Microsoft: Daten europäischer Firmen/Behörden bleiben in Europa

[English]Microsoft reagiert auf den Umstand, dass es keine Rechtsgrundlage für den Datenaustausch zwischen europäischen Kunden und den USA gibt. Daher plant Microsoft seine Produkte so anzupassen, dass künftig, irgendwann, die Daten europäischer Unternehmen und Behörden nur auf Server gehostet werden, die in der EU stehen.

Die Ankündigung findet sich in diesem Microsoft Blog-Beitrag vom 6. Mai 2021. Microsoft hat ein neues Versprechen für die Europäische Union angekündigt. Für kommerzielle oder öffentliche Kunden in der EU will Redmond über bereits bestehenden Verpflichtungen zur Datenspeicherung hinausgehen. Microsoft will es diesem Kundenkreis ermöglichen, alle Ihre Daten in der EU zu verarbeiten und zu speichern. Die Übermittelung der Daten auf Server außerhalb der EU soll damit entfallen. Diese Verpflichtung wird für alle zentralen Cloud-Dienste von Microsoft gelten – Azure, Microsoft 365 und Dynamics 365.

Ruhig Brauner, es braucht Zeit

Microsoft will sofort mit der Arbeit an diesem zusätzlichen Schritt beginnen und plant bis zum Ende des nächsten Jahres die Umsetzung aller technischen Arbeiten, die für die Umsetzung erforderlich sind, abzuschließen. Microsoft nennt diesen Plan EU Data Boundary for the Microsoft Cloud.

Die Cloud-Dienste von Microsoft erfüllen oder übertreffen die EU-Richtlinien bereits vor der obigen Ankündigung, so das Unternehmen. Microsoft bietet Kunden aus dem kommerziellen und öffentlichen Sektor bereits die Möglichkeit, Daten in der EU zu speichern. Viele Azure-Cloud-Dienste können bereits so konfiguriert werden, dass sie Daten auch in der EU verarbeiten.

Darüber hinaus verwendet Microsoft laut eigener Aussage erstklassige Verschlüsselung und robuste Lockbox-Lösungen, die den aktuellen regulatorischen Vorgaben entsprechen. Viele Microsoft Dienste legen die Kontrolle über die Verschlüsselung der Kundendaten in die Hände der Kunden, indem die Schlüssel vom Kunden verwaltetet werden. So, behauptet Microsoft, schütze man die Daten unserer Kunden vor dem unrechtmäßigen Zugriff durch jede Regierung der Welt.

Microsoft hat bereits mit der Entwicklung begonnen, damit die Kern-Cloud-Dienste alle personenbezogenen Daten unserer Kunden aus dem kommerziellen und öffentlichen Sektor in der EU speichern und verarbeiten können, sobald der Kunde sich dafür entscheidet. Dieser Plan umfasst alle personenbezogenen Daten in Diagnosedaten und dienstgenerierten Daten sowie personenbezogene Daten, die Microsoft zur Bereitstellung von technischem Support verwendet. Microsoft will auch technische Kontrollen wie Lockbox und vom Kunden verwaltete Verschlüsselung für Kundendaten auf die zentralen Cloud-Dienste von Microsoft ausweiten.

Microsoft will diese EU Data Boundary Solutions in seine Kern-Cloud-Dienste einbauen, um unsere aktuellen Angebote für Kunden zu verbessern. Für den Herbst ist ein EU-Cloud-Kundengipfel geplant, bei dem mehr über diese Arbeit berichtet werden soll.

Das steckt dahinter

Microsoft läuft in Europa bezüglich des Datenschutzes schlicht und ergreifend auf Klippen auf. Denn das Safe Harbor-Abkommen mit den USA wurde vom europäischen Gerichtshof (EuGH) als ungültig erklärt (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig). Auch der Datenaustauch mit den USA unter dem Namen  Privacy Shield ist rechtlich brisant, das dieses Abkommen ebenfalls vom dem EuGH gekippt wurde EuGH kippt EU-US-Datenschutzvereinbarung “Privacy Shield”.

Was man auch ganz deutlich an dieser Stelle betonen muss: Die Daten von Privatanwendern sind bei der ganzen Aktion außen vor, deren Daten bleiben ungeschützt und wandern auf Server in den USA. Unklar ist mir auch, wie die Problematik gelöst werden soll, dass Microsoft der US-Rechtssprechung unterliegt, also Daten von seinen Servern herausgeben muss, egal wo auf der Welt diese gespeichert sind. Zudem braucht es viel Zeit, bis das alles umgesetzt ist. Immerhin hat der Druck der Leute, die nicht mit dem Strom schwimmen und Druck machen, wohl auf den Hersteller gewirkt.

