Microsoft startet Anfang 2023 das EU Data Boundary Program. Dabei sollen Kundendaten von "berech­tigten Kunden" im EU-Raum ver­bleiben oder im EFTA-Bereich, in dem die Schweiz Mitglied ist. Nun wurde der Fahrplan veröffentlicht.

In der ersten Phase sollen Kunden­daten von Microsoft 365, Dynamics 365, Power Platform und die Mehr­heit der Azure-Dienste in der EU und EFTA gespeichert und verarbeitet werden. Danach soll dies bis Ende 2023 auf pseudonymisierte personen­be­zo­gene Daten ausgeweitet werden. Im Jahr 2024 schliesslich folgt eine weitere Massnahme: Daten, die bei Nutzung des technischen Supports zur Verfügung gestellt werden, sollen ebenfalls in EU- und EFTA-Gebiet bleiben. Im selben Jahr, so verspricht Microsoft, würden die verbleibenden Dienste angegangen.

Der Techkonzern wird zudem eine ausführliche Dokumentation zu seinen Verpflichtungen bereitstellen, in denen dargelegt werden soll, welche Daten noch die europäische Grenze passieren, um Dienste zu gewährleisten. Die übrigen bleiben in Datenzentern in der Schweiz, Österreich, Belgien, Däne­mark, Frankreich, Deutschland, Griechenland, Irland, Italien, Niederlande, Norwegen, Polen, Spanien oder Schweden.

Microsoft reagiert damit auf Kritik. Schon im November hatte das Unter­nehmen eine geharnischte Stellungnahme zum Thema veröffentlicht. Darin heisst es: "Einige Datenschutzbehörden in Deutschland scheinen die DSGVO übermässig risikoscheu auszulegen." Der Konzern wirft diesen einen "ausufernden Aufsichtsansatz" vor, der keinen Betroffenenschutz mehr verfolge und "Datenschutz zum dogmatischen Selbstzweck" mache. Auch in der jetzigen Mitteilung zur Roadmap heisst es unmissverständlich: "Die Cloud-Dienste von Microsoft entsprechen bereits den EU-Anforderungen oder gehen darüber hinaus."

Auch in der Schweiz war Kritik laut geworden. Hierzulande waren Kanton und Stadt Zürich auf der Basis von juristischen Gutachten vorgeprescht, um in ihrer Verwaltung den Einsatz von US-Clouddiensten zu vereinfachen. Daten­schützer sahen das Vorgehen ungern. Deutliche Worte fand der Eidgenös­sische Datenschutzbeauftragte Adrian Lobsiger. Er warnt in unserem Inter­view Behörden davor, sich auf die privaten Gutachten zu verlassen. Auch der Basler Datenschützer und die Datenschützerin von Zürich bemängelten die Entwicklungen. Ein wichtiges Argument von deren Seite: Die USA ist von der Liste der Daten mit sicherem Datenschutzniveau geflogen, weil es keine genügenden Garantien gegen einen Zugriff durch US-Sicherheitsbehörden gibt. Dieses Delisting gilt auch für die Tochtergesellschaften im Ausland.