Update zum Microsoft EU Boundary Program – Datenverarbeitung in Europa

Am heutigen 16.12.2021 veranstaltet Microsoft mit dem Führungskreis ein lange erwartetes Webinar zum EU Boundary Program mit erhofften Ankündigung zu den drängenden Fragen des Datenschutzes. 

Hauptpunkte in der Kurzfassung

 

  • SprecherInnen
    • Julie Brill
    • Raph Haupter
    • Paul Lorimer
    • Rob Lefferts
  • Compliance heute
    • GDPR
    • Schrems II
    • neue EU Standardvertragsklauseln
    • Regeln zum Transfer in die USA / Zugriff
  • Microsoft Commitments
    • Defending your data
    • EU Boundary Program
  • Support
    • sichere VDI Umgebung in Europa mit Aufschalten der Engineers 
    • Transfer auf Null
    • Zugriff nur per Windows Virtual Desktop auf Pers. Daten in Europa
    • Reduzierung der Zugriffsmöglichkeiten über Fisa702
    • Microsoft ist überzeugt, dass diese Lösung US Recht aushebelt. 
  • Security
    • Analyse in den USA, Transfer der Daten verschlüsselt
      • nur kritische Angriffe
      • Multinationale Angriffe
      • Malware
    • Reduzierung von Unterauftragnehmern
  • Frage und Antwort

Fristen

Alle Kundendaten in Europa gespeichert und verarbeitet! 

  • Microsoft 365
  • Dynamics 365
  • PowerPlatform

Azure / Hier ist zu differenzieren, je nach Dienst.

Ende 2022
Support nur aus Europa (First Touch) Ende 2022
Support nur über VDI, wenn Zugriff aus Drittländern, wie USA zwingend notwendig Ende 2022
Cybersecurity critical Incidents übertragung in die USA zur Analyse Begrenzung Ende 2022
   

 

  1. Heute arbeiten unsere Dienste im Einklang mit dem europäischem Recht
  2. Microsoft investiert wiederholt für das EU Data Boundary sicherstellen, dass die personenbezogenen Daten in der EU verarbeitet und gespeichert werden.
  3. Wir werden auch in Zukunft erstklassige Sicherheits- und Supportdienste anbieten und dabei mitunter die Technologie der virtuellen Desktop-Infrastruktur nutzen.
  4. Wir erfassen Daten, die für kritische Cybersicherheitsfunktionen benötigt werden, als Reaktion auf eindeutige und zwingende Sicherheitsbedürfnisse und verwenden sie nur zu diesem Zweck.
  5. Microsoft ist auf dem besten Weg, die Grenze bis Ende 2022 zu implementieren.

 

Zusammenfassung und Slides

Anmeldeseite: https://info.microsoft.com/CO-NOGEP-WBNR-FY22-12Dec-16-EU-Data-Boundary-Customer-Summit-6726_LP01-Registration—Form-in-Body.html

Nach einem Beginn und Einführung von Ralph Haupter übernimmt Julie Brill.

Julie Brill beginnt mit der Darstellung aktueller Regulatorik mit dem EDPB über Schrems2 und der DSGVO. 

Dann stellt Sie vor, wie Sie diese Herausforderungen bewältigen wollen:

  1. Implementieren der EU Standardvertagsklauseln
  2. Vereinfachtes, konsolidiertes Addendum zum Datenschutz
  3. Dokumentation des Datenflusses und Transfers
  4. Verschlüsselung, Pseudonmisierung, Datenminimierung und begrenzter Zugriff

Sie betont auch wieder, dass schon heute die Microsoft Dienste im Einklang mit dem europäischem Recht und Regulatorik arbeitet. 

Dann stellt Sie nochmal die beiden Programme for. 

Erläutert auch nochmal das EU Data Boundary Program. 

