Microsoft sagt ja, dass man die Bedürfnisse zur Cloud-Nutzung in Europa unterstütze und hat auch eigene Cloud-Prinzipien für diesen Bereich verabschiedet. Ab dem 1. Januar 2023 will Microsoft mit dem stufenweisen Rollout seiner „EU Data Boundary“-Lösung starten, die persönliche Daten europäischer Instituationen in einem virtuellen Datenraum (EU Data Boundary) halten will. Dazu gehört auch, dass Daten für die gesamte Microsoft Cloud-Suite von Online-Diensten, einschließlich Microsoft 365, Dynamics 365, Power Platform und Azure auf Servern, die in Europa stehen, gehostet werden.
Bereits im Mai 2022 gab es von Microsoft das Bekenntnis zur europäischen Daten-Souveränität, bei der Daten von Behörden und Unternehmen bei Cloud-Diensten bestimmten Kriterien unterliegen. Microsoft hatte sich zu folgenden fünf europäischen Cloud-Prinzipien bekannt.
Europäische Cloud-Prinzipien Microsofts
Dazu gehört, dass die Cloud-Dienste die europäischen Datenschutzanforderungen erfüllen sollen – worum aktuell ja stark gerungen wird (Stichwort: Microsoft 365 wird von der Deutsche Datenschutzkonferenz nicht als DSGVO-Konform eingestuft, und die EU arbeitet an einem neuen Abkommen zum Datenaustausch mit den USA, siehe Links am Artikelende).
Zum 15. Dezember 2022 hat Microsoft dann im Artikel Microsoft announces the phased rollout of the EU Data Boundary for the Microsoft Cloud begins January 1, 2023 einen konkreten Fahrplan vorgelegt. Basierend auf den obigen Prinzipien sieht sich Microsoft verpflichtet, vertrauenswürdige Cloud-Dienste bereitzustellen, die so konzipiert sind, dass sie die volle Leistungsfähigkeit der öffentlichen Cloud nutzen und gleichzeitig die europäischen Werte und Souveränitätsanforderungen respektieren.
Microsoft beginnt ab dem 1. Januar 2023 mit der schrittweisen Einführung seiner EU Data Boundary-Lösung für den öffentlichen Sektor und gewerbliche Kunden in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA). Dazu bietet Microsoft seinen europäischen Kunden langfristig die Möglichkeit, ihre Kundendaten innerhalb der EU Data Boundary für Microsoft 365, Azure, Power Platform und Dynamics 365 Services zu speichern und zu verarbeiten.
Bisher hat Microsoft dazu Rechenzentren in mehr als 17 Rechenzentrumsregionen in Europa eröffnet und baut diese derzeit aus. Mit dem Start des gestuften Rollouts zum 1. Januar 2023 erweitert Microsoft die bestehenden Verpflichtungen zur lokalen Speicherung und Verarbeitung persönlicher Daten.
Als Teil der ersten Phase der Einführung der EU-Datengrenze (EU Data Boundary), wird Microsoft eine ausführliche Dokumentation zu seinen Verpflichtungen zur Datenhaltung veröffentlichen. Die Transparenzdokumentation wird zunächst in englischer Sprache veröffentlicht und soll auch in weiteren Sprachen zur Verfügung gestellt werden.
Administratoren müssen den Transfer persönlicher Daten über die Einstellungsseiten der Produkte Microsoft 365, Azure, Power Platform und Dynamics 365 auf diesen EU Data Bondary-Raum und die Speicherung auf Servern in der EU zu begrenzen. Das Unternehmen gesteht aber ein, dass es den Datenfluss aus Europa nur erheblich reduziert. Dazu heißt es, dass man die Dokumentation fortlaufend aktualisiert, wenn Microsoft weitere Phasen der EU-Datengrenze einführt. Die Dokumentation wird auch Einzelheiten zu Diensten enthalten, die weiterhin begrenzte Übertragungen von Kundendaten außerhalb der EU erfordern können, um die Sicherheit und Zuverlässigkeit des Dienstes zu gewährleisten.
In den kommenden Phasen der EU Data Boundary-Rollouts will Microsoft die EU Data Boundary-Lösung auf die Speicherung und Verarbeitung weiterer Kategorien personenbezogener Daten ausdehnen, darunter auch Daten, die bei der Inanspruchnahme von technischem Support bereitgestellt werden. Microsoft will bereits mit der Einführung der EU Data Boundary in der ersten Stufe ein EU Data Boundary Trust Center. freischalten. Dort erhalten Kunden, deren Dienste in die EU Data Boundary einbezogen werden, Einblicke, wo die Daten liegen.
