Microsoft will «EU-Datengrenze» einführen

Microsoft hat eine weitreichende Produktoffensive gestartet, um auf Datenschutzbedenken in Europa einzugehen. Kunden des Softwaregiganten in der Europäischen Union sollen künftig ihre Daten bei Microsoft ausschliesslich in der EU verarbeiten und speichern lassen können. «Wir werden Ihre Daten nicht ausserhalb der EU verschieben müssen», kündigte Microsoft-Präsident Brad Smith am in einem Blog-Eintrag an.

Microsoft reagiert damit auf zwei Urteile des Europäischen Gerichtshofs (EuGH) zum Datenaustausch zwischen den USA und Europa. Auf Betreiben des Datenschutzaktivisten Max Schrems hatte der Gerichtshof zunächst im Oktober 2015 die Vereinbarung «Safe Harbor» gekippt. Im vergangenen Juni brachte Schrems vor dem EuGH auch die Nachfolgeregelung «Privacy Shield» zu Fall (Computerworld berichtete). In der Folge strich auch Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, die USA von der Liste der Staaten mit angemessenem Schutz für Schweizer Daten.

Mit den beiden Urteilen war der kommerziellen Datenübertragung in die USA in grossen Teilen das rechtliche Fundament entzogen worden. Nach Ansicht des EuGH existiert in den USA kein vergleichbares Datenschutzniveau wie in der EU. Kritisch gesehen wird vor allem das US-Gesetz «Cloud Act», das den US-Geheimdiensten umfassende Rechte beim Zugriff auf die Daten der Firmen einräumt. Die neue US-Regierung unter Präsident Joe Biden hatte sich zuletzt offen gezeigt, mit der EU eine neue umfassende Datenschutzvereinbarung abzuschliessen.

Im Blog-Post bezeichnet Smith das neue Microsoft-Angebot als «EU Data Boundary for the Microsoft Cloud». Diese «EU-Datengrenze» richtet sich ihm zufolge an Unternehmenskunden und die öffentliche Verwaltung, nicht aber an private Anwender. Laut dem Microsoft-Präsident wird die Verpflichtung für alle zentralen Cloud-Dienste von Microsoft gelten – Azure, Microsoft 365 (inklusive Microsoft Office und Teams) und Dynamics 365.

Unklar bleibt aber, ob die Datengrenze die rechtlichen Unsicherheiten beim Datentransfer zwischen Europa und den USA beseitigen kann. Dem Vernehmen nach ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Das Unternehmen aus dem US-Bundesstaat Washington unterliegt damit der US-Rechtssprechung.

Das Zugriffsrecht der US-Dienste könnte allerdings technisch ausgehebelt werden, wenn die Kunden ihre Clouddaten selbst wirksam schützen. «Viele unserer Dienste legen die Kontrolle über die Verschlüsselung der Daten in die Hände der Kunden», erklärte Microsoft-Präsident Smith. Dabei kämen Schlüssel zum Einsatz, die nicht von Microsoft verwaltet werden, sondern von den Kunden selbst. «Wir schützen die Daten unserer Kunden vor dem unrechtmässigen Zugriff durch jede Regierung der Welt», erklärte Smith.