  • personenbezogene Daten der Kunden werden bis Ende 2022 nur in der EU verarbeitet
    • Business/Enterprise Kunden und öffentlicher Sektor  // keine private Kunden (Consumer)
  • Speicherung und Verarbeitung nur innerhalb der EU
  • für folgende Dienste
    • Azure
    • Microsoft 365
    • Dynamics 365
    • Power Platform
  • technische und prozessuale Veränderungen, um dies zu erfüllen und das Feedback von Kunden und Regulatoren zu erfüllen.

Im Anschluss kam Paul Lorimer.

Microsoft verarbeitet nach den folgenden Prinzipien: 

  • Transparenz
  • Isolation
  • Limitierung

 

Feedback zum Webinar

Das Webinar war mit hochkarätigen SprecherInnen ausgestattet, so war neben Julie Brill auch Ralph Haupter dabei. Dennoch fehlten im Webinar konkrete Angaben zu:

  • konkrete Produkte, die in die EU umgezogen werden (z.B. Sway, Kaizala?)
  • konkreter Zeitplan bis wann genau welche Produkte umgezogen werden?
  • konkrete Übersichten, wie welche Daten fließen?
  • Konkrete Informationen, welche Daten durch Microsoft zu eigenen Zwecken verarbeitet werden

 

 

 

Postings zum Webinar

Blogpost zum Webinar

https://blogs.microsoft.com/eupolicy/2021/12/16/eu-data-boundary-for-the-microsoft-cloud-a-progress-report/

Übersetzung

“Der heutige Tag war ein wichtiger Meilenstein auf unserem Weg zur Schaffung der EU-Datengrenze für die Microsoft Cloud. Anfang dieses Jahres haben wir eine neue Verpflichtung für unsere Kunden aus dem öffentlichen Sektor und der Wirtschaft in der EU und der EFTA angekündigt: Wir haben ihnen versprochen, dass sie bis Ende 2022 alle ihre Daten in der EU verarbeiten und speichern können. Unsere Dienste werden weiterhin in Übereinstimmung mit den europäischen Gesetzen und Vorschriften betrieben. Mit diesem ehrgeizigen Plan gehen wir jedoch über unsere bisherigen Verpflichtungen und rechtlichen Anforderungen hinaus, um den Wünschen und Erwartungen unserer Kunden in Bezug auf eine verstärkte Datenspeicherung und -kontrolle gerecht zu werden und Europa bei der Verwirklichung seiner digitalen Ambitionen zu unterstützen.

Seit unserer ersten Ankündigung im Mai haben wir mit den notwendigen technischen Arbeiten begonnen und Feedback eingeholt, um die Bedürfnisse und Prioritäten unserer Kunden besser zu verstehen und zu berücksichtigen. Diese Gespräche haben uns erneut bestätigt, wie wichtig Daten und die Kontrolle über Daten für unsere EU-Kunden sind, damit sie die Cloud vertrauensvoll annehmen und datengesteuerte Innovationen fördern können. Diese Gespräche haben auch die tiefgreifende Verantwortung unterstrichen, die wir als Hüter dieser Daten haben.

Auf der Grundlage dessen, was wir von unseren Kunden gehört haben, haben wir heute einen EU-Cloud-Kundengipfel einberufen, um weitere Einzelheiten über unsere Fortschritte und die nächsten Schritte zu erfahren. Die Updates, die wir zur Verfügung gestellt haben, sowie unsere laufenden Pläne spiegeln das Kundenfeedback wider, das wir in den letzten Monaten erhalten haben, und die heutige Diskussion war eine weitere Gelegenheit für unsere Kunden, den weiteren Weg mitzugestalten.

Hier sind einige der Investitionen, die Microsoft für die EU-Datengrenze bis Ende 2022 tätigt.

Rechenzentren sind das Herzstück der Verarbeitungs- und Speicherkapazitäten unserer Kunden. Wir verfügen bereits über die weltweit größte Cloud-Infrastruktur mit mehr als 60 angekündigten Rechenzentrumsregionen, und wir fügen weitere Rechenzentren hinzu und erhöhen die Kapazität in unseren bestehenden Rechenzentren in der EU. Seit Mai haben wir ein neues Rechenzentrum in Schweden eröffnet und einen weiteren Standort in Belgien angekündigt, der eine lokale Datenresidenz und einen schnelleren Zugriff auf die Cloud bietet.

Die Arbeiten zur Entwicklung unserer Kerndienste für Unternehmen zur Speicherung und Verarbeitung von Kunden-, Support- und anderen personenbezogenen Daten in der EU verlaufen planmäßig und werden bis Ende 2022 abgeschlossen sein.

Darüber hinaus bauen wir unser Kundensupportpersonal in der EU weiter aus und gestalten unsere Tools so um, dass Supportdaten in der EU gespeichert und verarbeitet werden können. Wir werden sicherstellen, dass keine Supportdaten physisch außerhalb Europas übertragen werden. Als ergänzende Maßnahme werden wir auf Technologien wie die virtuelle Desktop-Infrastruktur (VDI) zurückgreifen, um den Fernzugriff auf nur Teile von Daten zu ermöglichen, und zwar im Rahmen von Zugangskontrollen und anderen Maßnahmen, die die vom Europäischen Gerichtshof und dem Europäischen Datenschutzausschuss erörterten Fragen betreffen. VDI verwendet auch Screen-Rendering, wodurch die Notwendigkeit einer physischen Datenübertragung oder -speicherung außerhalb der EU-Datengrenze vermieden wird, was es uns ermöglicht, jederzeit die bestmöglichen Support- und Technikressourcen für unsere Kunden innerhalb der EU-Datengrenze einzusetzen.

Angesichts der steigenden Zahl von Cyberbedrohungen sind wir verpflichtet, die Daten unserer Kunden vor immer raffinierteren und geschickteren Angreifern zu schützen. Sicherheit ist in der Tat ein Kernelement des Datenschutzes. Innerhalb der EU-Datengrenze werden wir die gleichen erstklassigen Sicherheitsfunktionen anbieten, die wir auch allen unseren Cloud-Kunden zur Verfügung stellen. Die Analyse von über 24 Billionen Sicherheitssignalen alle 24 Stunden erfordert, dass wir globale Bedrohungsdaten sammeln und bewerten, um bösartige Aktivitäten zu erkennen, darauf zu reagieren und sie zu beseitigen. Wir müssen sicherstellen, dass unsere in Europa ansässigen Kunden die gleiche erstklassige Sicherheit erhalten wie unsere Kunden auf der ganzen Welt. Jegliche Datenübermittlung außerhalb der EU zu Sicherheitszwecken wird auf das für diesen Zweck erforderliche Maß beschränkt. Auf diese Weise können wir die sichere Umgebung bieten, die unsere Kunden erwarten, und gleichzeitig die regulatorischen Anforderungen erfüllen, indem wir nicht zusammenhängende Sekundärnutzungen verbieten und zusätzliche ergänzende Maßnahmen umsetzen.

Wir verpflichten uns weiterhin, unseren Kunden eine solide Transparenz über unsere Praktiken und die Fortschritte bei der Umsetzung der EU-Datenschutz-Grenze zu bieten. Wir hören uns weiterhin das Feedback unserer Kunden an und sind bestrebt, die Bedürfnisse unserer Kunden zu erfüllen und ihre Daten sicher zu verwahren.

Es gibt viel zu tun im kommenden Jahr – wir sind bereit!”

 

Blog zur Infrastruktur

https://blogs.microsoft.com/on-the-issues/2021/12/06/protecting-data-infrastructure-privacy/

Übersetzung

 

m Jahr 1824 wurde die Avenue des Champs-Élysées in Paris, Frankreich, die erste asphaltierte Straße. Die Champs-Élysées ebnete buchstäblich den Weg für die Zukunft der Stadt und führte eine neue physische Infrastruktur ein, die die Art und Weise veränderte, wie sich die moderne Gesellschaft bewegte, arbeitete, lebte und sich organisierte.

