Microsoft hat gerade die Fertigstellung seiner EU Data Boundary-Lösung bekannt gegeben. Man habe Phase 3 abgeschlossen. Die Lösung soll es europäischen Unternehmen ermöglichen, Daten auf europäischen Servern der Microsoft Cloud zu halten. Ob und wie das hält, wenn US-Behörden auf solche Daten zugreifen wollen, steht auf einem anderen Blatt.
Anzeige
Start im Jahr 2023
Bereits im Mai 2022 gab es von Microsoft das Bekenntnis zur europäischen Daten-Souveränität, bei der Daten von Behörden und Unternehmen bei Cloud-Diensten bestimmten Kriterien unterliegen. Microsoft hatte sich zu folgenden fünf europäischen Cloud-Prinzipien bekannt.
Europäische Cloud-Prinzipien Microsofts
Dazu gehört, dass die Cloud-Dienste die europäischen Datenschutzanforderungen erfüllen sollen – worum ja seit geraumer Zeit stark gerungen wird). Ab dem 1. Januar 2023 ist Microsoft mit dem stufenweisen Rollout seiner "EU Data Boundary"-Lösung gestartet (siehe meinen Blog-Beitrag Microsoft rollt "EU Data Boundary" für die Europa-Cloud ab 2023 aus).
Ziel ist es, die persönliche Daten europäischer Institutionen in einem virtuellen Datenraum (EU Data Boundary) zu halten. Dazu gehört auch, dass Daten für die gesamte Microsoft Cloud-Suite von Online-Diensten, einschließlich Microsoft 365, Dynamics 365, Power Platform und Azure auf Servern, die in Europa stehen, gehostet werden.
Anzeige
EU Data Boundary ist umgesetzt
Zum 26. Februar 2025 hat Julie Brill, Corporate Vice President and Chief Privacy Officer and Paul Lorimer, Corporate Vice President, Microsoft 365, im Blog-Beitrag Microsoft completes landmark EU Data Boundary, offering enhanced data residency and transparency den Abschluss der Umsetzung von Phase 3 bekannt gegeben. Ich bin über nachfolgenden Post auf BlueSky und hier auf diesen Sachverhalt gestoßen.
Beim EU Data Boundary handelt es sich um eine EU-Datengrenze für die Microsoft Cloud, die Daten des öffentlichen Sektors und kommerzieller Kunden in der EU und der Europäischen Freihandelszone (EFTA) speichert und verarbeitet. Europäische Kunden aus dem kommerziellen und öffentlichen Sektor können nun ihre Kundendaten und pseudonymisierten personenbezogenen Daten für die zentralen Cloud-Dienste von Microsoft – einschließlich Microsoft 365, Dynamics 365, Power Platform und die meisten Azure-Dienste – auf Tenants bzw. Servern innerhalb der EU und der EFTA-Region speichern und verarbeiten. Darüber hinaus wird Microsoft Professional Services-Daten aus technischen Support-Interaktionen für die Kern-Cloud-Dienste innerhalb der EU- und EFTA-Regionen speichern, heißt es.
Die Umsetzung erfolgte, wie bereits oben erwähnt, seit 2023 und umfasste drei Phasen (siehe obige Grafik und die Erläuterungen im Microsoft Blog-Beitrag).
Ob das in Zukunft hält?
An dieser Stelle bleibt festzuhalten, dass Microsoft einen Schritt in Richtung EU und DSGVO unternommen hat, um die in der Microsoft Cloud gespeicherten Daten innerhalb der Europäischen Union (und EWR) zu halten. Die Regularien der EU und ein riesiger Markt in der europäischen Union waren Anreiz für diese Investitionen.
Allerdings steht das gesamte Projekt (obwohl es aus meiner Sicht die beste aller schlechten Lösungen ist) unter einem ungünstigen Stern. Es gibt den US CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieser verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.
Im verlinkten Wikipedia-Artikel liest man, dass die US-Datenschutzorganisation EFF (Electronic Frontier Foundation) den US CLOUD Act als "gefährliches Gesetz" einstuft, da es "nichts geringeres als ein Eingriff in die Privatsphäre und eine Beschneidung der Grundrechte" sei. Auch Microsoft übt scharfe Kritik an diesem US-Gesetz, welches bilaterale Abkommen zwischen Staaten ermöglicht.
