Foto: Mikhail Starodubov - shutterstock.com
Microsoft will die Datengrenzen für seine europäischen Cloud-Kunden verstärken. Der Softwarekonzern reagiert damit vor allem auf die geltenden Datenschutzregeln innerhalb der EU. Gerade Behörden und Unternehmen aus stark regulierten Branchen wie der Finanzwelt und der Energiesektor unterliegen strengen Compliance-Regularien und müssen besonders auf den Schutz sensibler Informationen achten. Diesen Anforderungen möchte der US-amerikanische IT-Konzern mit speziellen Cloud-Angeboten entgegenkommen.
Microsoft arbeitet bereits seit geraumer Zeit an einer EU-Datenschutz-konformen Cloud und seiner EU-Data-Boundary-Lösung. Dabei geht der Cloud-Provider in einem Phasenmodell vor, wie Julie Brill, Corporate Vice President & Chief Privacy Officer, in einem Blog-Beitrag erklärt. Im vergangenen Jahr habe Microsoft in einem ersten Schritt die Möglichkeit geschaffen, Kundendaten für Microsoft 365, Azure, Power Platform und Dynamics 365 Services innerhalb der EU-Datengrenze zu speichern und zu verarbeiten.
Mit der jetzt angekündigten Erweiterung der EU-Datengrenze soll es Kunden ermöglicht werden, alle personenbezogenen Daten innerhalb der EU zu speichern und zu verarbeiten. Das gelte beispielsweise auch für pseudonymisierte personenbezogene Daten, die in automatisierten Systemprotokollen enthalten seien, hieß es.
Microsoft verspricht Kunden souveräne Cloud für Europa
Brill bezeichnete die Ankündigung als Teil einer längerfristig angelegten Initiative, um europäischen Kunden aus jeder Branche und allen Ländern eine regelkonforme und sichere Cloud-Lösung anbieten zu können. Das reiche von der Implementierung der European Cloud Principles bis hin zum kontinuierlichen Ausbau der eigenen Microsoft Cloud for Sovereignty. Die Microsoft-Managerin hob an dieser Stelle auch die Kooperation mit verschiedenen europäischen Technologieanbietern hervor und kündigte weitere Investitionen in die eigene Cloud-Infrastruktur an. Diese bestehe derzeit weltweit aus 60 Cloud-Regionen, elf davon in Europa.
Mit der Erweiterung der EU-Datengrenzen auf die Speicherung und Verarbeitung aller persönlichen Daten innerhalb der EU erhielten die Kunden mehr Kontrolle, verspricht Brill. Außerdem will Microsoft den Anwendern mit dem EU Data Boundary Trust Center mehr Transparenz darüber bieten, wie Daten innerhalb der Cloud verarbeitet und transferiert würden. Auch über Datenschutzprozesse innerhalb von Microsofts EU-Cloud sollen sich die Anwender im Trust Center informieren können.
DSGVO vs. US-Geheimdienste: Microsoft will Kundendaten in der EU besser schützen
Die Microsoft-Verantwortlichen verweisen darüber hinaus darauf, dass der Konzern in EU-basierte Technologie investiert habe, um sensible Daten innerhalb der EU-Cloud besser absichern zu können. Das betreffe beispielsweise das eigene Monitoring der Cloud-Infrastruktur. Auch dafür müssten zukünftig keine Daten mehr aus dem EU-Raum heraus transferiert werden.
Security und Support - externer Zugriff weiter vorgesehen
Eine 100-prozentige Abschottung der EU-Cloud scheint allerdings nach wie vor nicht gegeben. Microsoft verweist an dieser Stelle auf Security-Anforderungen. Mehr als 8000 Spezialisten weltweit würden ständig über die Sicherheit der Cloud wachen, potenzielle Bedrohungen analysieren und Angriffe abwehren. Dafür sind offenbar Daten-Transfers aus der EU heraus notwendig. Diese Security-relevanten Vorgänge würden jedoch dokumentiert und seien auch allein auf sicherheitskritische Funktionen beschränkt, erläutert Brill.