Regierungen, die Zivilgesellschaft und die Industrie beginnen, den Wert von Daten für die Gesellschaft genauso zu erkennen, wie sie vor 200 Jahren die Bedeutung von Verkehrswegen erkannt haben. So wie diese Straßen eine neue Ära der physischen Infrastruktur einläuteten, die der Gesellschaft damals zum Gedeihen verhalf, beginnen wir heute zu verstehen, dass wir in moderne Konzepte für unsere Dateninfrastruktur investieren müssen, die das Wirtschaftswachstum und die Innovation fördern, die Eigenverantwortung des Einzelnen unterstützen und uns vor Schaden schützen.

Während der Pandemie haben wir viele anschauliche Beispiele für den Wert unserer Dateninfrastruktur und ihr außerordentliches Potenzial gesehen, der Menschheit durch notwendige Fortschritte in der Gesundheitsversorgung und Forschung zu helfen.

Die Covid-19-Krise wurde zur Mutter der Erfindung, die Organisationen auf der ganzen Welt dazu veranlasste, ihren Ansatz zu ändern, um einen umfassenderen Datenaustausch zu ermöglichen und gleichzeitig vertrauenswürdige Rahmenbedingungen zu schaffen, die den Datenschutz verbessern. Wir haben auch gesehen, dass der Mangel an Klarheit über die regulatorischen Anforderungen für Gesundheitsdaten einen verantwortungsvollen Austausch behindert hat und dass in einigen Teilen der Welt wichtige Forschungsarbeiten ausgesetzt wurden oder gefährdet sind.

Regulierung des Datenschutzes: wichtige Unterstützung für unsere Dateninfrastruktur

Eine der Lehren, die wir aus der Pandemie ziehen sollten, ist, dass wir die Art und Weise, wie wir über Daten und Regulierung sprechen, neu gestalten müssen. Die Frage, die sich die Zivilgesellschaft, die Wirtschaft, die Wissenschaft und die Regierungen stellen sollten, lautet nicht, ob wir Daten nutzen können, sondern wie wir eine verantwortungsvolle Datennutzung ermöglichen können, um eine bessere Welt zu schaffen und grundlegende Menschenrechte zu schützen.

Parallel zu dieser neuen Sichtweise brauchen wir neue Metaphern, um zu beschreiben, dass Daten ein entscheidender Baustein für unsere künftige Wirtschaft sind. Anstatt von Daten als “dem neuen Öl” zu sprechen, wie es Akademiker, Politiker und Branchenführer seit Jahren behaupten, sollten wir anfangen, über Daten als “Infrastruktur” nachzudenken, die die Grundlage für den Aufbau einer widerstandsfähigen und verantwortungsbewussten globalen Gesellschaft bilden wird.

So wie unsere physische Infrastruktur aus Straßen und Autobahnen angemessen genutzt, gewartet und geschützt werden muss, gilt dies auch für unsere Dateninfrastruktur. Um den Nutzen unserer Datennutzung zu maximieren und den Schaden zu minimieren, brauchen wir Datenschutzbestimmungen als globale Verkehrsregeln, die unsere Fähigkeit zur grenzüberschreitenden Datennutzung und -weitergabe bewahren, unterstützt durch innovative Instrumente und Lösungen, die die Privatsphäre schützen und den Einzelnen stärken.

Ein starkes regulatorisches Fundament mit klaren Leitplanken wird es unserer Dateninfrastruktur ermöglichen, zu gedeihen.

New approaches to regulation to support our data infrastructure

As we reframe our focus to support data use, let’s examine the regulatory approaches that have been working, and develop new approaches where needed to enable the responsible use and sharing of data.