Für die EU wurde der Datenaustausch durch das Transatlantic Data Privacy Framework (DPF) mit den USA geregelt. Aber dieses Abkommen wackelt (speziell, da US-Präsident Donald Trump die Presidential Order seines Vorgängers aufheben will) und harrt zudem noch der Überprüfung durch den europäischen Gerichtshof. Ich hatte die neuen Entwicklungen im Beitrag Bekommt EU-US-Datentransferabkommen Risse? angesprochen.
Zweiter Punkt ist, dass die gegenwärtige Administration gerade Schritte unternimmt, um genau diesen Ansatz, den Microsoft mit dem EU Data Boundary-Projekt umgesetzt hat, komplett zu schleifen. Ich hatte im Blog-Beitrag Trump will DSA, DMA, Digitalsteuer stoppen; Musks digitaler Staatsstreich auf diesen Aspekt hingewiesen. Es bleibt nun abzuwarten, wie sich das Ganze entwickelt und ob Microsoft die Dividende für seine Investitionen einfahren kann.
Anzeige
US-Behörden werden auf solche Daten zugreifen, no matter what.
Es gäbe eine Lösung für all das, Microsoft zieht seinen Haupt-Firmensitz nach Europa um, USA wäre nur noch eine wichtige Niederlassung. Da würde Trump aber aus der Wäsche gucken, auch wegen der entgehenden Steuereinnahmen… Ähnliches hat seinerzeit FIAT gemacht, als sie (allerdings innerhalb der EU) seinen Hauptsitz von Turin in die Niederlande verschoben hat, da ging es zwar hauptsächlich um steuerliche Vorteile, aber es verschob dann mit dem Merger mit Chrysler/Jeep auch deren Hauptsitz nach Amsterdam und heute ist das der Hauptsitz von Stellantis, die auch Opel, Citroen, Peugeot und weitere Marken umfasst.
Sowas wird bei Microsoft oder auch Apple, Google, Cisco u.ä. garantiert nicht passieren, diese Firmen sind zentrale Elemente der nationalen Sicherheit und dienen dem Einfluss und Einblicken diverser US-Behörden in andere Länder.
Nö, hilft nicht.
Man darf keine Niederlassung in den USA haben.
D.H., Microsoft müsste sich komplett aus den USA zurückziehen oder alternativ eine separate Firma, die nicht in den USA tätig ist, gründen und denen das komplette Geschäft außerhalb der USA übertragen.
Was für mich unverständlich ist, ist das dies über Jahrzehnte mittlerweile läuft und EU / Deutschland es bis heute nicht geschafft haben ein Ersatz für AWS / Azure / Google Cloud / etc. selbst zu bauen.
Na, nicht nur reden, fang doch einfach mal an.
https://www.stackit.de/ ?
https://www.oediv.de/ ?
Der Standort der Server spielt überhaupt gar keine Rolle. Und Microsoft wird in vorauseilendem Gehorsam sich nicht gegen Anfragen der US Behörden nach Daten auf den europäischen Servern wehren. So what? Eine Marketing Lüge auf die viele der intelektuell unbewaffneten Entscheider reinfallen werden. Nur die Enthaltsamkeit von US Hyperscalern hilft in Sachen Datenschutz. Das ist nicht schwer zu verstehen. Aber sichere Lösungen bedürfen Expertise und die ist in den allermeisten IT Abteilungen der europäischen Unternehmen zwischenzeitlich nicht mehr oder nicht mehr in ausreichendem Maße vorhanden.
Diese "Standort der Server" Scheinargumentation ist gut gestreute Öffentlichkeitsarbeit zur Verschleierung und hat natürlich nichts mit real jederzeit möglichem Zugriff der entspr. Dienste zu tun.
Die Kritik aus der EU wäre glaubhafter, wenn die eigenen Mitgliedsstaaten die Finger von grenzüberschreitenden Durchsuchungen lassen würden (z.B. Deutschland in § 110 Abs. 3 StPO).
@Markus S.: Ist der Absatz so zu lesen? Bei der Hausdurchsuchung wird der Laptop beschlagnahmt. Die Ermittlungsbehörden dürfen nun von diesem Laptop aus die gehosteten Email-Konten, Fileshares in der Cloud etc. "durchsuchen", wenn die Zugriffs-Credential auf dem Laptop verfügbar/gespeichert sind.