EU-Datengrenze für Microsoft Cloud-Lösungen – Das ist der aktuelle Stand
Microsoft verspricht, dass die Daten von Kunden aus der Europäischen Union nur in Rechenzentren gespeichert werden, die auch in der EU positioniert sind. Microsoft bezeichnet dieses Versprechen als „EU Data Boundary for the Microsoft Cloud“, eine EU-Datengrenze für die Microsoft Cloud. Trotz aller Bemühungen seitens Microsoft, die Sicherheit der Daten zu erhöhen, gibt es Stimmen, die zur Vorsicht mahnen.
Kommerzielle Cloud-Dienste haben Vorrang
Um Rechenzentren in der EU nutzen zu können, ist es nicht notwendig, dass Unternehmen oder Organisationen dafür Anträge stellen, etwas bezahlen oder Einstellungen anpassen müssen. Die Speicherung will Microsoft automatisch für alle Kunden aus der EU umsetzen. Diese Umstellung gilt aber zunächst nur für kommerzielle Dienste, wie Microsoft Azure, Microsoft 365 und Dynamics 365. Cloud-Dienste für Endkunden fallen nicht unter diese Vereinbarung. Nutzen Anwender im Unternehmen also auch Dienste wie Outlook.com für die Arbeit, sind die Daten nicht geschützt. Das gilt auch für die Verwendung von OneDrive. Wer auf OneDrive for Business in Microsoft 365 setzt, ist nach der Umstellung einigermaßen sicher.
Allerdings will Microsoft die Umstellung erst ab Ende 2022 vollständig umsetzen. Aktuell ist es daher noch nicht sicher, dass Daten auch sicher nur in der EU bleiben. Bei Diensten, die eine entsprechende Einstellung bieten, ist das natürlich trotzdem sichergestellt. Microsoft ist bezüglich der „Data Residency in Azure“ sehr transparent. Eine Liste der Dienste und in welchen Regionen diese verfügbar sind, um die Speicherung in der EU zu gewährleisten, ist auf der Seite „Verfügbare Produkte nach Region“ zu finden.
Microsoft ermöglicht bei vielen Cloud-Diensten die Auswahl des Speicherortes
Microsoft will beim Klimaschutz und Datenschutz Vorreiter sein
Ab Ende 2022 verspricht Microsoft, dass alle Clouddienste ausschließlich in der EU speichern können. Dazu gehören neben Microsoft 365 und Azure auch Dynamics 365. Bereits jetzt sind viele Dienste in Azure dazu in der Lage. Auf dem „European Cloud Summit“ will Microsoft Ende November 2021 weitere Informationen dazu veröffentlichen. Die EU-Datengrenze für Microsoft soll ein Teil der EU-Strategie „Ein Europa für das digitale Zeitalter“ sein. Dabei sollen Datenverarbeitungen von Cloud-Diensten für EU-Kunden zum großen Teil in der EU stattfinden und einen Beitrag zur Klimaneutralität leisten.
Azure und Microsoft 365 können bereits jetzt Daten in der EU speichern
Microsoft erfüllt aktuell bereits die meisten Vorschriften der EU. Daher dürfen öffentliche Ämter und auch Unternehmen, welche mit öffentlichen Ämtern zusammenarbeiten, ihre Daten in der Microsoft Cloud speichern. Dazu bieten die jeweiligen Clouddienste die entsprechenden Optionen zur Speicherung auf Servern in der EU an. Grundsätzlich können nahezu alle Azure-Dienste in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) genutzt werden, zumindest weitgehend. Datenschützer sind von den aktuellen Regelungen noch nicht vollständig überzeugt.
Parallel zur EU-Datengrenze will Microsoft auch ein „Privacy Engineering Center of Excellence“ in Dublin, Irland aufbauen. Dieses Center soll Microsoft-Kunden bei der optimalen Umsetzung für den Datenschutz unterstützen. Im Fokus steht dabei die Verwendung von Clouddiensten unter datenschutzrechtlichen Bedingungen.
Microsoft bietet eine Übersicht der Dienste, die bereits jetzt ihre Daten in der EU speichern.
Microsoft-Dienstleister müssen ebenfalls die DSGVO einhalten oder übertreffen
Einige Online-Dienste von Microsoft geben Daten an Dritte weiter, die als Dienstleister von Microsoft fungieren. In der öffentlich zugänglichen Liste der Dienstleister von Microsoft Online Services sind die Unternehmen aufgelistet, die personenbezogene Daten verarbeiten dürfen. Alle Dienstleister sind vertraglich verpflichtet, die Verträge, die Microsoft gegenüber seinen Kunden eingeht, einzuhalten oder zu übertreffen.
Grundsätzlich gewährt Microsoft Dritten keinen direkten, pauschalen oder uneingeschränkten Zugriff auf Kundendaten. Außerdem erhalten Dritte auch keinen Zugriff auf Plattformverschlüsselungsschlüssel, die zur Sicherung von Daten verwendet werden. Mehr zu diesen Datenschutzvorschriften bei Microsoft sind auf der Seite „Wer unter welchen Umständen auf Ihre Kundendaten zugreifen darf“ zu finden.
