Microsoft Cloud: Persönliche Daten lassen sich innerhalb der europäischen Datengrenze halten

[English]Microsoft hat in einer Mitteilung heute eine wichtige Erweiterung seiner EU-Datengrenze für die Microsoft Cloud angekündigt. Kunden haben die Möglichkeit, alle personenbezogenen Daten innerhalb der EU zu speichern und zu verarbeiten. Damit nähert Microsoft sich dem voriges Jahr angekündigtem Ziel, die lokale Speicherung und Verarbeitung personenbezogenen Daten für seine Cloud-Produkte innerhalb der EU zu gewährleisten.


Anzeige

Microsoft ist seit letztem Jahr dran, die persönlichen Daten europäischer Cloud-Nutzer zu schützen. Seit dem 1. Januar 2023 war Microsoft mit dem stufenweisen Rollout seiner "EU Data Boundary"-Lösung befasst. Das Ziel: Die persönliche Daten europäischer Instanzen in einem virtuellen Datenraum (EU Data Boundary) zu halten. Dazu gehört auch, dass Daten für die gesamte Microsoft Cloud-Suite von Online-Diensten, einschließlich Microsoft 365, Dynamics 365, Power Platform und Azure auf Servern, die in Europa stehen, gehostet werden. Ich hatte im Blog-Beitrag Microsoft rollt "EU Data Boundary" für die Europa-Cloud ab 2023 aus berichtet.

EU-Grenze für Daten in der Microsoft Cloud

In der heutigen Mitteilung weist Microsoft darauf hin, dass man nun eine wichtige Erweiterung seiner EU-Datengrenze für die Microsoft Cloud ankündige. Diese Erweiterung ermöglicht es Kunden der Microsoft Cloud, alle personenbezogenen Daten innerhalb der EU zu speichern und zu verarbeiten.

Microsoft erwähnte, dass im Jahr 2023 in einem ersten Schritt bereits die Möglichkeit geschaffen wurde, Kundendaten für Microsoft 365, Azure, Power Platform und Dynamics 365 Services innerhalb der EU-Datengrenze zu speichern und zu verarbeiten. Darauf aufbauend wird die lokale Speicherung und Verarbeitung ab sofort auf alle personenbezogenen Daten erweitert. Dies gilt beispielsweise auch für pseudonymisierte personenbezogene Daten, die in automatisierten Systemprotokollen enthalten sind.

Dadurch ist Microsoft, laut eigener Aussage, der erste große Cloud-Anbieter, der europäischen Kunden diese Art der Datenresidenz bietet. Microsoft bietet auch neue Transparenzressourcen an, die Kunden auf der Trust-Center-Website für die EU-Datengrenze einsehen können. Microsoft hat im Blog-Beitrag Microsoft Cloud enables customers to keep all personal data within European Data Boundary weitere Details zum Nachlesen veröffentlicht.


Anzeige

Compliance-Anforderungen übererfüllt?

Die "EU-Datengrenze" geht laut Microsoft über die europäischen Compliance-Anforderungen hinaus und zeige, so das Unternehmen, sein Engagement zur Bereitstellung vertrauenswürdiger Cloud-Services. Diese seien so konzipiert, dass sie die Vorteile der Public Cloud voll ausschöpfen und gleichzeitig die europäischen Werte respektieren und Funktionen zum Schutz der Datensouveränität anbieten. Es ist das alte Credo: Erlege dem Hersteller gesetzliche Vorgaben, wird er sich bewegen, um nicht die Kundenbasis in der EU zu verlieren.

US-Cloud Act und US-Geheimdienstrecht

Wie die Juristen das Ganze am Ende des Tages unter dem US Cloud Act sehen, das den US-Behörden den Zugriff auf die von US-Unternehmen weltweit gespeicherten Daten ermöglicht, wird man abwarten müssen. Möglicherweise versucht Microsoft da einer Entscheidung des europäischen Gerichtshofs (EuGH) in Sachen EU-U.S. Datentransferabkommen " Data Privacy Framework" (DPF) zuvor zu kommen.