Noch eine Präzisierung: Im letzten Absatz schreibe ich von Privatanwendern. Das schließt letztendlich auch alle KMUs, Freiberufler, Ärzte, Rechtsanwälte etc. ein, die mit Microsoft-Produkten (Windows, Office etc.) arbeiten, ohne dass diese explizit in die Eingangs genannte Gruppe der Unternehmen oder Behörden fallen – ich denke, die Grenze ist fließend. Im Grunde ist obiges Versprechen Microsofts das Eingeständnis „wir wissen selbst nicht so genau, wo eure Daten hin wandern, aber wir versprechen unser Bestes und arbeiten daran, dass das Zeugs in Europa bleibt …“.

Da passt übrigens dieser Artikel ganz gut. Trotz einschlägiger EuGH-Urteilen überträgt Google weiterhin in die USA. Die Organisation nyob fordert daher, hohe Strafen dafür zu verhängen.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
Safe Harbor laut EuGH-Generalanwalt ungültig
Klage gegen “EU-US Privacy Shield”
EuGH kippt EU-US-Datenschutzvereinbarung “Privacy Shield”
EU droht mit Kündigung des US-Privacy Shield-Abkommens

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Microsoft: Daten europäischer Firmen/Behörden bleiben in Europa

  1. huu sagt:

    „Die Daten von Privatanwendern sind bei der ganzen Aktion außen vor, deren Daten bleiben ungeschützt und wandern auf Server in den USA.“

    Einfach nur zum kotzen.

  2. Christian Krause sagt:

    Ich verstehe die Leute nicht, denen das egal ist.
    Ich lege selbst auf Cloud Speicher nur Daten, die
    – ich selbst mit anerkannten Verschlüsselungsmechanismen verschlüsselt habe und die über ein sicheres Kennwort verfügen
    – Daten äußerst niedriger Brisanz, also Daten die auch in den Händen meiner ärgsten Feinde oder am nächstgelegenen Laternenpfahl gehaftet keinen Schaden machen, z.B. ohnehin öffentliches Material; oder Material außerordentlich niedriger Brisanz wie damals Übungsblätterlösungen der Universität

    Alles andere kommt da unter keinen Umständen hin

    • Paul sagt:

      @Christian Krause

      vielleicht finden sich auf den Seiten des BMI noch informationen, wie (Industrie-/Wirtschafts-)Spionage bei KMUs funktioniert?
      Der US-Geheimdienst darf auf diesem Gebiet tätig werden (der BND m.W. expizit nicht).
      Insofern gibt es keine „unwichtigen Daten“.
      Beachte den Unterschied zwischen „Information“ und „Nachricht“.

      Für Spionage sind manchmal völlig trivial erscheinende Infomationen extrem hilfreich. Z.B. wann macht die Sekretärin wo Urlaub.
      Schon seltsam, wenn Cheffe(*) da auch hinfährt…

      (*) Höhere Cheffes sind praktisch immer verheiratet, achte mal drauf.

  3. 1ST1 sagt:

    Mich wundert diese Entwicklung jetzt eigentlich sehr. Denn bisher gab es auf der Microsoft Webseite einen Artikel, der seit bestimmt 2-3 Jahre unverändert war, der eine Datenspeicherung innerhalb Europas oder gar Deutschlands garantierte, und zwar auch für Privatkunden und Schulaccounts. Der Link funktioniert zwar noch, aber dort ist die Aussage inzwischen nicht mehr zu finden, direkt dort im Text ist momentan überhaupt keine Aussage zum Speicherort zu finden, obwohl der Artikel „data-location“ heißt.

    https://www.microsoft.com/de-de/trust-center/privacy/data-location

    Ich kenne auch einen Fall, wo zum letzten Jahreswechsel mit dem Brexit alle Azure-Daten einer Firma extra noch von einem MS-RZ in GB auf das Festland migriert wurden. Allerdings, wenn man weiter gräbt, bei der Telekom findet sich ein Artikel, der das wieder genau so bestätigt, wie ich es in Erinnerung habe, und darin gibt es wiederum Links zu weiteren MS-Artikeln, die auch den Datenspeicherort Deutschland/Europa garantieren, zuletzt geändert am 21.04.21, ohne auf das hiermit wohl angekündigte Migrationsprojekt hinzweisen:

    https://cloud.telekom.de/de/hilfe-faq/microsoft-365/wo-liegen-meine-daten-wenn-ich-microsoft-365-nutze
    https://docs.microsoft.com/de-de/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide
    https://docs.microsoft.com/de-de/microsoft-365/enterprise/eu-data-storage-locations?view=o365-worldwide

    Also, doch eigentlich alles in Butter und weitere Anpassungen Seitens MS doch eigentlich garnicht nötig?

    Hier noch ein Artikel von 2019, von einem Rechtsanwalt, auch demnach schon lange eigentlich alles in Butter:
    https://www.rakoellner.de/2019/05/azure-ad-personenbezogene-daten-bleiben-in-europa/
    Hier noch ein weiterer Rechtsanwalt, der sich so weit aus dem Fenster lehnt:
    https://www.buero-kaizen.de/datenschutz-und-dsgvo-bei-microsoft-office-365/
    Und noch eine Bestätigung von einem Consultant;
    https://www.koester-econsulting.com/microsoft-teams-dsgvo/

    Äußerst interessant! Und schade, dass in keinem dieser Artikel auf MS 365 Home- oder Schulaccounts eingegangen wird. Das wäre durchaus relevant!

    • Günter Born sagt:

      Mir ging beim schnellen Schreiben des obigen Artikels ein ähnlicher Gedanke durch den Kopf, wobei ich die von dir genannte Seiten nicht kannte. Tief im Hinterkopf war gestern – so einige Stunden vor dem Schreiben auch so was wie „hat MS nicht immer behauptet, dass die Daten in Europa bleiben“ durch den Kopf.

      Alleine, es wurde nicht in Bleilettern gegossen, weil ich a) den Artikel schnell fertig haben wollte (das Zeugs liest eh kaum einer), b) die Information eigentlich nur so von der – ich nenne es mal so, ohne Abwertung – „Befürworter-Fraktion“ gehört hatte (in-deepth-Analysen, dass dem wirklich so ist, hatte ich keine) und c) einfach nicht in der Stimmung war, da mal wieder richtig in die Glut zu blasen.

      OT: Mit obigem „Microsoft Versprechen“ wurden aber die Vorbehalte, die so ganz tief drinnen, in meiner schwarzen Krämerseele, schlummern, voll und ganz bestätigt … und die Aluhutträger „traue keiner Software, die du nicht selbst gefrickelt hast“ scheinen Recht zu behalten. Ok, ist jetzt unfaire Dialektik, aber seit Snowden hätte man vieles wissen oder ahnen können.

      Nachbemerkung: Wir haben hier ja schon viele fruchtlose Diskussionen über die Themen Windows 10, Office 365, Cloud-Anbindung, Telemetrie und Datenschutz geführt. Es kam häufig der Hinweis „aber bei Microsoft steht dieses da und dort“, oder die „Datenschützer haben nie ein Produkt gesperrt“ – einfach mal als Feststellung sehen.

      Was mich in diesen Diskussionen immer arg gestört hat, war das Wissen, dass mit dem as-a-Service-Ansatz Microsofts binnen eines halben Jahres kein Stein auf dem anderen bleibt. Selbst wenn ich bei Verantwortlichen guten Willen unterstelle, ist das in zwei, drei Monaten schlicht Schnee von gestern – und wen interessiert noch die Zeitung von voriger Woche …

      Ich stelle fest, dass unsere Datenschützer große Untersuchungen mit Windows 10 auf DSGVO-Konformität durchführen – aber auf Windows 10 Enterprise LTSC V2016 und jetzt V2019 (ist Win 10 V1809 im Kern, wenn ich es nicht verbuxelt habe) bezogen. Das heißt, die untersuchen einen Gegenstand, der in der Praxis nicht mehr relevant ist, müssen da mit GPOs was abdrehen, und schreiben als Ergebnis „Windows 10 kann DSGVO-konform eingerichtet werden“ – Schlüsse aus dieser verquerten Situation zieht jetzt jeder selbst.

      Und dann sehe ich, wie das Microsoft Marketing sowie das upper MS Management seine Weichen stellt. Werfe ich dann noch meine Erfahrungen aus einem Großunternehmen in den Topf, kommt „die Leute werden nett eingeseift und freuen sich noch darüber“ als Gedanke auf. Bringt aber nichts, sich da noch drüber aufzuregen. Ich nehme das als Blogger dankbar auf, rante an der einen oder anderen Stelle und schaue, was passiert – und warte einfach ab. Und gelegentlich fällt so ein Puzzlesteinchen zwei, drei Jahre später, genau in das Bild, was ich schon längst so erwartet hatte ;-).

