EU Data Boundary for the Microsoft Cloud
Microsoft kündigt EU-Datenschutzoffensive an
Alle Daten, die in EU-Ländern verarbeitet werden, sollen in der EU bleiben – verschlüsselt, noch sicherer als bisher und ohne unrechtmäßigen Zugriff durch Staaten. Und rechtmäßiger Zugriff durch US-Behörden? Hier zeigt sich Microsoft optimistisch.
Keine Verschiebung von in der EU verarbeiteten Daten in Rechenzentren von Drittstaaten, mehr Schutz durch Verschlüsselung, keinen unautorisierten Zugriff auf persönliche Daten, Diagnosedaten (Telemetrie) und Dienste-Daten, vor allem keinen »unrechtmäßigen Zugriff durch jede Regierung der Welt«, und weitere Maßnahmen, die über den von der DSGVO in der EU gesetzten Rahmen hinausgehen, hat Microsofts Chefjustiziar Brad Smith in einem Blogbeitrag angekündigt. Es betrifft die zentralen Cloud-Dienste Azure, Microsoft 365 und Dynamics 365 des Konzerns, die Microsoft in seinen Rechenzentren technologisch so anpassen will, dass bei Kunden aus dem kommerziellen und öffentlichen Sektor jene Zweifel ausgeräumt werden sollen, die sie bislang hindern, Cloud-Dienste von Microsoft und anderen US-Anbietern zu nutzen.
»Wir beginnen sofort mit der Arbeit an diesem zusätzlichen Schritt und werden bis zum Ende des nächsten Jahres die Umsetzung aller technischen Arbeiten abschließen, die für die Umsetzung erforderlich sind. Wir nennen diesen Plan EU Data Boundary for the Microsoft Cloud«, schreibt Smith und kündigt zudem einen Dialog mit Kunden und Aufsichtsbehörden an. Im Herbst soll dann ein EU-Cloud-Kundengipfel stattfinden, auf dem Microsoft zum Stand der Dinge berichten will.
EU-Cloud von Microsoft oder Gaia-X?
Die Vision eines Europas, das fit ist für das digitale Zeitalter, das die richtigen Lösungen für einen robusten Schutz von Cloud-Workloads findet, das seine eigenen hohen gesetzlichen Ansprüchen an den Datenschutz erfüllt, sie kann von Microsoft nicht nur geschrieben werden. Der Konzern ist bereit und willens, die Vision einer EU-Cloud auch technologisch umzusetzen. Es ist freilich nicht jene Datensouveränität, wie sie Befürwortern einer »echten« europäischen Cloud vorschwebt. Beispielsweise den 22 Gründungsmitgliedern von Gaia-X, die eine europäische Cloud-Infrastruktur ohne Beteiligung von Firmen mit Hauptsitz außerhalb der EU vor allem gegen US-amerikanische Hyperscaler aufbauen wollen.
Indes rollt die Cloud-Welle auch in der EU ungebremst weiter. Unternehmen in der EU können und wollen nicht warten, bis Gaia-X ihnen Alternativen bieten kann. Behörden und Schulen bleibt oft nichts anderes übrig, als Teams, Zoom oder Webex einzusetzen – allesamt Video- und Kollaborationsplattformen von US-Herstellern, die von deutschen Partnern eingerichtet werden. In der Pandemie haben die schnell zu implementierenden Lösungen gezeigt, wie Digitalisierung und Geschäftskontinuität funktionieren kann.
Heikler Punkt bleibt der Cloud Act
Dabei will Microsoft die Wirtschaft in der EU unterstützen. In Dublin soll ein »Privacy Engineering Center of Excellence« entstehen, das europäische Kunden bei der Auswahl von Cloudanwendungen in Sachen Sicherheit und Datenschutz berät. »Wir verpflichten uns, beim Aufbau von "Tech Fit 4 Europe" zu helfen«, sagt Brad Smith. Microsoft habe seit langem bewiesen, »dass wir die Anforderungen der EU-Datenschutzgesetze erfüllen und übertreffen wollen«, heißt es weiter.
Insbesondere wolle Microsoft behördliche Anfragen nach persönlichen Daten eines EU-Kunden aus dem öffentlichen Sektor oder aus der Wirtschaft anfechten - »egal von welcher Behörde -, wenn es dafür eine gesetzliche Grundlage gibt«. Im Klartext: Wo es keine solche gesetzliche Grundlage für eine Anfechtung auf Herausgabe von Daten gibt, muss Microsoft die Daten herausrücken. Das ist etwa dann der Fall, wenn sich US-Ermittlungsbehörden auf den Cloud Act berufen. In europäischer Trägerschaft einer Cloud, wie etwa Gaia-X, würde eine solche Anfrage ins Leere laufen können. Bei AWS, Microsoft Azure, Google Cloud oder entsprechende Cloud-Dienste jedes anderen Anbieters mit Hauptsitz in den USA nicht.
Microsoft werde weiterhin »alles in seiner Macht Stehende tun, um Regierungsvertreter auf beiden Seiten des Atlantiks und darüber hinaus zu ermutigen, Fragen des rechtmäßigen Zugriffs schnell zu klären«, hebt Smith auf diesen heiklen, noch immer ungelösten Punkt ab. »Wir sind optimistisch, dass es in naher Zukunft eine Lösung geben wird«, schließt der Manager seinen Blogbeitrag.
Lesen Sie mehr zum Thema
