Eine Cloud für Europa: Was bedeutet die Einführung der Microsoft EU Data Boundary für europäische Kunden von Microsoft-Diensten wie Azure, Dynamics 365 und Microsoft 365?

Mit der fortschreitenden Digitalisierung und dem verstärkten Einsatz von Cloud-Diensten stehen Unternehmen in Europa vor der Herausforderung, die strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten. Insbesondere die Frage, wo und wie personenbezogene Daten gespeichert und verarbeitet werden, ist für viele Organisationen von zentraler Bedeutung. Vor diesem Hintergrund hat Microsoft das sogenannte Programm „EU Data Boundary“ (zu Deutsch: „EU-Datengrenze“) ins Leben gerufen. Ziel dieser Initiative ist es, personenbezogene Daten von Kunden aus der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) ausschließlich innerhalb dieser Regionen zu speichern und zu verarbeiten. Damit möchte Microsoft nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch das Vertrauen europäischer Kunden in seine Cloud-Dienste stärken.

Das Programm gilt für zentrale Microsoft-Cloud-Dienste wie Azure, Microsoft 365 und Dynamics 365 und umfasst nicht nur klassische Kundendaten, sondern auch Telemetrie- und Diagnosedaten, pseudonymisierte Informationen sowie CRM-Daten. Damit soll ein umfassender Schutz für verschiedenste Datenkategorien gewährleistet werden.

Die Einführung der EU Data Boundary erfolgt in drei aufeinanderfolgenden Phasen:

• Phase 1: Seit dem 1. Januar 2023 werden personenbezogene Kundendaten der genannten Cloud-Dienste ausschließlich in Rechenzentren innerhalb der EU/EFTA 
  gespeichert.
• Phase 2: Im Januar 2024 wurde der Geltungsbereich auf Verarbeitungsvorgänge ausgeweitet. Das bedeutet, dass nun auch Analyseprozesse oder maschinelles Lernen – soweit technisch möglich – ausschließlich innerhalb Europas stattfinden.
• Phase 3: Seit Februar 2025 werden der technische Support sowie andere unterstützende Dienstleistungen aus der EU/EFTA heraus erbracht. Der Zugriff auf Kundendaten erfolgt dann nur noch durch Personal mit Sitz in Europa, es sei denn, der Kunde hat ausdrücklich zugestimmt oder zwingende rechtliche Gründe machen einen Zugriff von außerhalb erforderlich.

Microsoft teilt in einem Blogbeitrag zum Abschluss der Entwicklung mit, dass sich aus der EU Data Boundary für europäische Unternehmen zahlreiche Vorteile ergeben sollen: Die Speicherung und Verarbeitung innerhalb Europas soll die Kontrolle über eigene Daten erheblich stärken und das Risiko ungewollter Übertragungen in Drittländer reduzieren. Die europäische Datenspeicherung soll zudem die Einhaltung der strengen europäischen Datenschutzanforderungen erleichtern und für mehr Transparenz sorgen. Zu beachten ist jedoch, dass einige Anwendungen und Dienste individuell konfiguriert werden müssen, damit die Datenverarbeitung und -speicherung innerhalb der EU/EFTA stattfindet.

Trotz der Einführung der Microsoft EU Data Boundary bleibt ein Restrisiko für europäische Unternehmen bestehen. Insbesondere auf Grundlage des Clarifying Lawful Overseas Use of Data Act („CLOUD Act“) bleibt es amerikanischen Behörden weiterhin erlaubt, auf Daten zuzugreifen, die US-amerikanische IT-Dienstleister verwaltet werden - selbst wenn diese Daten außerhalb der USA gespeichert sind. Hinzu kommt, dass der Foreign Intelligence Surveillance Act (FISA) die gezielte Überwachung von Personen außerhalb der USA erlaubt, solange sie keine US-Bürger sind. Nicht auszuschließen ist, dass dieser auch auf innerhalb der EU gespeicherte Daten anwendbar ist. Microsoft selbst weist darauf hin, dass für globale Sicherheitsoperationen weiterhin Datenübertragungen außerhalb der EU erforderlich sein können, etwa um Cyberangriffe zu erkennen und abzuwehren. Eine absolute Abschottung gegenüber dem Zugriff durch US-Behörden und europäische Datensouveränität ist somit aufgrund der fortbestehenden Geltung amerikanischer Gesetze für US-Unternehmen nicht gewährleistet.

Auch mit der Einführung der Microsoft EU Data Boundary bleiben sämtliche Anforderungen der DSGVO für Unternehmen weiterhin bestehen. Die Nutzung der EU Data Boundary entbindet die Kunden nicht von ihrer eigenen Verantwortung für eine sichere Konfiguration ihrer Cloud-Dienste, um ihren Verpflichtungen aus der DSGVO nachzukommen und ihre eigenen Datenflüsse zu kontrollieren. Fehlerhafte Einstellungen können dazu führen, dass Daten dennoch außerhalb des vorgesehenen Gebiets verarbeitet werden. Microsofts EU Data Boundary ersetzt keine sorgfältige datenschutzrechtliche Analyse im Unternehmen. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung, die Wahrung der Betroffenenrechte sowie die Erfüllung von Dokumentations- und Informationspflichten verbleibt grundsätzlich beim Kunden als Verantwortlichen. Der EU Data Boundary stellt somit keine Freistellung oder Haftungsübernahme durch Microsoft dar, sondern ist als zusätzliche Schutzmaßnahme Microsofts im Rahmen des bestehenden europäischen Datenschutzsystems zu verstehen, um den eigenen Verpflichtungen nachzukommen und sich als datenschutzkonformer Anbieter auf dem Markt zu etablieren.

Dazu gehört auch, dass Unternehmen ihre Datenschutzerklärungen gegebenenfalls anpassen müssen, um über die neue Datenverarbeitung innerhalb der EU/EFTA sowie über verbleibende Ausnahmen transparent zu informieren. Auch die interne Datenschutzdokumentation – insbesondere das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO – sollte aktualisiert werden, um neue Datenflüsse korrekt abzubilden.

Die Einführung der Microsoft EU Data Boundary ist ein bedeutender Schritt für einen verbesserten Datenschutz und eine stärkere Kontrolle über digitale Informationen für europäische Unternehmen und Verbraucher. Sie verdeutlicht, wie internationale Anbieter auf die wachsenden Anforderungen an Datensouveränität und rechtliche Transparenz reagieren und sich den europäischen Standards anpassen. Gleichzeitig zeigt sich, dass technische und organisatorische Maßnahmen stets im Kontext globaler Rechtsrahmen betrachtet werden müssen. Für Unternehmen bleibt es daher unerlässlich, ihre Datenschutzstrategie kontinuierlich weiterzuentwickeln und an neue Entwicklungen anzupassen. Letztlich unterstreicht die Initiative die zentrale Rolle des Datenschutzes als Wettbewerbs- und Vertrauensfaktor im digitalen Zeitalter.