Interessant ist, dass ein Blog-Leser just heute in einem Kommentar im Diskussionsbereich anmerkte: "Mike Kuketz hat heute (11.01.2024) auf seinem Blog einen Artikel veröffentlicht, der den Zugriff von US-Behörden auf Daten europäischer Bürger kritisch durchleuchtet." Kuketz geht in seinem Blog-Beitrag Jenseits der Grenzen: Überblick über das US-Geheimdienstrecht auf die zum Teil exzessive Zugriffsmöglichkeiten der US-Behörden auf Daten bzw. Informationen ein, die sogar Grundrechte europäischer Bürger aushebeln können. Das Fazit von Kuketz:

Vor diesem Hintergrund empfiehlt es sich, keine Daten in US-Clouds zu speichern und generell die Abhängigkeit von US-amerikanischen IT-Unternehmen zu reduzieren. Nicht zu vergessen: Aufgrund dieser Befugnisse der US-Geheimdienste und der Rechtslage ist ein angemessenes staatliches Datenschutzniveau nach DSGVO grundsätzlich schwierig bis unmöglich umzusetzen.

Ähnliche Artikel
Microsoft rollt "EU Data Boundary" für die Europa-Cloud ab 2023 aus
Microsoft ändert Cloud-Lizenzierung in der EU zum 1. Oktober 2022
Microsoft verdoppelt Kapazität der Azure Cloud in Deutschland, und unsere Behörden zahlen Milliarden
EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework
Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme
DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework


Anzeige

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Microsoft Cloud: Persönliche Daten lassen sich innerhalb der europäischen Datengrenze halten

  1. Anonymous sagt:

    EU-Grenze für Daten, und wer es glaubt, wird seeling. Kuketz hat natürlich recht.

  2. Matschmeer sagt:

    AV-Vertrag inkl. TOM mit Microsoft?

  3. Bytemaster sagt:

    Als ob, als ob….

  4. R.S. sagt:

    Nebelkerze von Microsoft!
    Es geht doch gar nicht darum, wo Microsoft die Daten verarbeitet und speichert, sondern das Dienste außerhalb der EU Zugriff drauf haben.
    Wenn z.B. das FBI Daten haben will, dann muß Microsoft die rausrücken, egal, ob die Daten auf Servern in den USA gehostet werden oder auf Servern in der EU.
    Der Cloud Act verpflichtet Microsoft dazu!
    Und daran kann auch ein DPF oder irgendein anderes Abkommen zwischen der EU und den USA nichts ändern!
    Auch solche Abkommen sind nur Nebelkerzen, die verschleiern sollen, das bei Servern von US-Unternehmen die DSGVO nicht durchgesetzt werden kann.
    US-Unternehmen ist der DSGVO-konforme Betrieb von Servern und Clouddiensten in der EU wegen des Cloud Acts schlicht nicht möglich!
    Übrigens jedem anderen Unternehmen, das eine Niederlassung in den USA hat, ebenso nicht. Auch die unterliegen dem Cloud Act.

    • Sebastian sagt:

      Ich vermute MS hat gemerkt das ihr SaaS Krempel bei Ausschreibungen für grosse Projekte ein DSGVO Problem hat und dieses Problem jetzt zumindest auf dem Papier gelöst. Das macht es Klitschen wie Accenture es einfacher grosse Projekte an Land zu ziehen.

    • 1ST1 sagt:

      Wenn die deutsche Staatsanwaltschaft deine Mail/Cloud/…-Daten haben will, muss t-online.de die auch rausrücken. 1&1/ionos/… auch. Hetzner auch. Vodaphone auch. usw. Und notfalls kommen die sogar zu dir nach Hause und kassieren deine Offline-Daten ein.

      Das Einfachste ist, lass dir einfach nichts zu schulden kommen, dann wollen auch die Amerikaner nichts von dir.

      • Werner sagt:

        Les doch einfach mal kurz den verlinkten Artikel:

        https://www.kuketz-blog.de/jenseits-der-grenzen-ueberblick-ueber-das-us-geheimdienstrecht/

        Insbesondere das mit dem Stichwort 'anlasslose Massenüberwachung'… Die wollen erstmal alles, gefiltert wird später wenn man sich ein Filterkriterium überlegt hat.

        Dazu kann man auch mal nach Snowden und Selektoren googeln…

      • R.S. sagt:

        Da gibt es aber einen Unterschied, ob ein Anbieter die Daten auf Anordnung der Staatsanwaltschaft rausrücken muß, oder anlasslos, wie es beim Cloud Act der Fall ist.
        Die US-Dienste brauchen keinen richterlichen Beschluß, um auf die Daten zugreifen zu können, die deutschen Stafverfolgungsbehörden dagegen sehr wohl.

      • Pau11 sagt:

        Zumindestest hinterher dürfen sie die Betroffenen informieren und dürfen öffentlich rokumieren, wie oft das verlangt wurde.
        In den USA gibt es Geheimgerichte mit Geheimurteilen die die Provider geheim halten müssen…
        Die beste Demokratie die man für Geld kaufen kann.

  5. McAlex777 sagt:

    Und warum sollte man Microsoft noch vertrauen, nachdem sie mich über 5Jahre hinweg laufend mit neuen Datenübergriffigkeiten Anwender-Grenzen überschritten haben?!

    Ich mein sowas passiert ja nicht versehentlich, sondern war planvoll programmiert – inkl. Richtlinien um das für Firmen abstellbar zu machen, damit niemand klagen kann.

    Und glaubt irgendwer das Microsoft auf EU-Servern Anwender/Daten/Verhalten nicht via KI überwacht und klassifizieren wird, so wie sies in ihren AGBs bereits angekündigt haben?

    • 1ST1 sagt:

      Haben sie das wirklich, hast du irgendwelche Beweise dafür, dass die NSA oder so deine Daten auf dem Tisch hatten? Was hast du denn angestellt, dass du zu der Annahme kommst?

      • Schnicke sagt:

        Dazu muss man nichts angestellt haben. Die NSA sammelt bekanntermaßen so viele Daten, wie sie nur kann, da diese Daten später von Nutzen sein könnten. Kommst du z.B. irgendwann mal auf die Idee, in die USA auswandern zu wollen, sind die dort happy, wenn sie dich ordentlich durchleuchten können und dir ggf. eine Aufenthaltsgenehmigung verweigern.
        Aber auch so gehen z.B. meine persönlichen Gesundheitsdaten und sonstige persönliche Informationen niemanden etwas an, dem ich das nicht erlaubt habe.

      • McAlex777 sagt:

        Eine nachträglich interpretierte "automatische Einverständniserklärung" zur Passwort-Synchronisation in die Microsoft-Cloud wenn man einen Microsoft OnlineProfil verwendet ist ein Beispiel für grenzüberschreitende Datenübergriffigkeiten.

        Tastatureingaben im Startmenü an Microsoft zu übertragen ein weiteres Beispiel für Grenzüberschreitungen.

        Bei Crashes in Applicationen Speicherauszüge an Microsoft zu senden ebenfalls eine Grenzüberschreitung.

        Die Microsoft-Dokumentationen rund um das Thema Datenschutz belegen auf "x hunderten" Seiten dutzende weitere versteckte Varianten von Datenübergriffigkeiten die in der regulären Windows-UI nicht angeboten werden – und welche per Default aktiviert sind.

        Diese "x hundert"Seiten laufend zu ändern macht Datenschutz für Privatanwender "praktisch" unmöglich: fachlich wie zeitlich.

        Die manuelle und automatische KI Anwender/Datenklassifizierung ist von Microsoft bereits via AGBs angekündigt, und musste von den Anwendern im Oktober zwangsbestätigt werden.

        Damit wurde eine vollkommen neue Dimension der Datenübergriffigkeit Tür und Tor geöffnet.

        Warum soll man also einem solchen Unternehmen Datenschutzversprechen glauben, wenn sie auf seite 702 Ihrer Doku eine Ausnahme vom Datenschutz beschreiben könnten die zufällig auch per Default aktiviert sein könnten?

        z.B. wie beim Browser Edge "Bildübertragung zwecks KI Klassifizierung".

      • Mira Bellenbaum sagt:

        Lies doch bitte noch einmal seinen ersten Satz und überlege, was genau er gemeint haben könnte!

