Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa. Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen. Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft – Azure, Microsoft 365 und Dynamics 365. Mit dieser Maßnahme gehen wir über unsere bestehenden Zusagen bei der Datenspeicherung hinaus. Wir sprechen von einer „EU Data Boundary for the Microsoft Cloud“, einer EU-Datengrenze für unsere Cloud-Lösungen.
Dieser Schritt baut auf unserem bereits jetzt starken Angebot an Lösungen und Verpflichtungen zum Schutz der Daten unserer Kunden auf. Hiermit verbinden wir aber das Ziel, die Wünsche unserer Kunden nach Datenresidenz innerhalb der Europäischen Union noch besser zu erfüllen. Wir werden in den kommenden Monaten einen engen Austausch mit unseren Kunden und den Aufsichtsbehörden pflegen, auch aufgrund von notwendigen Anpassungen in Bereichen wie der Cybersicherheit, und wir werden ihre Rückmeldung in die Entwicklung einbeziehen.
Bereits jetzt erfüllen Microsofts Cloud-Services die Vorschriften der EU – auch ohne die Neuerungen, die wir heute vorstellen. Unternehmenskunden und Kunden der öffentlichen Hand können Daten in der EU speichern. Viele Azure-Services lassen sich so konfigurieren, dass Daten auch innerhalb der EU verarbeitet werden. Zudem bieten wir ihnen hochwirksame Verschlüsselungen und robuste Lockbox-Lösungen an, die den derzeitigen regulatorischen Vorgaben entsprechen. Bei vielen unserer Services liegt die Kontrolle über die Verschlüsselung der Daten durch die Verwendung von kundenverwalteten Schlüsseln in den Händen der Kunden selbst. Zudem schützen wir die Daten unserer Kunden zusätzlich vor unzulässigem Zugriff durch staatliche Stellen.
Wir haben bereits mit den technischen Vorbereitungen begonnen, damit unsere zentralen Cloud-Services so schnell wie möglich sämtliche personenbezogenen Daten unserer Unternehmenskunden und Kunden der öffentlichen Hand nur noch in der EU speichern und verarbeiten können, wenn sie das wünschen. Diese Arbeiten umfassen alle personenbezogenen Daten in Diagnosedaten sowie in Daten, die von unseren Services automatisch generiert werden. Eingeschlossen sind auch personenbezogene Daten, die wir zur Bereitstellung von technischem Support verwenden. Wir werden technische Schutzmaßnahmen wie Lockboxen oder vom Kunden verwaltete Verschlüsselungen für Kundendaten auf die zentralen Cloud-Dienste von Microsoft ausweiten. Im Herbst dieses Jahres werden wir auf einem „European Cloud Customer Summit“ mit unseren Kunden gemeinsam über die weitere Entwicklung sprechen.
Das heutige Update ist Teil unseres Engagements für das Programm „Ein Europa für das digitale Zeitalter“, das die Europäische Kommission bis 2024 umsetzen will. Mit unserem Angebot bekennen wir uns zu der Rolle, die der Technologiesektor bei der Verwirklichung dieser Ziele spielen muss.
Zu unserem Programm gehört aber nicht nur die Verarbeitung personenbezogener Daten in Europa. Wir werden zudem in Dublin, Irland, ein „Privacy Engineering Center of Excellence“ aufbauen, um unsere europäischen Kunden bei der Auswahl der richtigen Lösung für die Implementierung eines wirksamen Datenschutzes in ihre Cloud-Arbeitsprozesse zu unterstützen und um regulatorische Anforderungen zu erfüllen. Wir wollen damit einen weiteren Beitrag dazu leisten, Tech Fit for Europe zu machen und digitale Lösungen auf der Grundlage europäischer Werte und Regeln zu entwickeln.
Die EU-Datengrenze für die Microsoft Cloud baut auf unseren erheblichen Investitionen in eine europäische Rechenzentrums-Infrastruktur auf. Für das Programm werden wir Rechenzentren nutzen, die wir in 13 Ländern bereits betreiben oder angekündigt haben: Deutschland, Österreich, Frankreich, Dänemark, Griechenland, Irland, Italien, die Niederlande, Norwegen, Polen, Spanien, Schweden und die Schweiz. In diesen Rechenzentren betreiben wir Cloud-Services, die unseren europäischen Kunden dabei helfen, ihre Ziele im Hinblick auf die digitale Transformation zu verwirklichen und ihre Wettbewerbsfähigkeit zu steigern – mit der Gewissheit, dass sie das in Übereinstimmung mit allen geltenden Gesetzen und Vorschriften tun können. Neben unseren Kunden in EU-Ländern werden wir das Angebot auch für Kunden in Norwegen und der Schweiz verfügbar machen.
Wir engagieren uns seit langem, um die Anforderungen der EU-Datenschutzbestimmungen zu erfüllen oder zu übertreffen. So haben wir uns als erstes großes Technologieunternehmen klar zu den Regelungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) bekannt und die grundlegenden Rechte der DS–GVO auf Verbraucher*innen weltweit ausgedehnt.
Darüber hinaus haben wir nach dem Entwurf des European Data Protection Board (EDPB) für Empfehlungen zu Maßnahmen infolge der Schrems-II-Entscheidung die Initiative Defending Your Data angekündigt, die über die Empfehlungen des EDPB hinausgeht: Wir werden jede Anfrage einer staatlichen Stelle nach persönlichen Daten eines EU-Kunden aus dem öffentlichen Sektor oder der freien Wirtschaft anfechten – egal von welcher Behörde –, wenn es dafür eine rechtliche Grundlage gibt. Und wir werden Nutzer*innen unserer Kunden eine finanzielle Entschädigung anbieten, wenn wir ihre Daten unter Verletzung der DSGVO offenlegen müssen und dadurch einen Schaden verursachen.
Microsoft wird weiterhin alles tun, um Regierungsvertreter*innen auf beiden Seiten des Atlantiks und anderswo zu ermutigen, Fragen des rechtmäßigen Zugangs zu Daten schnell zu klären. Optimistisch stimmen uns die laufenden Gespräche zwischen der Europäischen Kommission und der Regierung der Vereinigten Staaten über einen neuen Rahmen zum Schutz personenbezogener Daten, die in die Vereinigten Staaten übertragen werden. Wir sind zuversichtlich, dass es in naher Zukunft Lösungsansätze geben wird.
Mehr Informationen für unsere Kunden sind hier zu finden. Den englischsprachigen Original-Blogpost finden Sie hier.
Ein Beitrag von Brad Smith
President und Chief Legal Officer bei Microsoft