Die Ausrollung einer Europäischen Datengrenze von Microsoft: Verringerung des Datenflusses in die USA und erhöhte Datensicherheit

Mit Beginn des Jahres 2023 startet Microsoft mit dem Rollout und der Umsetzung einer Europäischen Datengrenze.

Microsoft-Kunden haben damit die Möglichkeit, ihre Daten unabhängig von der European Data Boundary für Microsoft 365, Azure, Power Plattform und Dynamics 365 Services zu verarbeiten und zu sichern.

Dieser Release bringt einen deutlich reduzierten Datenfluss aus Europa in die Vereinigten Staaten und ermöglicht es Kunden, auf bestehende lokale Speicher- und Verarbeitungszusagen von Microsoft zuzugreifen. Des Weiteren sorgt dieser Schritt aufgrund der lokalen Datenverarbeitung für eine höhere Datensicherheit. Dafür hat Microsoft mehr als 17 Rechenzentren aufgebaut, die als lokale Speicherplätze innerhalb der EU genutzt werden können.

Microsoft hat bereits die notwendigen Anträge für die Europe Data Boundary gestellt und die Rahmenziele der Ausrollung gesteckt. Diese bieten den perfekten Überblick über die Datenverarbeitung und Ziele, um mehr Transparenz für die Endbenutzer zu schaffen.

Mit Microsoft haben gewerbliche und öffentliche Kunden die Auswahl und Flexibilität, die sie benötigen, um Hyperscale-Produkte auf dem neuesten Stand der Innovation zu nutzen und gleichzeitig gesetzliche Anforderungen und branchenspezifische Standards zu erfüllen.

Rollout-Roadmap

Microsoft hat hierfür eine Roadmap mit drei Phasen für die European Data Boundary erstellt, um die Qualität zu sichern und Transparenz über den Rollout, die Zeitpläne und die kontinuierlichen Verbesserungen zu schaffen.

Der Start der ersten Phase ist auf den 1. Januar 2023 datiert. Microsoft wird in diesem Schritt die Kundendaten speichern und verarbeiten. Wenn die Daten richtig konfiguriert sind, werden sie in der entsprechenden Region verarbeitet und gespeichert. Die EU Data Boundary baut auf bestehenden lokalen Speicherverpflichtungen auf und ermöglicht es Kunden aus dem öffentlichen Sektor und der Wirtschaft, ihre Daten besser zu kontrollieren. Im Rahmen der ersten Phase wird Microsoft eine ausführliche Dokumentation zu den EU Data Boundary-Verpflichtungen sowie Einzelheiten zu begrenzten Übertragungen von Kundendaten außerhalb der EU veröffentlichen, z. B., wenn dies zur Aufrechterhaltung der Sicherheit und Zuverlässigkeit des Dienstes erforderlich ist.

Die zweite Phase umfasst die pseudonymisierten personenbezogenen Daten. Microsoft achtet auch darauf, die Dokumentation zu aktualisieren und alle weiteren begrenzten Übertragungen detailliert zu beschreiben.

Künftig soll die Möglichkeit geschaffen werden, Daten, die Microsoft im Rahmen des technischen Supports übermittelt werden, zu verarbeiten und zu speichern. Da der Prozess dazu übergeht, Supportdaten innerhalb der EU-Datengrenze zu verarbeiten, soll es nur noch vereinzelte Situationen geben, in denen ein Fernzugriff auf grenzüberschreitende Systeme oder Daten erforderlich sein kann, um wichtigen Kundensupport zu leisten und die Dienste zu warten, zu sichern und zu betreiben. Der erforderliche Fernzugriff erfolgt über sichere Remote-Workstations, damit die Daten auch innerhalb der EU-Datengrenze nicht gelöscht werden.

Schulische Nutzung der Microsoft 365 (ehemals Office 365) Cloud

Viele Schulen verfügen bereits über eine IT-Infrastruktur mit Kommunikations- und Lernelementen, die schulrechtlich vorgeschriebene und/oder von der Schule ausgewählte Plattformen enthalten. Verantwortlich für die Verarbeitung von personenbezogenen Daten an einer Schule ist die Schulleitung. Aufgrund der Anweisung der Landesdatenschutzbeauftragten Baden-Württembergs, die Nutzung von Microsoft 365 einzustellen, wird intensiv nach einer Alternativlösung gesucht, um vor allem Microsoft Teams weiterhin an Schulen für die tägliche Kommunikation zu nutzen. Hierfür bietet Microsoft mit der European Data Boundary einen Lösungsansatz, der die zukünftige Nutzung von Microsoft365 sicherstellen könnte.

Alternativ dazu kann in Absprache mit dem jeweiligen Bundesland die Umsetzung empfohlener Sicherheitsmaßnahmen und eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden. Dies dient zur Absicherung und Konformität der vorgegebenen Datenschutzrichtlinien und ermöglicht eine temporäre Nutzung von Microsoft 365 bis die European Data Boundary ausgerollt ist.