Wer personenbezogene Daten in der Microsoft-Cloud speichern will, sollte sich mit dem Thema auseinandersetzen. Bei verschlüsselten Daten haben US-Behörden auch dann keinen Zugriff, wenn Microsoft diese herausgeben muss. Da Microsoft keinen Zugriff auf die Schlüssel hat, kann der Konzern diese Daten auch nicht herausgeben. Allerdings müssen Unternehmen in diesem Fall die Daten auch verschlüsseln und bei der Verarbeitung entschlüsseln. Das erhöht natürlich deutlich den Aufwand.
Datenverschlüsselung in Azure schützt Daten auch vor Diebstahl
Zusätzlich lassen sich an vielen Stellen die Daten auch verschlüsseln. Hier sind die Daten generell immer sicher vor fremden Zugriffen, auch dann, wenn sie nicht in der EU gespeichert sind. Erfolgt die Speicherung der Daten auch noch in der EU, erhalten Organisationen maximale Sicherheit bezüglich des Datenschutzes. Ab Ende 2022 ist dann zusätzlich noch grundlegend gewährleistet, dass auch die Daten von Ressourcen in der EU gespeichert werden, die keine direkte Einstellung dafür bieten.
Bei den aktuell eingesetzten Verschlüsselungstechnologien verwalten die Abonnenten selbst die Schlüssel für die Verschlüsselungstechnologien. Das stellt sicher, dass es keine Möglichkeit zur Weitergabe des Schlüssels seitens Microsofts gibt. Parallel dazu garantiert Microsoft auch den Schutz von Kundendaten vor staatlichen Zugriffen. Dazu will Microsoft jede Anfrage einer staatlichen Stelle nach persönlichen Daten eines EU-Kunden aus dem öffentlichen Sektor oder der freien Wirtschaft anfechten. Es sollen nur dann Daten herausgegeben werden, wenn das nicht rechtlich anfechtbar ist, und Gerichte die Herausgabe erzwingen.
Das ist auch das aktuelle Problem an der Vereinbarung. US-Unternehmen können auch dann zur Herausgabe von Daten verpflichtet sein, wenn die Daten nicht in den USA gespeichert sind. Daran wird auch Microsoft nicht viel ändern können. Das US-Gesetz „Cloud Act“ ermöglicht US-Behörden umfassenden Zugriff auf Cloud-Daten auch dann, wenn diese im Ausland gespeichert sind. Die DSGVO hat darauf keinerlei Auswirkungen. Da der Firmensitz von Microsoft im Bundesstaat Washington ist, unterliegt das Unternehmen auch dem „Cloud Act“.
Erst eine rechtlich bindende Vereinbarung zwischen der EU und den USA kann dieses Dilemma lösen. Kunden sollen eine finanzielle Entschädigung erhalten, wenn Microsoft Daten unter Verletzung der DSGVO offenlegen muss und dadurch Schaden für Nutzer entsteht.
EU-Datengrenze erfordert hohe Investitionen
Damit Microsoft halbwegs garantieren kann, dass alle Daten von EU-Kunden auch in der EU bleiben, sind natürlich auch die entsprechenden Rechenzentren in der EU notwendig. Hier baut Microsoft derzeit stark die Infrastruktur aus. Geplant sind Rechenzentren in verschiedenen Ländern der EU und der Schweiz: Deutschland, Österreich, Frankreich, Dänemark, Griechenland, Irland, Italien, die Niederlande, Norwegen, Polen, Spanien, Schweden und Schweiz. Viele Rechenzentren sind bereits fertig, andere befinden sich aktuell in der Fertigstellung. Microsoft will darüber hinaus auch Kunden aus Norwegen und der Schweiz die Möglichkeit bieten, Daten in sicheren Rechenzentren der EU zu speichern.
So sehen Datenschützer die EU-Datengrenze von Microsoft
Generell sehen Datenschützer die aktuelle Vorgehensweise von Microsoft kritisch. Solange es keine neue, rechtlich bindende Vereinbarung zwischen der EU und den USA gibt, sind Kunden weitgehend ungeschützt, auch wenn Microsoft das bestreitet. Da seit 2015 und 2020 die geltenden Regelungen „Privacy Shield“ und „Safe Harbor“ nicht mehr gültig sind, weil der EuGH diese gekippt hat, befinden sich Unternehmen und Organisationen in Rechtsunsicherheit.
Über die FirstAttribute AG
Die FirstAttribute AG ist ein unabhängiges, deutsches Cloud Service- und Software-Unternehmen mit Schwerpunkt Identity & Access Management (IAM) für AD und M365.
Seit der Gründung im Jahre 2001 hat die FirstAttribute viele namhafte mittelständische- und Großunternehmen in Deutschland und international erfolgreich unterstützt.
Das Thema Datensicherheit hat auch für unser Unternehmen eine hochrangige Bedeutung. Unsere Softwareentwicklung fokussiert sich auf Lösungen, die die Sicherheit von Identitätsdaten durch ein durchdachtes Berechtigungsmanagement gewährleisten.
Kontaktieren Sie uns, wenn Sie erfahren möchten, wie Sie Ihre Benutzerdaten mit Identity & Authorization Management in der Cloud absichern können.