Insgesamt ist dies ein Schritt in den Bemühungen Microsofts, seine Cloud-Lösungen mit den europäischen Anforderungen in Bezug auf Datenschutz und Souveränität in Übereinstimmung zu bringen. Spannend wird dann sein zu beobachten, wie transparent dieser Ansatz am Ende des Tages ist, welche Daten aus Gründen der Sicherheit und Zuverlässigkeit des Dienstes außerhalb der EU transferiert werden und wie der EU-Angemessenheitsbeschluss in diesem Kontext rechtlich Bestand haben wird. Für private Nutzer von Microsoft-Produkten (schließt auch Windows- und Office-Lösungen in kleinen Firmen abseits der Enterprise-Angeboten ein) gilt diese EU Data Boundary meines Wissens übrigens nicht.
Ich habe aber das Gefühl, dass die Diskussion um die Cloud uns noch eine Weile erhalten bleiben wird. Für Microsoft geht es bildlich gesprochen „um die Wurst“, da „Cloud first“ ja erklärtes Ziel von Satya Nadella seit seinem Antritt als CEO ist. Würde die Cloud-Lösung Microsofts mittelfristig als nicht EU-kompatibel eingestuft, würde ein riesiger Markt für Microsoft weg fallen. Es wird also auch in Zukunft um jedes Datenbit, und um jede Fußnote in Erklärungen, Einschätzungen und Regularien gerungen werden.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung „Privacy Shield“
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen „Privacy Shield 2.0“ auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung „Microsoft 365 weiterhin nicht datenschutzkonform“
MS 365 DSGVO-Konformität: Merkwürdiger „Meinungsartikel“ bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Microsoft und das Trauerspiel um seine Partner
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Chrome & Edge senden persönliche Daten (u.a. Passwörter) an Google bzw. Microsoft
Mir bleibt schleierhaft wie sich Microsoft als amikanisches Unternehmen den Gesetzen der USA entziehen will. Denn genau diese stehen einem angemessenen Schutzniveau entgegen. Den Zugriff durch die amerikanischen Geheimdieste zu verhindern, ist nicht für ein amerikanischea Unternehmen oder eines zu einem solchen Konzern Gehörendes in keinem Fall sicherzustellen. Es muß demnach ein Unternehmen sein, das auschschlißlich der europäischen Jurisdiktion unterliegt. Weiterhin schließt Microsoft den Datenabfluß nach den USA nicht aus, sondern möchte ihn nur „reduzieren“. Microsoft, Google, Apple, AWS und Konsorten können in Europa keine datenschutzkonforme Dienste anbieten.
Eben genau das will ja keiner lesen ;-)
Die amerikanischen Behörden schaffen es ja regelmäßig nicht, iPhones und iPads zu entschlüsseln, jetzt schließt Apple ja auch noch das letzte Schlupfloch, in dem iCloud-Backups der Geräte verschlüsselt werden.
Warum soll denn jetzt Microsoft sowas nicht auch können? Die Enterprise-Tenants sind ja ohnehin verschlüsselt. Und sie liegen bereits in Europa, das mit den einzelnen Kunden so vertraglich festgelegt. Man konnte z.B. bei uns quasi spüren, als im Rahmen des Brexits unser Tenant aus Groß-Britannien auf das Festland, sogar nach Frankfurt, umgezogen wurde, da war der Zugriff auf den Kram nämlich tagelang etwas zäh.
Jetzt wird noch eine Schallmauer eingebaut, um die Gemüter zu beruhigen.
Und die US-Behörden sind schon länger bestrebt, das Apple ihnen die Entschlüsselung der Daten ermöglicht.
Bisher sind die daran gescheitert, das Apple sagt, das sie selbst die Daten nicht entschlüsseln können.
Aber ich sehe schon, das es irgendwann Gesetze in den USA geben wird, das die Hersteller zwingt, in Verschlüsselungen etc. eine Backdoor für die Geheimdienste etc. einzubauen.
Und mit Rechenzentren in der EU entgeht Microsoft nicht den Bestimmungen des US Cloud Acts.
Der zwingt die Hersteller, den Behörden die Daten auf Nachfrage zur Verfügung zu stellen, egal, wo auf der Welt die gespeichert sind.
Und selbst wenn die Rechenzentren in der EU stehen:
Wer garantiert, das Microsoft nicht die dort gespeicherten Daten auf Server in den USA kopiert? U.U. zeitversetzt um 1 oder 2 Tage.
Dann fällt das nicht auf, weil zeitlich entkoppelt von der Speicherung der Daten der Kunden auf den EU-Servern.
Und bis dieses Gesetz kommt betreiben wir es weiter. Ok?
Die Leichtsinnigen, Gutgläubigen und Verantwortungslosen: Ja.
Verantwortungsbewusste, die für eigene Geschäftsgeheimnisse und insb. für Daten Dritter keine unnötigen und unkalkulierbaren Risiken eingehen: Nein.
