Microsoft kündigte kurz nach Schrems 2 als Reaktion auf den Beschluss und auch die Landesdatenschützer in Deutschland forderten eine Verschiebung von Kundendaten und Prozessen nach Europa. Genauere Informationen wurden nun veröffentlich.
EU Boundary Program
Das EU Bundary Program hat den Inhalt Daten, Kundendaten und Prozesse von Azure und Micosoft 365 nach Europa zu verschieben und nur noch in Europa zu verarbeiten.
Links
Was bedeutet das EU Boundary Programm für deutsche Kunden?
Kurze Zusammenfassung
- Beginn Januar 2023 / “ersten Phase der Einführung der EU-Datengrenze, die am 1. Januar 2023 beginnt”
- Wirkt auf: Microsoft Cloud-Suite von Online-Diensten, einschließlich Microsoft 365, Dynamics 365, Power Platform und Azure
- Wirkt für: europäische Kunden (inkl. Deutsch, Schweiz usw.) / Rechnungsaddresse
- Telemetrie- und Diagnosedaten
“Diagnostic data generated from the use of on-premises software and client applications is also not included in the EU Data Boundary.”1
Weiterhin sind alle anderen Diagnose- und Telemetriedaten Teil des EU Boundary Program ein Teil des EU Boundary Programmes. Diese werden in Zukunft nur in der EU verarbeitet und nur anonymisierte Daten in die USA übertragen. Genauere Informationen folgen im Trust Center, wenn die Umstellung passiert ist.
https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-transfers-for-all-services
Informationen von Microsoft
Blog EU Data Boundary:
Microsoft announces the phased rollout of the EU Data Boundary for the Microsoft Cloud begins January 1, 2023 – EU Policy Blog, https://blogs.microsoft.com/eupolicy/?p=214346
Microsoft Trust Center:
https://www.microsoft.com/en-us/trust-center/privacy/european-data-boundary-eudb#layout-container-uidd5e2, Microsoft EU Data Boundary Overview | Microsoft Trust Center
Microsoft Learning/Dokumentation
https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn,What is the EU Data Boundary? – Microsoft Privacy
Paper mit Update
PowerPoint Presentation (microsoft.com)
Übersetzung – Blogpost
“In der heutigen globalen Wirtschaft suchen Kunden aus dem kommerziellen und öffentlichen Sektor weiterhin nach Möglichkeiten, ihre Ziele zu erreichen, ihre Daten zu schützen und ihre Effizienz zu steigern. Um diese sich wandelnden Anforderungen zu unterstützen, hat sich Microsoft verpflichtet, vertrauenswürdige Cloud-Dienste bereitzustellen, die so konzipiert sind, dass sie die volle Leistungsfähigkeit der öffentlichen Cloud nutzen und gleichzeitig die europäischen Werte und Souveränitätsanforderungen respektieren.
Heute kündigen wir an, dass Microsoft am 1. Januar 2023 mit der schrittweisen Einführung unserer EU Data Boundary-Lösung für den öffentlichen Sektor und gewerbliche Kunden in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) beginnen wird.
Microsofts fortwährendes Engagement für Europa
Microsoft engagiert sich weiterhin stark für die Unterstützung der digitalen Bedürfnisse in Europa und hat fünf europäische Cloud-Prinzipien verabschiedet, die unser Cloud-Geschäft in Europa leiten. Microsoft bietet Datenresidenz und -nähe an mehr Standorten als jeder andere Cloud-Anbieter und ermöglicht Residenzoptionen für die gesamte Microsoft Cloud-Suite von Online-Diensten, einschließlich Microsoft 365, Dynamics 365, Power Platform und Azure.
Wir bieten Microsoft Cloud-Dienste für Kunden in fast jedem Land der Welt an. Um die Anforderungen von Kunden in der EU und der EFTA zu unterstützen, haben wir Rechenzentren in mehr als 17 Rechenzentrumsregionen in Europa eröffnet und bauen diese derzeit aus. Seit 2020 haben wir Pläne für den Bau von neun neuen Rechenzentrumsregionen angekündigt und in den letzten zwei Jahren Investitionen von über 12 Milliarden US-Dollar getätigt, was Microsoft zu einer der größten Investitionsquellen für die digitale Zukunft Europas macht.
Beginn der schrittweisen Einführung der EU-Datengrenze für die Microsoft Cloud
Ab dem 1. Januar 2023 wird Microsoft seinen Kunden die Möglichkeit bieten, ihre Kundendaten innerhalb der EU Data Boundary für Microsoft 365, Azure, Power Platform und Dynamics 365 Services zu speichern und zu verarbeiten. Mit diesem Release erweitert Microsoft die bestehenden Verpflichtungen zur lokalen Speicherung und Verarbeitung, reduziert den Datenfluss aus Europa erheblich und baut auf unseren branchenführenden Lösungen für die Datenresidenz auf.
In den kommenden Phasen der EU Data Boundary wird Microsoft die EU Data Boundary-Lösung auf die Speicherung und Verarbeitung weiterer Kategorien personenbezogener Daten ausdehnen, einschließlich der Daten, die bei der Inanspruchnahme von technischem Support bereitgestellt werden.
Microsofts Cloud-Dienste entsprechen bereits den EU-Anforderungen oder übertreffen sie sogar. Die EU Data Boundary wird es öffentlichen und gewerblichen Kunden in der EU und der EFTA weiterhin ermöglichen, ihre Daten innerhalb der Region zu verarbeiten und zu speichern. Darüber hinaus wird Microsoft mit der Einführung der EU Data Boundary eine neue Datenflussdokumentation auf der neuen EU Data Boundary Trust Center-Webseite veröffentlichen, um Kunden, deren Dienste in die EU Data Boundary einbezogen werden, transparente Dateneinblicke zu bieten.
Die Microsoft EU Data Boundary baut auf unseren aktuellen Residency-Lösungen auf und bietet eine bessere Kontrolle über die Daten und mehr Transparenz. Zusätzlich zum EU Data Boundary wird Microsoft weiterhin ein breites Spektrum an Lösungen anbieten, die auf unseren langjährigen Verpflichtungen zur Unterstützung der verschiedenen Souveränitätsbedürfnisse aufbauen, von unseren bestehenden Funktionen zur Datenresidenz in Azure, Dynamics und Power Platform über die kommende Microsoft Cloud for Sovereignty bis hin zur neu erweiterten Datenresidenz von Microsoft 365.
Mit Microsoft haben Kunden aus dem kommerziellen und öffentlichen Sektor die Auswahl und Flexibilität, die sie benötigen, um Hyperscale-Produkte an der Spitze der Innovation zu nutzen und gleichzeitig gesetzliche Anforderungen und branchenspezifische Standards zu erfüllen.
Ein Fahrplan für die Zukunft und ein neues Maß an transparenter Dokumentation
Die EU Data Boundary ist eine branchenführende Lösung für den Datenaufenthalt. Auf der Grundlage von Kundenfeedback und -einblicken sowie den Erkenntnissen, die wir im vergangenen Jahr bei der Entwicklung der Grenze gewonnen haben, haben wir den Zeitplan für die Lokalisierung zusätzlicher Kategorien personenbezogener Daten und Daten, die bei der Inanspruchnahme technischer Unterstützung bereitgestellt werden, angepasst. Um sicherzustellen, dass wir auch weiterhin eine erstklassige Lösung bereitstellen, die die Erwartungen der Kunden in Bezug auf Qualität, Stabilität und Sicherheit erfüllt, wird Microsoft die Boundary in mehreren Phasen verbessern. Um unsere Kunden bei der Planung zu unterstützen, haben wir eine detaillierte Roadmap für unsere EU Data Boundary veröffentlicht, die in unserem Trust Center verfügbar ist.
Als Teil der ersten Phase der Einführung der EU-Datengrenze, die am 1. Januar 2023 beginnt, wird Microsoft eine ausführliche Dokumentation zu unseren Grenzverpflichtungen veröffentlichen. Die Transparenzdokumentation wird zunächst in englischer Sprache veröffentlicht und wird auch in weiteren Sprachen zur Verfügung gestellt werden.
Die Dokumentation wird fortlaufend aktualisiert, wenn Microsoft weitere Phasen der EU-Datengrenze einführt, und sie wird Einzelheiten zu Diensten enthalten, die weiterhin begrenzte Übertragungen von Kundendaten außerhalb der EU erfordern können, um die Sicherheit und Zuverlässigkeit des Dienstes zu gewährleisten.
Durch diese begrenzten Datenübertragungen wird sichergestellt, dass EU-Kunden weiterhin alle Vorteile des globalen Hyperscale-Cloud-Computings nutzen können.”
FAQ
Heute kündigen wir an, dass Microsoft am 1. Januar 2023 mit der schrittweisen Einführung unserer EU Data Boundary-Lösung für den öffentlichen Sektor und gewerbliche Kunden in der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) beginnen wird.
Ab dem 1. Januar 2023 wird Microsoft seinen Kunden die Möglichkeit bieten, ihre Kundendaten innerhalb der EU Data Boundary für Microsoft 365, Azure, Power Platform und Dynamics 365 Services zu speichern und zu verarbeiten. Damit erweitert Microsoft die bestehenden Verpflichtungen zur lokalen Speicherung und Verarbeitung, reduziert den Datenfluss aus Europa erheblich und baut auf seinen branchenführenden Lösungen zur Datenresidenz auf.
Microsofts Cloud-Dienste entsprechen bereits den EU-Anforderungen oder übertreffen sie sogar. Die EU Data Boundary wird es öffentlichen und gewerblichen Kunden in der EU und der EFTA ermöglichen, ihre Daten innerhalb der Region zu verarbeiten und zu speichern. Darüber hinaus wird Microsoft mit der Einführung der EU Data Boundary eine neue Datenflussdokumentation veröffentlichen, die auf der neuen EU Data Boundary Trust Center-Webseite verfügbar ist, um Kunden, deren Dienste in die EU Data Boundary einbezogen werden, transparente Dateneinblicke zu bieten.
Mit Microsoft haben Kunden aus dem kommerziellen und öffentlichen Sektor die Auswahl und Flexibilität, die sie brauchen, um Hyperscale-Produkte an der Spitze der Innovation zu nutzen und gleichzeitig gesetzliche Anforderungen und branchenspezifische Standards zu erfüllen.
F: Wie können Kunden die EU Data Boundary-Version der Online-Dienste erhalten?
Jeder Online-Dienst von Microsoft unterscheidet sich in den technischen Details, wie er eingesetzt und genutzt wird. Dementsprechend gibt es für jeden Onlinedienst dienstspezifische Konfigurationsanforderungen für die Dienstinstanzen, die Sie zur Übernahme der EU-Datengrenze verwenden. Die Produktbedingungen enthalten eine allgemeine Beschreibung, wie Sie EU Data Boundary-konforme Dienste erhalten. Die neue Produktdokumentation wird die dienstespezifischen Details zur Konfiguration Ihrer Dienste enthalten.
F: Wird dies zu einem Verlust an Funktionalität innerhalb der EU-Datengrenze führen?
Die EU Data Boundary ist eine Erweiterung unserer standardmäßigen öffentlichen Hyperscale-Cloud-Computing-Dienste um die Datenresidenz. Es gibt keinen Unterschied in der Funktionalität zwischen dem EU Data Boundary und unseren Services, die außerhalb der EU Data Boundary betrieben werden.
F: Entstehen den Kunden durch diese Arbeiten zusätzliche Kosten (Preiserhöhung)?
Für die Arbeit an der EU-Datenschutzgrenze fallen keine zusätzlichen Kosten oder Preiserhöhungen an.
F: Wo finde ich die Dokumentation über die fortgesetzte Datenübermittlung in Länder außerhalb der EU?
Bitte sehen Sie sich die “Transparenzdokumentation” auf der Seite des EU Data Boundary Trust Center an. Sie finden diese Angaben unter Abschnitt 3, “Dokumentierte Datenströme außerhalb der EU-Datengrenze”.
F: Wie wird sich die Umsetzung der EU-Datenschutzgrundverordnung auf die Liste der Unterauftragsverarbeiter von Microsoft auswirken?
Unsere Unterauftragsverarbeiter für Online-Dienste benötigen möglicherweise weiterhin Zugriff auf Kundendaten, die in der EU-Datengrenze gespeichert und verarbeitet werden. Unterauftragsverarbeiter, die auf Kundendaten im EU-Datenraum zugreifen, werden überprüft, auf ihren Hintergrund hin kontrolliert und müssen gemäß den Verpflichtungen in unserem Datenschutzzusatz die höchsten Standards erfüllen. Der Fernzugriff auf Systeme, die Kundendaten in der EU verarbeiten, erfolgt über sichere Maschinen, die sicherstellen, dass der Zugriff auf genehmigte Mitarbeiter und genehmigte Szenarien beschränkt und zeitlich und vom Umfang her begrenzt ist. Die für diese Zwecke eingesetzten Fernzugriffssysteme sind so konzipiert, dass der Datenabfluss kontrolliert und minimiert wird.
F: Wie sieht der genaue Zeitplan für die künftige Umsetzung der EU-Datenschutz-Grenze aus?
Ab dem 1. Januar 2023 wird Microsoft mit der schrittweisen Einführung der EU-Datenschutzgrundverordnung beginnen. In Phase 1 werden wir Kundendaten für die meisten Azure-, Dynamics 365-, Power Platform- und M365-Dienste in der EU Data Boundary speichern und verarbeiten. Einige begrenzte Übertragungen von Kundendaten werden nach diesem Zeitpunkt für bestimmte Dienste und Szenarien fortgesetzt, wie in unserer Transparenzdokumentation erläutert.
Zukünftige Phasen werden die Lokalisierung von pseudonymisierten persönlichen Identifikatoren und Professional Services Data umfassen. Weitere Informationen zu diesen Datentypen und Diensten finden Sie in unserer EU Data Boundary Roadmap.
F: Was wird für Support- und Professional Services-Daten kommen?
Wir arbeiten an der Einrichtung der Infrastruktur, der Prozesse und der Schulungen, um lokalisierte Support-Operationen in der EU-Datengrenze zu implementieren, u. a. durch die Einführung der folgenden Maßnahmen:
Speicherung von Professional Services-Daten in der EU Data Boundary.
Zugriff auf die Professional Services-Daten nur über sichere Remote-Arbeitsplätze
Bereitstellung eines optionalen, kostenpflichtigen Angebots, das eine erhöhte Sicherheit bietet, dass der erste technische Supportkontakt in der EU angesiedelt ist.
F: Welcher Zusammenhang besteht zwischen der Microsoft EU Data Boundary, der Microsoft Cloud for Sovereignty und der Advanced Data Residency?
Die Microsoft Cloud bietet durch eine Reihe von Funktionen und Lösungen mehr Kontrolle über die Kundendaten und mehr Transparenz. Diese Lösungen sind so konzipiert, dass sie unseren Kunden dabei helfen, regulatorische Anforderungen zu erfüllen, branchenspezifische Standards einzuhalten und die Compliance mit ihren eigenen Unternehmensrichtlinien zu wahren.
EU Data Boundary: Unterstützt Kunden bei der Erfüllung der Anforderungen an die Datenresidenz in der EU, indem öffentliche Cloud-Dienste bereitgestellt werden, die Kundendaten in der EU für Azure, Microsoft 365, Dynamics 365 und Power Platform speichern und verarbeiten. (Weitere Einzelheiten finden Sie auf der Seite EU Data Boundary Trust Center)
M365 Advanced Data Residency: M365 Advanced Data Residency wurde für Kunden entwickelt, die eine genauere Kontrolle über den Speicherort ihrer Microsoft 365-Kundendaten wünschen. Mit Microsoft 365 ADR haben wir unsere weltweiten Verpflichtungen für die Speicherung von Kundendaten im Ruhezustand ab November 2022 erweitert. (Weitere Informationen finden Sie auf der Seite Advanced Data Residency)
HINWEIS: Auch unsere anderen Unternehmensdienste verpflichten sich seit langem, Kundendaten in verschiedenen Regionen der Welt zu speichern. Weitere Informationen zu unseren Standard-Datenresidenzfunktionen für Azure, Dynamics365 und Power Platform finden Sie unter Datenresidenzfunktionen in Azure, Dynamics und Power Platform.
Microsoft Cloud for Sovereignty: eine neue Lösung, die es Kunden des öffentlichen Sektors ermöglicht, Workloads in der Microsoft Cloud zu erstellen und digital zu transformieren und gleichzeitig ihre Anforderungen an Compliance, Sicherheit und Richtlinien zu erfüllen. Heute können Kunden des öffentlichen Sektors die volle Leistungsfähigkeit der Microsoft Cloud nutzen, einschließlich breiter Plattformfunktionen, Ausfallsicherheit, Agilität und Sicherheit. Mit Microsoft Cloud for Sovereignty erhalten sie eine bessere Kontrolle über ihre Daten und mehr Transparenz bei den Betriebs- und Governance-Prozessen der Cloud. (Weitere Einzelheiten finden Sie auf der Seite Microsoft Cloud for Sovereignty)
F: Wird Microsoft weiterhin in die EU-Datengrenze investieren, wenn der EU-US-Datenschutzrahmen vollständig verabschiedet ist?
Ja. Microsoft begrüßt das EU-U.S. Data Privacy Framework und sieht der Angemessenheitsentscheidung der Europäischen Kommission erwartungsvoll entgegen, aber Microsoft wird seine Arbeit an der EU Data Boundary fortsetzen, um die Bedürfnisse seiner Kunden zu erfüllen.
F: Wie werden die Anforderungen der USA und anderer Regierungen im Rahmen der neuen EU-Datenschutzgrundverordnung behandelt?
Microsoft verteidigt Ihre Daten durch klar definierte und gut etablierte Reaktionsrichtlinien und -prozesse, starke vertragliche Verpflichtungen und, wenn nötig, durch die Gerichte. Wir sind der Meinung, dass alle staatlichen Anfragen nach Ihren Daten an Sie gerichtet werden sollten. Wie wir unseren Kunden in unserem Datenschutzzusatz zusagen, gewähren wir keiner Regierung direkten oder uneingeschränkten Zugang zu Kundendaten oder persönlichen Daten von Kunden. Wenn Microsoft eine Anfrage zu den Daten eines Kunden erhält, werden wir die anfragende Partei anweisen, die Daten direkt beim Kunden anzufordern. Wenn Microsoft gezwungen wird, die Daten eines Kunden offenzulegen oder Zugang zu ihnen zu gewähren, wird es den Kunden nach Möglichkeit unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zur Verfügung stellen, sofern dies nicht gesetzlich verboten ist. Wir widersprechen jeder behördlichen Anfrage nach personenbezogenen Daten eines EU-Kunden aus dem öffentlichen Sektor oder aus der Wirtschaft – egal von welcher Behörde -, sofern es dafür eine rechtmäßige Grundlage gibt. Und wir werden die Nutzer unserer Kunden finanziell entschädigen, wenn wir Daten unter Verstoß gegen die DSGVO weitergeben und dem Kunden dadurch ein Schaden entsteht.