Seit dem 1.1.2023 bietet Microsoft die Möglichkeit, bei bestimmten Produkten Daten ausschließlich innerhalb der EU-Datengrenze zu speichern und zu verarbeiten. Damit erweitert Microsoft die bestehenden Maßnahmen zur Speicherung und Verarbeitung auf Servern in der EU und setzt die Anforderungen der DSGVO zumindest teilweise um.
Nun ist es so weit: Seit dem 1.1.2023 beginnt Microsoft mit der Umsetzung der EU-Datengrenze (engl. EU Data Boundary), die von Geschäftskunden, Datenschützern und der DSGVO schon lange gefordert wurde. Microsoft hatte die Einführung der Datengrenze im Mai 2021 angekündigt. Gemeint ist damit, dass die Daten, die mit Microsoft-Programmen erstellt und in der Cloud gespeichert und verarbeitet werden, ausschließlich auf Microsoft-Servern in Europa verbleiben. Konkret sind damit die Staaten des Europäischen Wirtschaftsraums (EWR) und die Schweiz gemeint. Außer den 27 EU-Staaten gehören zum EWR noch Island, Liechtenstein und Norwegen. Bisher wurden die Daten auch, aber eben nicht ausschließlich auf EU-Servern gespeichert.
Umsetzung der EU-Datengrenze durch Microsoft erfolgt in drei Schritten
Mit der Umsetzung der EU-Datengrenze will Microsoft die bestehenden Verpflichtungen zur lokalen Speicherung und Verarbeitung von Daten erweitern und den Datenfluss aus der EU heraus erheblich reduzieren.
Die Einführung der EU-Datengrenze soll in drei Schritten erfolgen:
Schritt 1 – Die Kundendaten für und von Microsoft 365, Dynamics 365, Power Platform und die Mehrzahl der Azure-Dienste werden ausschließlich auf Server im EWR gespeichert und verarbeitet. Dieser Schritt ist jetzt umgesetzt. Ab sofort können Geschäftskunden von Microsoft die Optionen zur „Datenresidenz“ buchen und ausschließlich EU-Server nutzen.
Schritt 2 – Die Datenresidenz-Optionen werden über Kundendaten hinaus auf pseudonymisierte personenbezogene Daten erweitert. Diese zusätzlichen Optionen sollen bis Ende 2023 zur Verfügung stehen.
Schritt 3 – Auch die Daten, die beim technischen Support für Microsoft 365, Power Platform, Dynamics 365 und Azure verarbeitet werden, verbleiben ausschließlich auf EU-Servern. Dies will Microsoft Mitte des kommenden Jahres 2024 umsetzen.
Alle genannten Datenresidenz-Optionen sind Geschäftskunden vorbehalten und müssen von diesen zu den bestehenden Software- und Serviceplänen hinzugebucht werden. Für Privatkunden gibt es diese Möglichkeiten nicht.
Forderungen von Datenschützern und DSGVO werden nur teilweise umgesetzt
Die Einführung der EU-Datengrenze ist ein Reaktion von Microsoft auf zwei Urteile des Europäischen Gerichtshofs (EuGH) zum kommerziellen Datenaustausch zwischen Europa und den USA aus den Jahren 2015 und 2020. Beide Verfahren hatte der österreichische Datenschutzaktivist Max Schrems angestoßen, sodass diese auch unter den Bezeichnungen Schrems I und Schrems II bekannt sind. In beiden Fällen stellte der EuGH fest, dass die USA und Europa kein vergleichbares Datenschutzniveau haben. Es entzog damit dem Datentransferabkommen Safe Harbor (2015, Schrems I) und dessen Nachfolger Privacy Shield (2020, Schrems II) die Rechtsgrundlage.
Betroffene amerikanische Unternehmen, so auch Microsoft, haben nach dem ersten Urteil sogenannte Standardvertragsklauseln eingeführt, in denen sie die Einhaltung der Datenschutzvorschriften zusichern, und die Einrichtung von Serverstandorten in der EU angekündigt haben. Im zweiten EuGH-Urteil wurde aber festgestellt, dass Standardvertragsklauseln und EU-Server allein nicht ausreichen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu genügen.
Vor diesem Hintergrund betrachtet, ist die Einführung der EU-Datengrenze von Microsoft zwar ein wichtiger Beitrag zu mehr Datenschutz. Er löst aber nicht das grundsätzlich Problem des geforderten vergleichbaren Datenschutzniveaus, da auf Grundlage des Cloud Act US-Geheimdienste nach Beschluss von Geheimgerichten immer noch die Möglichkeit haben, Daten zu beschlagnahmen. Da Ländergrenzen dabei keine Rolle spielen, ist es egal, ob die Server in den USA oder in Europa stehen.