Weil nichts in der Cloud verschlüsselt sein darf.
Denk an die armen Kinder, wie soll man denn sonst „leckere“ Fotos finden? (Für den Arzt)
Denk an das arme NSA.
Und was genau nutzt eine Verschlüsselung der Daten, gegen den Zugriff der NSA, wenn auch der Schlüssel bei MS liegt? Und wie soll Office 365 in der Cloud mit den verschlüsselten Daten arbeiten ohne sie zu entschlüsseln?
Das verschlüsselte Ablegen ist dann von Vorteil, wenn man mal zig Terabyte Platten wechseln muss da defekt/zuklein und der Datenvernichter geschlampt hat und die Platten auf eBay vertickt hat.
Und bei SSDs können in Wornout Sektoren durchaus noch Daten stehen, die nicht gelöscht werden können.
Ist das Hörensagen oder eigene Praxis, aus der du weißt, dass der Schlüssel bei MS liegt? Also, unser Schlüssel für unseren Tenant liegt bei uns…
Bedürfnisse zur Cloud Nutzung habe ich bisher in meinen über 20 Jahren IT bei diversen kleinen und mittelständischen Unternehmen nicht wahrgenommen. Eher das Gegenteil.
Ich verstehe, was du meinst. Oftmals ist es in meiner Erfahrung aber sogar schlimmer. Da wird vorbildlich im Unternehmen auf Cloud-Produkte verzichtet, aber dann kommt raus, dass IT-Führungskräfte ihre Remote-Sammlungen auf Dropbox hosten, um überall dranzukommen… Traurig.
Ich befürchte ja, dass Herrn Nadellas Prinzipien nicht oder nur endlos schwer mit den europäischen Ansichten vereinbar sein werden. Hier trifft das amerikanische „Erst mal alles nehmen und dann schauen, was man nicht braucht“ auf das europäische Sicherheitsgefühl.
Ich für meinen Teil möchte, zumindest privat, möglichst bald weg von MS-Produkten.
LG Frank
Sehr gut! Damit sollten auch die Bedenken der letzten Nörgler endlich weg sein. Einem Einsatz von 365 steht damit definitiv nichts mehr im Wege.
Ich habe den Kommentar mal freigeschaltet – Substanz hat er nicht! Die Frage des Einsatzes hat nichts mit nörgeln zu tun, sondern mit der Frage, könnten Datenschutzverantwortliche belegen, dass die Verarbeitung persönlicher Daten DSGVO-konform gehalten werden kann. Das Ganze wird im Lichte der konkreten Umsetzung, gespiegelt an den Entscheidungen der Datenschutzaufsicht und möglicherweise des EuGH, entschieden und weniger durch deinen Hurra-Patriotismus. Wenn da rechtlich final grünes Licht gegeben wird, steht einem Einsatz von Microsoft 365 nichts mehr im Wege. Bis das so weit ist, schreiben wir imho nicht mehr 2023. Nur mal angemerkt.
Wo ich übereinstimme: Microsoft hat zumindest einen Ankündigungsschritt getan.
Gut geantwortet – eigentlich stellt sich schon die Frage, warum hier nach Jahren DSGVO hierzu immer noch solch eklatante Defizite in Kenntnis der aktuell gültigen Rechtslage bestehen.
Wer hier von nörgeln spricht, hat die Kontrolle über seine Daten bereits verloren.
Das mit der EU Data Boundary ist im Grunde nichts neues.
https://so-arbeiten-wir-morgen.de/microsoft-365-wo-liegen-meine-daten/
https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter
https://learn.microsoft.com/de-de/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#data-center-locations
Mindestens eins der genutzten RZ liegt auf dem Stadtgebiet von Frankfurt/M.
Ps: Das sind „Zugesicherte Eigenschaften“ des Produkts, nach EU-Recht einklagbar, wenn es nicht stimmen würde!
Netter Versuch.
Aber „Daten liegen in der EU“ ist eben _nicht_ gleichbedeutend mit „Daten sind vor (Behörden-)Zugriff aus dem nicht-EU-Raum* geschützt“ oder „Daten liegen zu keinem Zeitpunkt ausserhalb der EU“.
* lies: USA
Das bestreitet ja auch niemand. Aber, beschäftige dich mal mit dem Cloud Act, über die Bedingungen, unter denen der NSA dort zugreifen darf. Da geht es nicht um Industriespionage, sondern ernsthaft verfassungsfeindliche Sachen. Aber Ok, wenn du russischer Spion bist, musst du natürlich damit rechnen, dass der NSA dein OneDrive durchsuchen möchte. Gratuliere zu deiner Wichtigkeit!
@1ST1
Sie werden es nicht müde, die naive Leier, Behörden seien rechtschaffen und hielten die Gesetze schon ein, wieder und wieder abzuspulen.
