Microsoft kündigt europäische "Datengrenze" an

6. Mai 2021, 09:20
image

Künftig werden EU-Kundendaten ausschliesslich in der EU verarbeitet und gespeichert. Was dies für die Schweiz heisst.

"Wir werden Ihre Daten nicht ausserhalb der EU verschieben müssen", kündigte Microsoft-Präsident Brad Smith in einem Blog-Eintrag an. Dies bedeute, dass Kunden künftig ihre Daten bei Microsoft ausschliesslich in der EU verarbeiten und speichern lassen können.
"Diese Verpflichtung wird für alle Core-Cloud-Dienste von Microsoft gelten – Azure, Microsoft 365 und Dynamics 365. Wir beginnen sofort mit der Arbeit an diesem zusätzlichen Schritt und werden bis zum Ende des nächsten Jahres die Implementierung aller technischen Arbeiten abschliessen", so Smith weiter.
Angesprochen sind damit sowohl Firmen wie staatliche Organisationen.
Laut der Ankündigung umfasst der Plan "alle personenbezogenen Informationen in Diagnosedaten und Service-generierten Daten sowie personenbezogene Daten, die wir zur Bereitstellung von technischem Support verwenden. Wir werden auch technische Kontrollen wie Lockbox und vom Kunden verwaltete Verschlüsselung für Kundendaten auf die zentralen Cloud-Dienste von Microsoft ausweiten", erklärt Smith.
Mit dem Plan hat der Konzern auch die Schweizer Kunden im Visier: Neben den Kunden in den EU-Mitgliedsstaaten sollen auch Microsoft-Kunden in der Schweiz und in Norwegen Zugang zur "Datengrenze" haben.

Warum die USA als "unsicheres Drittland" gilt

Microsoft reagiert damit auf zwei Urteile des Europäischen Gerichtshofs (EuGH) zum Datenaustausch zwischen den USA und Europa, die auch der Schweizer Datenschützer (Edöb) inhaltlich unterstützt: "Auch wenn das Schrems-II-Urteil für die Schweiz nicht anwendbar ist und wir noch keine diesbezügliche Rechtsprechung haben ist der Edöb der Ansicht, dass der Art. 6 DSG bei Datenübermittlungen ins Ausland anwendbar ist, die USA gelten folglich als 'unsicheres Drittland'", antwortete der Edöb bezüglich der Personendaten inside-it.ch, die beispielsweise Schweizer Mailchimp-Kunden in USA speichern.
Auf Betreiben des Datenschutzaktivisten Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die Vereinbarung "Safe Harbor" gekippt. Im Juni 2020 brachte Schrems vor dem EuGH auch die Nachfolgeregelung "Privacy Shield" zu Fall. Mit den beiden Urteilen war der Datenübertragung in die USA in grossen Teilen das rechtliche Fundament entzogen worden.
Nach Ansicht des EuGH existiert in den USA kein vergleichbares Datenschutzniveau wie in der EU. Kritisch gesehen wird vor allem das US-Gesetz "Cloud Act", das den US-Geheimdiensten umfassende Rechte beim Zugriff auf die Daten der Firmen einräumt. Die neue US-Regierung unter Präsident Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfassende Datenschutzvereinbarung abzuschliessen.
Unklar bleibt aber, ob die Datengrenze die rechtlichen Unsicherheiten beim Datentransfer zwischen Europa und den USA beseitigen kann. Dem Vernehmen nach ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington unterliegt damit der US-Rechtssprechung.
Das Zugriffsrecht der US-Dienste könnte allerdings technisch "ausgehebelt" werden, wenn die Kunden ihre Clouddaten selbst wirksam schützen. Damit gemeint ist die neue Double Key Encryption-Möglichkeit, die beispielsweise HSM-Anbietern einen neuen Markt eröffnet.
"Wir schützen die Daten unserer Kunden vor dem unrechtmässigen Zugriff durch jede Regierung der Welt", erklärte Smith die Verantwortung Microsofts. Irgendwann allerdings könnte der Transfer von Personendaten aus Europa in die USA wieder möglich werden. Smith zeigte sich optimistisch, dass man sich einigen werde.
Der Schweizer Edöb rät aktuell zu einer Risikoanalyse, wenn Firmen US-Tools einsetzen, die Daten in die USA übermitteln oder dort speichern.

Loading

Mehr zum Thema

image

Microsoft hostet E-Mail-Adressen des Schweizer Parlaments

Die Datenhaltung in der Schweiz ist von Microsoft vertraglich zugesichert. Die Lizenzen kosten 600 Franken pro Ratsmitglied und Jahr.

publiziert am 6.10.2022
image

Bei Adesso kann man nun auch CISOs mieten

Der IT-Dienstleister erweitert sein Security-Service-Angebot.

publiziert am 6.10.2022
image

Ex-Uber-CSO wegen Vertuschung von Datendiebstahl verurteilt

Dem ehemaligen Sicherheitschef droht eine mehrjährige Haftstrafe. Das Urteil könnte die Art und Weise verändern, wie Security-Experten mit Datenschutzverletzungen umgehen

publiziert am 6.10.2022
image

BIZ macht Vorschläge für Bigtech-Regulierungen

Damit die grossen Tech-Unternehmen im Finanzbereich keine marktbeherrschende Stellung einnehmen können, werden im Institut zwei verschiedene Ansätze diskutiert.

publiziert am 5.10.2022