Auch auf Support-Seite scheint die EU-Datengrenze derzeit nach wie vor durchlässig zu sein. Doch an dieser Stelle will Microsoft die Grenzen ebenfalls weiter dicht machen. In einer nächsten Phase der EU Data Boundary, die später im Jahr 2024 eingeläutet werden soll, würden auch Support-Daten innerhalb der EU-Grenzen gehalten und verarbeitet, hieß es. Sollte ein Zugriff von außerhalb Europas erforderlich sein, würde dieser im Rahmen einer Virtual Desktop Infrastructure auf das Notwendigste beschränkt. Microsoft will darüber hinaus auch eine rein EU-interne Support-Option anbieten - diese müssten Kunden allerdings kostenpflichtig extra dazubuchen.
Microsoft ist nicht der einzige Anbieter, der an speziellen entsprechend abgesicherten EU-Clouds arbeitet:
Oracle verspricht seinen Kunden mit der EU Sovereign Cloud eine DSGVO-konforme Cloud. Die Infrastruktur sei von Oracles Public Cloud getrennt und werde von einer separaten Firma in der EU betrieben. Der US-Konzern arbeitet außerdem eng mit dem BSI zusammen. Die Sicherheitsbehörde soll die Möglichkeit bekommen, alle Produkte und Services genau auf ihre IT-Sicherheit abzuklopfen. Damit will Oracle sein Behördengeschäft hierzulande ankurbeln.
AWS hat im Herbst 2023 seine European Sovereign Cloud angekündigt. Die entsprechende Infrastruktur befinde sich in Europa und werde auch dort betrieben, hieß es. Die Cloud laufe darüber hinaus physisch und logisch von der übrigen Public Cloud von AWS getrennt.
Anfang Oktober 2023 hat Google die Eröffnung seines ersten selbst betrieben Cloud-Rechenzentrum in Deutschland bekannt gegeben. Daniel Holz, Vice President EMEA North bei Google Cloud, bezeichnete die Anlage in Hanau als einen Meilenstein. Damit könne man deutschen Kunden künftig mehr Servicequalität bieten. Holz verwies außerdem auf Aspekte wie Datensicherheit und Datensouveränität.
Salesforce will mit einer eigens eingerichteten EU-Cloud, der Hyperforce EU Operating Zone, Datenschutzbedenken seiner Kunden aus dem Weg räumen. Damit ließen sich alle Regeln der DSGVO einhalten, verspricht der Anbieter.
Nach wie vor herrscht viel Unsicherheit darüber, inwieweit Unternehmen und Behörden Daten DSGVO-konform in den Clouds der großen US-Anbieter ablegen und verarbeiten dürfen. Zwar bemühen sich seit vielen Jahren die politischen Institutionen, einen verlässlichen Rechtsrahmen zu schaffen. Bislang allerdings ohne durchschlagenden Erfolg. 2015 kippten die Richter am Europäischen Gerichtshof (EuGH) auf Betreiben des österreichischen Datenschutzaktivisten Max Schrems die Safe Harbour-Vereinbarung. 2021 erklärte das Gericht auch die Nachfolgeregelung Privacy Shield für ungültig. Auch das im vergangenen Jahr ausgehandelte Data Privacy Framework dürfte über kurz oder lang vor dem EuGH landen.
Alles eine Frage des Zugriffs
Die Befürchtungen, dass US-amerikanische Cloud-Anbieter wie AWS, Google, Microsoft und Oracle durch Gesetze in den Vereinigten Staaten gezwungen sind, in deren Clouds gespeicherte Kundendaten im Bedarfsfall an US-Behörden herauszugeben, bleiben weiter bestehen. Insbesondere der seit März 2018 geltende Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wird mit großem Argwohn betrachtet. Das Gesetz verpflichtet amerikanische Internet- und Cloud-Anbieter sowie IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt.
Datenschutzabkommen mit den USA: EU billigt Data Privacy Framework
Ob die Initiativen der Cloud-Anbieter tatsächlich für mehr Datenschutz sorgen können, bleibt fraglich. Datenschützer melden immer wieder Zweifel an. Die US-Anbieter blieben rechtlich weiter für die Daten in ihren Clouds verantwortlich und unterlägen als US-Unternehmen auch der US-Rechtsprechung. "Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist", argumentiert Schrems seit Jahren. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben.