Einer der größeren Kritikpunkte an Office 365 ist die Übertragung von personenbezogenen Daten in die USA. Dies ließ sich noch bis zum letzten Jahr nicht verhindern, denn für die Azure AD in der globalen Cloud benötigte Microsoft 3 Rechenzentren, wobei eines US West in den USA war und zwei Dublin und Amsterdam in Europa. Dies hat sich nun geändert und was sich geändert hat erkläre ich euch:
Azure AD Dienste und Services im Überblick
Dienst | Region | Services (BSP) | Region |
AAD Directory Management | Irland, Netherlands | Azure AD | EU |
Access Review, Terms of Use | Irland, Netherlands | Azure AD P1 Erweiterung | EU |
App Proxy | Irland, Netherlands | Azure AD P1 | EU |
Authentication | Irland, Netherlands | Azure AD | EU |
Azure AD Device Registration | Irland, Netherlands | Azure AD, Intune | EU |
B2B | Irland, Netherlands, Virgina, Carlifornien | Azure AD B2B | EU, USA |
B2C | Irland, Netherlands, Cardif, London | Azure AD B2C | EU |
Connect Health | Irland, Netherlands | Azure AAD | EU |
Group Management | Irland, Netherlands | Azure AD Groups | EU |
Identity Protection | Irland, Netherlands | Identity Protection, Azure AD P2 | EU |
MFA | Virginia, Washington, Wyoming, Irland, Netherlands | MFA | EU, USA |
Privilege Identity Management | Irland, Netherlands | Privilege Identity Management, Azure AD P2 | EU |
Reporting | Irland, Netherlands | Audit Logs | EU |
Selfservice Passwort Reset | Irland, Netherlands | Selfservice | EU |
USA
Damit kommen nur noch diese beiden Dienste aus den USA und der EU:
- MFA
- B2B
Brexit und B2C
Achtung beim Dienst B2C, dieser wird neben den EU Rechenzentren nun auch aus den beiden UK Rechenzentren betrieben. Wenn der Brexit nun doch eintritt, werden personenbezogene Daten und auch noch von Externen (Customers) außerhalb der EU verarbeitet. Zwischen UK und der EU gibt es bis heute auch keine Vertragsgrundlage oder EU Modelclauses, so dass eine Verarbeitung erstmal beendet werden müsste.
MFA
Wenn man nur die Authenticator App von Microsoft (iOS, Android) nutzt, dann bleiben auch diese Daten innerhalb Europas. Der Dienst kommt auch Dublin, lediglich die Anschlüsse für SMS und Calling sind in den USA.
B2C
Der B2C Dienst kommt ebenfalls aus Cardiff und London. Dies ist aktuell noch Europa, aber nach dem Brexit wird der Dienst auch außerhalb Europas gehostet. Dies muss im Auge behalten werden und als Risiko eingestuft. Schade, dass Microsoft diesen Dienst so fest mit den UK Rechenzentren verbunden hat.
Folge
Damit ist nun endlich die Diskussion um die Übertragung von personenbezogenen Daten in die USA für europäische Kunden in diesem Punkt zuende. Es ist eine Erhöhung des Datenschutzes und auch der Datensicherheit, wenn die Daten alleine in Europa bleiben.
Meldung von Microsoft vom 23.05.2019: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Identity-data-for-European-customers/ba-p/560950
Dokumentation per PowerBi:
Wenn ihr dem folgenden Link folgt, dann könnt ihr die einzelnen Dienste filtern und bekommt den Speicherort/Verarbeitungsort des Dienstes angezeigt: