Microsofts EU-Grenze für Daten kommt ab 2023 in Häppchen
Microsoft versprach, Daten von EU-Unternehmen und -Behörden nur auf Servern in der EU zu verarbeiten. Jetzt gibt es einen Fahrplan.
(Bild: Daniel AJ Sokolov)
Für europäische Datensouveränität hat Microsoft versprochen, eine EU-Datengrenze einzuführen. Genau genommen ist es eine EWR-Grenze: Daten von Behörden und Unternehmen aus dem Europäischen Wirtschaftsraum (EWR) sollen zwar in der Cloud, aber nur innerhalb des EWR verarbeitet werden. Allerdings soll die Umstellung Jahre dauern und schrittweise erfolgen. Für Privatkunden bietet Microsoft nichts in dieser Richtung an.
Im Mai hat Microsoft-Präsident Brad Smith angekündigt, dass Daten europäischer Unternehmen und Behörden auf EU-Servern bleiben können. "Ende nächsten Jahres werden wir die Implementierung aller notwendigen Arbeiten zur Umsetzung implementieren", versprach der Topmanager. Jetzt skizziert sein Unternehmen den Fahrplan.
Die drei Phasen
Ab dem kommenden Jahreswechsel können die von europäischen Behörden und Unternehmen in Microsoft 365, Azure, Power Platform und Dynamics 365 hochgeladenen respektive dort bewusst erzeugten Daten ausschließlich auf Servern im EWR gespeichert werden. Damit die virtuelle Grenze beachtet wird, müssen Administratoren der jeweiligen Kunden entsprechende Einstellungen vornehmen. Microsoft unterhält Rechenzentren in elf EU-Staaten, sowie in Norwegen und der Schweiz. Dort hält Microsoft dann gegebenenfalls die Daten vor.
Personenbezogene Daten kommen erst in Phase 2 in Genuss der Datengrenze. Sie sollen dann pseudonymisiert im EWR verbleiben, außer Microsoft erachtet Datenexport als wichtig für Verlässlichkeit oder Sicherheit. Termin und weitere Details dazu wird das Unternehmen erst bekanntgeben.
Mitte 2024 folgt Phase 3: Erst dann sollen auch Daten, die bei technischer Unterstützung (Support) für Microsoft 365, Power Platform, Dynamics 365 und Azure anfallen, vorwiegend im EWR verbleiben. Dazu verspricht Microsoft, mehr Support-Mitarbeiter in Europa einzustellen. Dennoch wird es Fälle geben, in denen Microsoft-Mitarbeiter auf Unterstützung, Verwaltung und Betrieb der Dienste aus Übersee auf im EWR gespeicherte Daten zugreifen. Dabei werden "secure remote workstations" zum Einsatz kommen.
Wer mitmachen darf
Ob eine Behörde oder ein Unternehmen die notwendigen Einstellungen vornehmen kann, hängt von verschiedenen Faktoren ab. Bei Microsoft 365 entscheidet die Rechnungsadresse. Sie muss im EWR liegen. Hat der Kunde allerdings das Zusatzpaket Multi-Geo gekauft, kann er nicht von der EWR-Datengrenzen profitieren.
Bei Dynamics 365 und Power Platform haben alle Kunden mit EWR-Rechnungsadresse die Möglichkeit, geografisch definiertes Hosting zu definieren. Bei Azure hingegen entscheidet nicht die Rechnungsadresse; alle vom Kundenadministrator im EWR eingerichteten Azure-Ressourcen kommen grundsätzlich für die EWR-Datenresidenz in Frage.
Hintergrund
Datentransfer zwischen der EU und den USA ist rechtlich riskant. Zunächst mit dem Safe-Harbor-Abkommen und dann mit dem Privacy Shield haben EU-Kommission und US-Regierung versucht, eine Rechtsgrundlage für ungehinderten Datenfluss zu schaffen. Vergeblich: Der US-Datenschutz für Europäer war eine Farce und wurde auf Bestreben des österreichischen Datenschutzjuristen Max Schrems vom Europäischen Gerichtshof (EuGH) wenig überraschend gekippt.
Seit kurzem gibt es einen Vorschlag der EU-Kommission zu einem Privacy-Shield-Nachfolger. Dass das eine langfristige Lösung sein kann, ist zweifelhaft. "Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem (Europäischen) Gerichtshof standhalten wird", hat Schrems den neuen Anlauf kommentiert.
(ds)