In den letzten Wochen ist es relativ ruhig um die Berichterstattung zu Delos Cloud geworden und wie das am ende des Tages alles funktionieren soll. In der Vergangenheit habe ich relavante Artikel hier kurz abgelegt und möchte nun kurz mal zusammenfassen was die Ist-Situation meiner Wahrnehmung nach ist.

Ich habe das getan, weil ich wissen wollte welche Aussagen und Fragen in der Vergangenheit beantwortet bzw. wiederlegt wurden und was noch offen ist. Ich wollte das wissen um ein Gefühl dafür zu bekommen wie unsouverän die Delos Cloud denn nun wirklich ist.

Was ist die Delos Cloud?

Die Delos Cloud ist eine Plattform für die deutsche öffentliche Verwaltung. Technisch basiert sie auf Microsoft-Technologie. Der Betrieb soll in deutschen Rechenzentren mit sicherheitsüberprüftem Personal erfolgen.

Delos beschreibt das Modell als eigenständigen Cloud-Betrieb ohne Zugriffsmöglichkeit durch Microsoft im operativen Betrieb. Auf der Website ist von „Unabhängigkeit von Microsoft“ sowie von „auditierten und behörden-kontrollierten Updates“ die Rede.

Dieses Betriebsmodell ist der Kern des Souveränitätsversprechens. Die Idee ist, Microsoft-Technologie zu nutzen, ohne Microsoft operativen Zugriff auf die Plattform zu geben. Damit rückt zwangsläufig die Frage in den Mittelpunkt, wer die Kontrolle über den Quellcode hat und wie im Krisenfall ein Weiterbetrieb sichergestellt werden soll. Genau an dieser Stelle kommt das angekündigte Quellcode-Repository ins Spiel.

Quellcode-Repository in der Schweiz

Microsoft hat im Rahmen seiner „European Digital Commitments“ angekündigt, Backup-Kopien seines Codes in einem „secure repository in Switzerland“ vorzuhalten. Zudem sollen europäische Partner rechtliche Nutzungsrechte erhalten, falls dies für die Aufrechterhaltung des Betriebs erforderlich werde .

Als Szenario wird beschrieben, dass Microsoft durch gerichtliche oder staatliche Anordnung gezwungen werden könnte, Dienste auszusetzen. Für diesen Fall soll ein Mechanismus bestehen, der den Weiterbetrieb ermöglicht.

In der zitierten Quelle findet sich kein Hinweis darauf, in welchem zeitlichen Abstand dieses Repository aktualisiert wird. Auch zu vertraglich festgelegten Synchronisationsfristen habe ich dort keinen Hinweis gefunden.

In der Meldung von Microsoft wird von „legal rights to access and use the code“ gesprochen.

  • Es wird von „use“ (nutzen) gesprochen.
  • Es wird nicht von Eigentumsübertragung gesprochen.
  • Es wird nicht ausdrücklich von Weiterentwicklung oder Forking gesprochen.

Update-Prozess in der laufenden Installation

Delos spricht auf ihrer Website von „auditierten und behörden-kontrollierten Updates“.

Die Bundesdruckerei konkretisiert, Updates würden erst nach Prüfung durch Delos Cloud und unter offizieller Aufsicht installiert.

In den genannten Veröffentlichungen findet sich kein Hinweis auf definierte Fristen für sicherheitskritische Patches oder auf veröffentlichte Service-Level-Vereinbarungen zur Patch-Geschwindigkeit.

In einem Bericht der Süddeutschen Zeitung wird Delos-Geschäftsführer Nikolaus Hagl mit der Aussage zitiert, man könne den Betrieb für mindestens sechs Monate aufrechterhalten, selbst wenn Microsoft keine Updates mehr liefern würde.

Juristische Einordnung zum CLOUD Act

Microsoft beschreibt auf seiner Transparenzseite, wie staatliche Datenanfragen geprüft werden und unter welchen rechtlichen Voraussetzungen Daten herausgegeben werden.

Die Wissenschaftlichen Dienste des Deutschen Bundestages weisen darauf hin, dass die Reichweite vom konkreten Kontrollverhältnis abhängt.

In diesen Dokumenten findet sich kein Hinweis darauf, dass der CLOUD Act allein wegen eines Vertrags mit einer europäischen Gesellschaft nicht greife. Maßgeblich ist die Frage der Kontrolle.

Ob der CLOUD Act angewendet werden darf, kann oder wird, lässt sich derzeit nicht abschließend beurteilen. Das wird sich erst im weiteren Verlauf der Auseinandersetzung zeigen.

Preisgestaltung, Produktstrategie und wirtschaftliche Abhängigkeit

Microsoft hat in den vergangenen Jahren mehrfach die Preise für Microsoft-365-Abonnements erhöht. Bereits 2022 wurden zahlreiche Business- und Enterprise-Pläne teurer, weitere Anpassungen folgten. Über Umfang und zeitliche Abfolge dieser Preiserhöhungen hat unter anderem Heise Online berichtet. Parallel dazu wurden neue Funktionen, darunter KI-Dienste wie Copilot, in die Produktlinien integriert. Solche Erweiterungen verändern Funktionsumfang und Kostenstruktur der Angebote.

Produkt- und Preisentscheidungen werden zentral für einen globalen Markt aus Privatnutzern und Unternehmen getroffen. Öffentliche Institutionen sind dabei eine Nutzergruppe unter vielen. Wenn Funktionen erweitert oder Pakete neu zugeschnitten werden, betrifft das grundsätzlich alle Lizenznehmer.

Öffentliche Einrichtung möchte aber auch nur das bezahlen müssen was sie nutzen, im genannten Beispiel Copilot werden die meisten öffentlichen Einrichtungen keinen Nutzen davon haben, müssen die Entwicklung und den betrieb aber mitfinanzieren.

Es ist daher nicht davon auszugehen, dass Microsoft die Bedürfnisse von Kunden mit Verwaltungsaufgaben berücksichtigt oder ihnen Einflussmöglichkeiten einräumt.