      • Pau1 sagt:

        Natürlich ist das System so dicht, dass man Männer wie Snowden braucht so etwas durchleuchten zu können.
        Den Patriot Act gibt es.
        Microsoft hatte damals geklagt, und die amerikanischen Richter definierten, das es egal ist,wo sich die Daten physisch befinden. Relevant ist nur der Unternehmers Sitz.
        Ich weiß nicht warum fast alle unsere Geschäftsführer so dumm sind und glauben, das ihre Daten auf europäischen Servern sicher seien, auch wenn sie MS gehören.
        NSA betreiben aktiv Industrie-/Wirtschafts-Spionage. Es gehört zu ihren Aufgaben. Wer das nicht glaubt, ni3cetwas von Enercon gehört hat, möge bitte bei der für KMU zuständigen Stelle des Innenministerteriums. Die liefern gerne genaueres.

  6. Luzifer sagt:

    Naja das besagt damit ja nur das die Daten eben auf EU Grenzebene mißbraucht werden ;-P

    Also das was die EU bezweckt, den die ist auch mitnichten für den Datenschutz, sondern denen ist nur ein Dorn im Auge das amerikanische Unternehmen den Rahm abschöpfen und sie gerne selbst mehr vom Kuchen abhaben wollen.
    DSGV & Co. ist doch nur dazu da um das Wahlvieh ruhig zu stellen!

    Es muss einem nur klar sein es gibt im Netz keinen Datenschutz und keine Anonymität!

  7. Pau11 sagt:

    Die verschiedenen US Gesetze sind ohne Zweifel ein großes Problem. Andererseits frage ich mich in jüngster Vergangenheit immer wieder bei den auch in Deutschland abgewehrten Terrorangriffen, bei denen dann heißt, dass man durch ausländische Geheimdienste im Vorfeld Aufmerksam gemacht wurde….. wären diese Anschläge auch ohne CLOUD Act, PATRIOT Act oder Foreign Intelligence Surveillance Act (FISA) verhindert worden?

    Irgendwo müssen die Erkenntnisse zu geplanten Anschlägen doch her kommen? Ich weiß, es ist ein schwieriges Thema. Und ich weiß auch nicht, ob das eine das andere rechtfertig.

    • Luzifer sagt:

      na durch gute alte Spionage Arbeit auch wie seit Jahrzehnten…
      Wie bei der Polizeiarbeit auch, nur dazu brauch es:
      a.) ausreichend Personal
      b.) gutes Fachpersonal

      • Anonymous sagt:

        und wie sah die "gute alte Spionage Arbeit" aus? Abfangen der Kommunikation (Briefe, analoges Telefon abhören, …), eindringen in Büros/Wohnungen und fotografieren von Unterlagen, …

        Im Prinzip nichts Anderes als heutzutage die elektronische Überwachung.

  8. michael sagt:

    Das sollte man nicht so eng sehen. Auch die Amerikaner sollten das Recht haben sich per Spionage die Produkte dann einfach selbst herstellen. Der deutsche Mittelstand wird sich darüber gerne freuen und geht auch deshalb gerne in die Klaud..

    • Luzifer sagt:

      was wäre den die Alternative? Das die USA einmarschieren und sich die "Rohstoffe" holen wie in anderen Ländern?

      • michael sagt:

        Das würden 'unsere Freunde' doch sicherlich nie tun :-) Die einzige Altarnative wären eine Armee mit Atomwaffen – dann darf man auch mitreden – aber die in den Händen unserer BW wie Polit-Darstellerinnen – schwierig. Die haben ja nur Rußland im Focus.

  9. John Doe sagt:

    Die Aussage suggeriert aber auch klar, das es bis lang nicht so war….
    also hat ja jeder der das genutzt hat als Unternehmen… die DSGVO ignoriert…. bzw. gegen diese Verstossen….

  10. Mario sagt:

    :"Niemand hat die Absicht eine Mauer zu bauen"…

  11. Anonymous sagt:

    Sehe ich das richtig, dass es hier nicht um die Daten von persönlichen oder MS-365-Family-Konten geht, sondern nur Business-Kunden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.