 100 GB je Post­fach in Office 365), soll­te im Fall einer Rück­über­tra­gung mit deut­lich höhe­ren Daten­men­gen kal­ku­liert wer­den. Bestehen­de Inhouse-Rechenzentrumsinfrastrukturen wer­den die zukünf­tig anfal­len­de Daten­men­gen daher bereits nach weni­gen Betriebs­jah­ren kaum mehr auf­neh­men kön­nen, was eine Pla­nung von Spei­cher­platz­al­ter­na­ti­ven oder kon­se­quen­te Spei­cher­platz­be­gren­zun­gen auch in den Cloud­ser­vices im Rah­men der Aus­stiegs­stra­te­gie erfor­der­lich macht.
• Rück­über­tra­gung der Daten in das eige­nen Rechen­zen­trum (Insour­cings) oder zu eine euro­päi­schen Cloud-Dienstleister pla­nen — Da eine Rück­mi­gra­ti­on in eige­ne Rechen­zen­tren in vie­len Fäl­len kaum mög­lich sein wird, unter ande­rem weil die benö­tig­ten Rechen­zen­trums­in­fra­struk­tur nach der Ver­la­ge­rung meist abge­baut oder zumin­dest nicht wei­ter aus­ge­baut wer­den wird, soll­ten geeig­ne­te Dienst­leis­ter iden­ti­fi­ziert und ver­trag­lich gebun­den wer­den, auf die eine Rück­über­tra­gung der Diens­te und Daten kurz­fris­tig, regel­mä­ßig wohl inner­halb der meis­tens 90-tägigen Kün­di­gungs­frist der Microsoft-Services, mög­lich ist.
• Pro­gno­se der im Fall einer Rück­mi­gra­ti­on anfal­len­den Per­so­nal­res­sour­cen und Infra­struk­tu­ren — Die erwar­te­ten per­so­nel­len sowie hardware- und soft­ware­sei­ti­gen Beschaf­fun­gen im Fall einer Rück­über­tra­gung der Pro­duk­tiv­sys­te­me soll­te pro­gnos­ti­ziert und in Beschaf­fungs­plä­nen fixiert wer­den. Da mit der Migra­ti­on in die Microsoft-Cloud in vie­len Fäl­len auch ein Aus­bau der Nut­zung der ange­bo­te­nen Ser­vices ver­bun­den sein wird, soll­te bei jeder Akti­vie­rung von bis­lang nicht genutz­ten Diens­ten (z.B. Micro­soft Teams) auch fest­ge­legt wer­den, ob die­se im Fall einer Rück­mi­gra­ti­on bei­be­hal­ten wer­den sol­len. Die in die­sem Fall (i.d.R. zusätz­lich) erfor­der­li­che Hard- und Soft­ware soll­te in den Beschaf­fungs­plä­nen berück­sich­tigt und im Bud­get ein­ge­preist werden.
• Simu­la­ti­on der Rück­über­tra­gung - Um sicher­zu­stel­len, dass im Fall einer erfor­der­li­chen Rück­über­tra­gung aller Ver­ar­bei­tun­gen aus der Platt­form der Microsoft-Cloud im gege­be­nen Zeit­rah­men migriert wer­den kön­nen, soll­te die Rück­mi­gra­ti­on anhand von Stich­pro­ben simu­liert und über­prüft wer­den. Die Simu­la­tio­nen ermög­li­chen eine Pro­gno­se der Lauf­zeit einer mög­li­chen Daten­rück­über­tra­gung und unter­stützt dabei, mög­li­che Hard- und Soft­ware­pro­ble­me aufzudecken.
• Lau­fen­de Veri­fi­zie­rung und Anpas­sung der Aus­stiegs­stra­te­gie – Mit Blick auf die lau­fen­de Wei­ter­ent­wick­lung der Office 365 Diens­te und der Ange­bo­te der Microsoft-Cloud, aber auch mit Blick auf sich ändern­de tech­ni­sche Stan­dards und bran­chen­spe­zi­fi­sche Vor­ga­ben, ist die Exit-Strategie regel­mä­ßig zu über­prü­fen und anzu­pas­sen. In die­sem Rah­men soll­ten auch die zuvor erstel­len Pro­gno­sen veri­fi­ziert wer­den, um gege­be­nen­falls Dienst­lei­tungs­ver­trä­ge und Beschaf­fungs­plä­ne anpas­sen zu können.

Fazit

Die ins­be­son­de­re von kirch­li­chen Daten­schutz­auf­sich­ten regel­mä­ßig gefor­der­ten Exit-Strategien beim Ein­satz von Office365 auf der Platt­form der Microsoft-Cloud wir in der Pra­xis von Unter­neh­men und Ein­rich­tun­gen häu­fig »stief­müt­ter­lich« behan­delt. Dabei ist der Ent­wurf einer geeig­ne­ten Stra­te­gie zur Rück­mi­gra­ti­on aller Daten im Rah­men eines not­wen­di­gen Aus­stiegs aus der Online­welt von Micro­soft bei wei­tem nicht so kom­plex wie viel­fach befürch­tet. Deut­lich schwe­rer als die tech­ni­schen und orga­ni­sa­to­ri­schen Fra­gen wiegt wohl meist das Ein­ge­ständ­nis, dass eine daten­schutz­recht­lich unbe­denk­li­che Nut­zung und ein finan­zi­ell risi­ko­frei­er Ein­satz von Office 365 nach wie vor weder mög­lich und nicht in Sicht sind.