Nächste Schritte der EU-Datengrenze für die Microsoft Cloud

Kundendaten aus MS365, Azure, Power Platform und Dynamics365 werden bereits ausschließlich in der EU gespeichert. Die nächsten Schritte stehen an. Schon jetzt, so Microsoft, gehe die EU-Datengrenze "weit über die europäischen Compliance-Anforderungen hinaus". Es geht auch um mehr Cybersicherheit.

Auf dem Microsoft-Event Inspire 2022 hatte der Hersteller erstmals eine "Microsoft Cloud for Sovereignty" und eine "EU-Datengrenze" angekündigt. Erste Maßnahmen, damit personenbezogene Daten der Kunden ausschließlich innerhalb der EU verarbeitet und gespeichert werden können, wurden umgesetzt. So verlassen seither Kundendaten in Microsoft 365, Azure, Power Platform und Dynamics 365 Services die EU-Datengrenze nicht mehr. Ein erster, wichtiger Schritt vor allem für Behörden und einige Unternehmen, die besonders hohe gesetzliche Auflagen und Compliance-Richtlinien bei der Nutzung von Public Cloud erfüllen müssen. Ein Anfang Richtung souveräne Cloud war gemacht. Jetzt hat Microsoft-Managerin Julie Brill, Corporate VP & Chief Privacy Officer, die nächsten Schritte angekündigt.

Künftig sollen auch alle personenbezogenen Daten, die bei der technischen Verarbeitung im Hintergrund generiert werden, lokal in der EU verarbeitet und gespeichert werden. Beispielsweise automatisch erstellte Systemprotokolle. "Damit ist Microsoft der erste große Cloud-Anbieter, der seinen europäischen Kunden diese Form der Datenresidenz bietet", sagt Brill.

Innerhalb der EU-Datengrenze sollen auch pseudonymisierte personenbezogene Daten verbleiben, die ebenfalls automatisiert im Standardbetrieb der Microsoft Cloud anfallen. Damit reagiert Microsoft wohl auch auf die Kritik, dass man aus anonymisierten Daten teils doch Rückschlüsse auf Unternehmen und Nutzer ziehen könne.

Microsoft reagiert nun mit "neuen Transparenz-Ressourcen" und stellt Kunden "Dokumentationen und andere Informationen" zur Verfügung. Kunden können darauf über die Microsoft-Webseite EU Data Boundary Trust Center zugreifen.

Zudem wurden technische Maßnahmen ergriffen, um den Zugriff auf pseudonymisierte personenbezogene Daten außerhalb der EU zu vermeiden. Etwa wenn auf diese bei der Systemüberwachung aus der Ferne zugegriffen wird. Hierfür sei eine virtuelle Desktop-Infrastruktur in der EU-Datengrenze eingerichtet worden, sagt Brill und spricht davon, dass Microsoft "massiv in den Einsatz EU-basierter Technologien investiert" habe.

Cyberbedrohungen abwehren

Auch in Puncto Cybersicherheit sei Microsoft mit mehr als 8.000 Experten sehr aufgestellt. Täglich würden Milliarden von Signalen analysieren. Damit sollen Cybervorfälle frühzeitig erkannt werden. "Das hilft unseren Kunden, verdächtige Aktivitäten zu erkennen und zu überprüfen. Um zu gewährleisten, dass unsere Kunden innerhalb der EU dieselbe erstklassige Sicherheit erhalten wie unsere Kunden weltweit, werden wir alle Datenübertragungen außerhalb der EU-Datengrenze zu Sicherheitszwecken dokumentieren, auf das für wichtige Cybersicherheitsfunktionen erforderliche Maß beschränken und ausschließlich für diese Cybersicherheitszwecke verwenden", so die Managerin.

Die nächsten Schritte: Supportdaten

Noch im Laufe dieses Jahres will Microsoft auch Support-Daten ausschließlich innerhalb der EU-Datengrenze belassen. Das dürfte indes nicht so einfach sein und letztlich den Kunden auch Geld kosten. Denn in bestimmten Fällen, Microsoft spricht von "erstklassigem Support", ist doch eine Datenverarbeitung außerhalb der EU-Datengrenze erforderlich. Wenn dies der Fall sei, "werden wir jeden vorübergehend erforderlichen Datentransfer durch technische Ansätze wie eine Virtual-Desktop-Infrastruktur begrenzen und sichern".

Wer auf Nummer sicher gehen will, wird jeden technischen Support mit Datenverarbeitung in der EU erhalten können - und zwar im Rahmen eines kostenpflichtigen Angebotes, gibt Brill bekannt.

"Europäischen Werte respektiert"

In Richtung der hiesigen Landesdatenschützer (DSK) gemünzt, die hierzulande den Einsatz von MS365 als nicht mit der DSGVO im Einklang sehen, sagt Brill: "Unser Angebot einer EU-Datengrenze geht schon jetzt weit über die europäischen Compliance-Anforderungen hinaus und zeigt unseren Einsatz für die Bereitstellung vertrauenswürdiger Cloud-Dienste. Sie sind so konzipiert, dass sie die Vorteile der Public Cloud voll ausschöpfen und gleichzeitig die europäischen Werte respektieren." Microsofts Cloud-Dienste würden "die fortschrittlichsten Souveränitätskontrollen und -funktionen" beinhalten, "die derzeit in der Branche verfügbar sind", so die Microsoft-Managerin.