Das ist aber eine vielfach falsifizierte Annahme und somit fällt Ihre gesamte ‚Argumentation‘ in sich zusammen.
Ich weiß ja nicht ob bekannt ist, das einigen Staaten ihren Geheimdiensten erlauben Industrie- und Wirtschaftsspionage zu erlauben (AFAIK haben sonst nur China, England, Frankreich und die Schweiz ihre Geheimdienste entsprechend ermächtigt).
Dies teilte einmsl das Bundesinnenministerium für KMU mit.
Ausserdem wird bei großen Leitungen der Weg der Daten vorab berechnet, weil die Tüdelei der einzelnen Router an jedem Hop zuviel Zeit und Strom kostet. (MPLS IIRC)
Für TCP/IP ergibt sich u. U. U. ein anderer Weg als ein ICMP Traceroute anzeigt… Woher weiß ich das die Daten innerhalb von Europa bleiben? (schon jemanden aufgefallen das die RTT zwischen den Hops rel. Constant ist?)
Anyway, wie schon gesagt:
DSGV-konfomität ist nur die Halbe Miete. Und wenn der Provider sagt, dass die Server in der EU stehen kann ich nicht wg. Verstoß gegen die DSGV haftbar gemacht werden. Alles gut?
Aber dagegen, das meine Daten von der amerikanischen Konkurrenz via NSA & Co. ausgewertet werden schützt die DSGV-konfomität nicht.
Die amerikanischen Gesetze gelten auch für MS.
Informiere dich doch mal bitte, aufgrund welcher Gründe die NSA nach Cloud-Act überhaupt auf solche Cloud-Daten schauen darf. Tipp: Industriespionage gehört nicht dazu.
Und genau deswegen werden unsere amerikanischen Freunde das natürlich niemals tun. Die Amerikaner haben Industrispionage immer nur dann betrieben wenn sie gesetzlich erlaubt war (äh..wann und genau wo war das erlaubt ?). Oder halt abgestritten, sowas gibt man ja nicht zu.
Btw., hier eine ältere Info zum Thema:
https://netzpolitik.org/2015/internes-dokument-belegt-bnd-und-bundeskanzleramt-wussten-von-wirtschaftsspionage-der-usa-gegen-deutschland/
Man könnte auch den Aussagen des Edward Snowden zu diesem Thema Glauben schenken (was ich tue im Gegensatz zu deiner These).
a) ist das der Stand heute, kann sich jederzeit ändern
b) sollte doch inzwischen bekannt sein, wie sklavisch sich Behörden an gesetzliche Auflagen/Verbote halten. Nicht.
c) muss gerade bzgl. Cloud Act nur „im Interesse der nationalen Sicherheit“ vorgegaukelt werden – z.B. „wir verdächtigen Firma X unsere Embargos gegen Y zu umgehen“
das Problem neben der Executive Order ist: Du kannst es nur glauben und hoffen, nicht wissen.
Die Gretchenfrage also lautete: Unschuldsvermutung ja oder nein. Mehr ist nicht drin.
Microsoft macht es unendlich schwer und vor allem teuer, die eigenen Daten inkl. Mails in der CLoud mit einem eigenen Schlüssel zu sichern, somit macht es keiner.
Jeder, der einen Enterprise-Tenant hat, hat den Schlüssel selbst in der Hand.
Wie ist das denn bei internationalen Firmen mit mehreren Standorten?
In der Regel verwaltet der Hauptsitz die Lizenzen für alle Standorte und der Hauptsitz ist dann der Kunde bei MS.
Wenn also der Hauptsitz außerhalb der EU ist, wie sieht es dann mit den Daten (der Mitarbeiter) eines Standortes innerhalb der EU aus?
Mal so ne Frage an die ganzen MS Cloud Verfächter: Was kann denn die MS Cloud so viel besser, als das man das nicht (selbst bei KMUs) lokal abfrühstücken könnte?
alles, da Monopolstellung, man kann nicht von Oligopol sprechen, es ist faktisch ein Monopol.
Niemand kommt an diese Interoperabilität heran, vor allem dann nicht, wenn es um firmenübergreifende Zusammenarbeit geht, weil ja schon so viele drin sind.
Ein Teams Call zu einem Kunden oder Geschäftspartner? Geschenkt! Ein Teams Meeting oder Zusammenarbeit inkl. Dokumentenaustausch? Easy.
Je mehr es werden, desto unangefochtener die Ausnahmestellung.
Und genau das ist großer Mist….. stell die vor Google hätte Android nicht gemacht und es gäbe wirklich „NUR“ iPhones als Smartphones…. die Geräte könnten immer noch kein 3G….
Es kann einfach nicht alles bei „einem“ sein….