      • 1ST1 sagt:

        Nicht „OT“, sondern, „Ja, leider“. Eigentlich müsste sich jetzt jemand finden, der MS dafür mal einen reinwürgt. Aber nach der vorliegenden Information sind die Daten der europäischen Großkunden, die entsprechende Anwälte und Kohle haben, mit ihren Daten schon in der EU. Es bleibt nur das Kleinvieh, das eh nicht klagt. Also, den Fächer auspacken, und die Glut zum Lodern bringen, das wäre hier jetzt eigentlich mal angesagt!

  4. Bolko sagt:

    Durch den „Cloud Act“ können die USA die Daten selbst dann runterladen, wenn sich die Cloud-Server in Europa befinden, sofern es sich um ein US-Unternehmen handelt, das diese Server betreibt. Die US-Unternehmen sind zur Verschwiegenheit verpflichtet und dürfen Datenabgriffe durch die NSA nichtmal erwähnen.
    Es ist also völlig egal, was Microsoft erzählt oder welche angebliche Datensicherheits-Garantien gegeben werden.
    *ttps://www.datensicherheit.de/cloud-act-dsgvo-compliance-datensicherheit

    • 1ST1 sagt:

      Ganz so einfach mit dem Cloud Act scheint es wohl nicht zu sein. Die amerikanischen Behörden können nicht einfach so auf die Daten zugreifen. Sie brauchen schon einen richterlichen Beschluss dazu, auch wenn dieser nicht veröffentlicht wird.

      Außerdem, das wird im Heise-Artikel zu dem Thema klar, werden die Daten verschlüsselt und auch Microsofts eigene Admins bekommen nur temporär Rechte auf die Kundenumgebungen, wenn sie einen entsprechenden Arbeitsauftrag haben.

      https://www.heise.de/news/Microsoft-Daten-europaeischer-Unternehmen-und-Behoerden-bleiben-auf-EU-Servern-6038429.html

      Man beachte dort in dem Artikelforum die Diskussionen rund um den dortigen Kommentator „hessenmax“, der scheint tief in dem Thema drin zu sein, und scheint von den Ankündigungen von MS recht begeistert zu sein, ohne aber zu versäumen zu hinterfragen, dass dies derzeit noch nicht der Zustand ist. Er geht sgar so weit, festzustellen, dass dieser Schritt seitens MS auch andere Clouddienstleister zwingt, hier jetzt massiv nachziehen zu müssen. Sogar die deutsche SAP sieht er da in der Pflicht!

  5. Paul sagt:

    Hm, gab es in USA nicht ein Urteil, das es egal ist wo die Daten tatsächlich lagern?

    @Bolko hat geantwort während ich noch fragte :-)

    Ja, gibt es :-)

    Ist es in sofern nicht eine Blendgranate, wenn MS sagt/behauptet dass die Daten in Europa bleiben? So geschützt wie bei einer europäischen Firma wären sie nicht,
    zumal MS dazu verdonnert werden kann, nicht einmal nachtraglich sagen darf, das die Daten angefordert worden sind…

    Es wäre doch wowieso schwer festzustellen wo die Daten liegen. Vituelle Ovelay Netze .

    Ausserdem:
    Wäre dem so, das es nicht egal ist wo meine Daten liegen, würde ich meine Daten bitweise auf mehreren Servern welt weit verteilen.
    Kein Staat käme an meine Daten, in seinem Staat liegt ja nur 1 Bit.
    Ich hätte den Vorteil, das ein einzelener Server gehackt werden könnte: Der Dieb käme nur an ein Bit aller meiner Daten, und auch Supercomputer hülfen nichts.

    • Bolko sagt:

      Wenn dann auch nur einer dieser Server ausfällt, dann kommst du selber nicht mehr an deine Daten.

      • Paul sagt:

        Em, selbst verständlich werden die Bits redundant gespeischert :-)

        Es gibt dafür auch ein Forschungs-Projekt und ich glaube sogar Linux-Treiber. So das die Daten immer in diesem „Verteilten Zustand“ bleiben können, und nur bei mir, teilweise, zusammen gesetzt werden.
        Zudem bekommt man höhere Zugriffsraten (vgl. RAID)

        Es ist aber wirklich beängstigend, welche Gedanken man sich machen muß, wie man Zugriffe gewisser angeblicher demokratischer Staaten zu erschweren.
        (Sicher ist das Verfahren auch nicht. Manche Geheimdienste konnte ja das ganze Internet überwachen, d.h. auch alle Server dieses „RAID“s)

  6. Janami25 sagt:

    Jedenfalls, als Privatkonsument habe ich meine eigene Cloud, also ein NAS. Und da habe ich viel mehr Speicher zur Verfügung, ohne das mir alles durchgescannt und weitergereicht wird. Von einer möglichen Kontensperrung ganz zu schweigen, weil ich eben nichts an amerikanische Cloud Server hochlade.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert