Vor ein paar Wochen berichteten wir über die mangelnden Alternativen, die sich europäischen Firmen derzeit bieten, wenn sie ihre Cloud-Daten außerhalb der USA hosten möchten. Nachdem der EuGH im Oktober 2015 zunächst die Vereinbarung “Safe Harbor” gekippt hatte, folgte im vergangenen Juni dann auch die Lossagung von der Nachfolgeregelung “Privacy Shield” — damit war eine DSGVO-konforme Datensicherung für europäische Unternehmen nur noch unter zumeist unwirtschaftlichen Bedingungen möglich, da US-Anbieter aus Datenschutzsicht nicht mehr zugänglich waren.
Dass dieser Zustand kein dauerhafter bleiben könne, deuteten zuletzt auch mehrere deutsche Datenschutzexperten an, die sich zwar einerseits für eine Überprüfung heimischer Unternehmen hinsichtlich der Einhaltung der DSGVO-Richtlinien aussprachen, andererseits aber schon im Rahmen der Ankündigung ihrer Prüfungsabsichten einräumten, dass die Unternehmen eben auch kaum wirkliche Alternativen am Markt besäßen.
Vor diesem Hintergrund ist es somit höchste Zeit, dass die mit der heutigen Mitteilung verknüpfte neue Microsoft-Produktoffensive Abhilfe schafft: „Wir werden Ihre Daten nicht nach außerhalb der EU verschieben müssen“, so Microsoft-Präsident Brad Smith im heute veröffentlichten Blogeintrag.
Die Regelung (von Microsoft selbst als “Datengrenze” bezeichnet) gilt für Kunden in Unternehmen und der öffentlichen Verwaltung, die die Cloud-Dienste Azure, Microsoft 365 (inkl. Microsoft Office und Teams) und Dynamics 365 nutzen; für Privatnutzer gilt sie hingegen nicht.
Unter Datenschützern herrscht jedoch bereits erste Skepsis, wie weitreichend die angekündigte Lösung wirklich ist: “Da US-Rechtsvorschriften amerikanische Unternehmen auch dazu verpflichten, außerhalb der USA verarbeitete Daten auf Anforderung herauszugeben, sind damit keineswegs alle Transferprobleme gelöst“, so beispielsweise der Datenschützer Stefan Brink gegenüber dem Handelsblatt.
Microsoft konterte, dass die Verschlüsselung der eigenen Datenbestände auf Wunsch in Kundenhand selbst läge und das amerikanische Unternehmen autonom verschlüsselte Daten demnach auch selbst nicht entkrypten könne, was eine eventuell forcierte Weitergabe an US-Behörden zwar nicht unterbinden, aber für letztere unfruchtbar gestalten würde. Dass eine Verschlüsselung der eigenen Daten die tagesgeschäftlichen Verarbeitungsprozesse auf Kundenseite jedoch stark erschwert, ist ein weiterer nachvollziehbarer Kritikpunkt der deutschen Datenschützer, die demnach auch in diesem neuerlichen Kompromiss keine Dauerlösung sehen.
Ungeachtet dessen kann diese Entwicklung dennoch als positiv gesehen werden, da neben Microsoft zuletzt auch andere große Player wie AWS oder Cisco europäischen Unternehmen zusätzliche Garantien bei Datentransfers einräumten — “ein eindeutiger Erfolg der DSGVO”, so Brink.
https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/