Update der EU-Datenschutzgrenze: Microsoft ermöglicht Verarbeitung persönlicher Daten innerhalb der EU

Thema: Datenschutz

Maurice Grassee

Im vergangenen Jahr kündigte Microsoft die sogenannte EU-Datenschutzgrenze an, um Kunden die Möglichkeit zur Speicherung und Verarbeitung ihrer Unternehmensdaten innerhalb der EU-Datengrenze (EU Data Boundary) zu geben und so die Unsicherheit von EU-Kunden beim Einsatz von Microsoft Cloud Diensten zu verringern.
Mit der neuesten Ankündigung verkündet Microsoft nun den Abschluss der zweiten Phase der EU-Datenschutzgrenze. Somit werden persönliche Daten aus Azure, M365, Power Platform und Dynamics nicht mehr die EU verlassen.

Bereits zum 01. Januar 2023 mache Microsoft einen 3-Stufen Plan zur Etablierung einer EU-Datenschutzgrenze für Microsoft Kunden publik. Diese neue Datenschutzgrenze soll Kunden künftig die Sicherheit geben, dass Ihre Daten nicht die EU verlassen und somit auf Bedenken bei Kunden eingehen.

Welche Daten sind gemeint?

Um den 3-Stufen Plan nachzuvollziehen, werfen wir zunächst einen Blick auf die Datentypen bei Clouddiensten. Zu unterscheiden sind „Nutzdaten des Kunden“, auch Kundendaten genannt, „Signal- und Diagnosedaten“, sowie „technische Überwachsungsdaten“.
Erstgenannte Kundendaten enthalten beispielsweise Dokumente, E-Mails, Kalendereinträge oder auch ein digitales Telefonbuch. Diese Daten sind bereits seit dem 01.01.2023 in der EU-Datenschutzgrenze verarbeitbar.
Die Signal- und Diagnosedaten, auch persönliche Daten genannt, werden zu unterschiedlichen Zwecken erhoben. Sie ermöglichen einerseits mit Hilfe von heuristischen Mitteln Anomalien im Nutzungsverhalten festzustellen und so Angriffe auf ein Unternehmen aufzuspüren. Andererseits werden diese Daten pseudoanonymisiert verwendet, um die Produktentwicklung zu steuern, den Kunden einen Einblick in die Nutzung (Anwenderadaption) zu gewähren oder Abrechnungen durchzuführen.
Zudem spricht man im Cloud-Kontext noch von den technischen Überwachungsdaten, die für den ordnungsgemäßen Betrieb des Dienstes verarbeitet werden und z.B. die Erreichbarkeit und Durchsatz von Hintergrunddiensten regeln.

Welche Daten verarbeitet Microsoft nun innerhalb der EU?

Mit der neuen Ankündigung setzt Microsoft nun die zweite Phase der unten aufgeführten Roadmap um und weitet die lokale Datenhaltung und -verarbeitung auf alle Signal- und Diagnosedaten aus. Laut eigener Aussage sei Microsoft damit der erste große Cloud-Anbieter, der Kunden in Europa diese Form der Datenresidenz anbietet.

Datenschutz in M365

Aktuell wird eine Datenschutzdiskussion zwischen Microsoft und den deutschen Datenschutzbehörden geführt, die viel Beachtung in den Medien findet. In unserer Einordnung erfahren Sie, was Sie darüber wissen sollten.

Mehr erfahren

Neue Technologie für die KI-Transformation

Auf der Ignite 2023 präsentierte Microsoft eine große Bandbreite Neuerungen. Wir haben wir für Sie die wichtigsten Neuerungen zusammengefasst.

Mehr erfahren

Doch Microsoft kündigte in diesem Zuge auch weitere Neuigkeiten an.
So gibt es nun eine eigene Webseite für Kunden, die sich über Ihre Daten und deren Verarbeitungsort informieren möchten – das EU Data Boundary Trust Center. Dort werden künftig transparent Dokumentationen, Informationen und weitere Ressourcen zur Verfügung gestellt, die die EU-Datenschutzgrenze betreffen.
Zusätzlich möchte Microsoft auch das Angebot des technischen Supports weiter verbessern. So ist zeitnah geplant den Kunden einen technischen Support von Mitarbeitenden aus der EU zu garantieren. Dies wird jedoch zunächst nur gegen zusätzliche Gebühren angeboten.

Insgesamt macht Microsoft mit der neuesten Ankündigung einen weiteren Schritt, um den Datenschutz-Bedenkenträgern und Unsicherheiten von EU-Kunden beim Einsatz der Microsoft Cloud-Diensten entgegenzukommen.

Lesen Sie hierzu gerne auch unseren Beitrag EU-US Data Privacy Framework: Was Sie darüber wissen müssen.

Sie haben Fragen zu Produkten der Microsoft 365 Familie oder möchten diese auch in Ihrem Unternehmen einführen? Dann vereinbaren Sie hier direkt ein unverbindliches Erstgespräch.

*Disclaimer: Dieser Text ist keine Rechtsberatung.