Among the approaches we should consider:

  • Incentivize the use of privacy enhancing technology and operational controls. In many circumstances, the most impactful data will be personal data. Modern regulatory infrastructure needs to encourage protections for the responsible use of this data through new technical and operational solutions. New technologies such as differential privacy and privacy protective advertising solutions like PARAKEET can allow data sharing while, at the same time, honoring privacy. Privacy-enhancing technologies should be encouraged and even required in appropriate circumstances, along with strong governance structures that include technical access controls, purpose and use limitations, and operational standards that drive accountability and facilitate outside review. Our regulatory frameworks should support more immersive data use where technical and operational controls are in place. Anonymization will never be perfect, and we shouldn’t require perfection to enable responsible data use.
  • Build consumer controls that truly empower individuals. Many privacy laws around the globe provide consumers with the power to access, correct and delete their own information. We need to question choice mechanisms that are unclear and burdensome for consumers and instead provide them with meaningful choice and control universally. Microsoft was the first to extend the control rights to consumers offered in the EU’s General Data Protection Regulation (GDPR) worldwide and the first to extend the California Consumer Privacy Act rights to consumers throughout the U.S. Providing individuals with seamless access to their data can help them more easily move to services that provide the level of protection and safety they desire and encourage healthy competition in the industry. Yet, as a society, we have only scratched the surface of what is possible. We should develop regulatory frameworks that don’t just require organizations to provide people with the tools to control their data, but also require organizations to provide people with the means to control their digital identities so they can seamlessly move to services most respectful of their privacy.
  • Address both traditional and new business models. One of the greatest shortcomings of the U.S. regulatory infrastructure is that there is no comprehensive law governing the use of data. A mix of U.S. laws protects health and financial data, but those laws are decades old and don’t account for the myriad of entities that now hold very sensitive data beyond hospitals, banks and other traditional health care and financial services bodies. People use apps to make payments, buy and sell securities and cryptocurrencies, and monitor their diet and health. Privacy laws should recognize that sensitive data can be held by traditional and nontraditional players, should treat all these organizations equally, and should ensure that they collect, use, store and share sensitive data responsibly and with appropriate controls.
  • Provide appropriate redress to people harmed by data abuse. Society benefits from data use in countless ways. Yet not all uses of data are good. Consumers can be harmed by data abuse by unfair, biased and deceptive data practices in the marketplace. Our regulatory frameworks must provide appropriate redress to harmed individuals. These redress rights must include independent oversight and ensure that inappropriate practices are rectified. Microsoft has been an advocate for individual redress in privacy laws and we equally support individual redress in international frameworks. 
  • Develop innovative legal approaches that respect national sovereignty. The rise of the data economy does not mean national borders and sovereignty are outdated concepts. It is crucial that a global legal infrastructure respects national rights, including the use of personal data and how that data flows across borders. If coupled with innovative ideas about how to access data without requiring that the data physically leave the jurisdiction and other technical advances, we help maintain the global promise of the public internet while respecting the national rules that apply to data.
  • Embrace regulatory iteration to move progress forward. Policymakers, industry and civil society need to embrace progress and move forward with meaningful privacy legislation where it is now missed or outdated. Early approaches should be improved over time through iterations based on several inputs. First, policymakers should review the effectiveness of regulations in the context of ever-evolving technologies and business models. Second, we should expect courts to have additional input through challenges that provide opportunities for principles-based guidance on how to interpret and improve legislation. And, third, industries and organizations will gain important insights as they test drive the regulatory frameworks. Regulatory infrastructure should not be viewed as a “one-and-done” project.

Addressing an urgent challenge

Our challenge of enabling the responsible use of our data infrastructure through a robust global regulatory framework has never been more urgent. We need to modernize our approach, innovate and leverage technological advancements that protect privacy and ensure data use for society’s benefit.

Above all, we should embrace an appreciation for data as a strategic part of our infrastructure that needs to be used, maintained and protected, and create regulatory support that will unlock insights to help us build a healthier and safer planet.”