Microsoft hat mit Stand vom 13.12.2022 Dokumentation zur Microsoft EU Data Boundary veröffentlicht bzw. aktualisiert. Diese Dokumentation ist überwiegend in englischer Sprache und teils auch maschinenübersetzter Form verfügbar. Nach Informationen aus dieser Dokumentation ist die Microsoft EU Data Boundary ab 01.01.2023 für Kunden nach und nach über einen gestuften Rollout verfügbar. Die Microsoft EU Data Boundary gilt auch für Microsoft 365 und Teams. Wichtig zu wissen ist, dass die Microsoft EU Data Boundary nicht für alle Arten von Daten gilt und es trotz der Verpflichtung, Kundendaten in Rechenzentren innerhalb der EU zu verarbeiten, Zugriffe von Mitarbeitern oder Dienstleistern von außerhalb der EU oder des EWR geben wird. Es ist möglich, dass ein Teil der Daten von Kunden, welche die Microsoft EU Data Boundary nutzen, noch außerhalb derselben verarbeitet werden, da einige Dienste wie etwa Teams ursprünglich in den USA oder in Großbritannien angelegt wurden und noch migriert werden müssen. Die Microsoft EU Data Boundary betrifft die sogenannten Kundendaten. Darunter versteht Microsoft: „Wie in unseren Dienstvereinbarungen definiert, bezeichnet der Begriff Kundendaten alle Daten, einschließlich aller Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom Kunden oder im Namen des Kunden durch die Nutzung des Onlinedienstes zur Verfügung gestellt werden.“ Das meint die Kontodaten der Nutzer mit Rollen und Rechten wie auch alle Inhaltsdaten wie Texte, Bilder, Töne und Videos oder wenn in der Plattform programmiert wird, etwa Makros erstellt werden, auch Programme. Diese können Microsoft durch den Kunden selbst oder durch Dienste, die der Kunde mit seinen Microsoft Diensten, etwa für Single sign-on (SSO) oder zur Speicherung von in einer anderen Plattform erarbeiteten Inhalten nutzt, zur Verfügung stellt werden. In der Startphase der EU Data Boundary werden die Professional Services Data (meint hier Daten, die anfallen, wenn Kunden mit dem Support interagieren) nicht innerhalb derselben gespeichert und verarbeitet. Aktuell erfolgt die Speicherung in den USA. Microsoft arbeitet jedoch schon daran, EU-Kunden die Möglichkeit zu geben, zu wählen, dass diese Daten in der EU Data Boundary gespeichert und verarbeitet werden sollen. Ab der zweiten Phase des Rollouts sollen sogenannte pseudonymisierte personenbezogene Daten ebenfalls ausschließlich in der EU Data Boundary gespeichert und verarbeitet werden. Pseudonymisierte personenbezogene Daten meint hier Logdateien, die in den Online Plattformen von Microsoft durch das System erstellt werden) Mitte 2024 wird an beginnen, die Strukturen für die Verarbeitung und Speicherung von Daten in der EU Data Boundary zu schaffen, welche Kunden Microsoft für technischen Support zur Verfügung stellen. Die EU Data Boundary steht für Microsoft 365 allen Tenants, die eine EU Rechnungsadresse haben, automatisch zur Verfügung1„For all commercial cloud services in scope for the EU Data Boundary, customer data is stored and processed in datacenters located in countries in the EU or EFTA. In some cases, customers can select the EU deployment region directly; in others, the location is automatically assigned based on customer billing address or a customer decision to have their environment reside in the EU Data Boundary.“ Quelle Demnach scheint von Seiten des Kunden keine Initiative erforderlich, um den Prozess anzustoßen. Das klingt in den FAQ zur EU Data Boundary allerdings etwas anders. Dort heißt es, dass man den Kunden die Möglichkeit zur Speicherung und Verarbeitung in der EU Data Boundary anbietet2„… Microsoft will offer customers the ability to store and process their customer data within the EU Data Boundary for Microsoft 365 …“ und dass je nach Dienst, etwa Microsoft 365 oder Azure die Konfigurationseinstellungen unterschiedlich ausfallen, die erforderlich sind, um die EU Data Boundary für den eigenen Tenant zu übernehmen3„… Accordingly, each Online Service will have service specific configuration requirements for the service instances you use to adopt the EU Data Boundary.“ Wo die Daten eines Tenants dann tatsächlich gespeichert sind, lässt sich im Admin Center einsehen.
Bewertung
Für Schulen, die Microsoft 365 nutzen, dürfte die EU Data Boundary eine deutliche Entlastung bewirken in datenschutzrechtlicher Hinsicht. Allerdings ist es leider nicht die Lösung aller Probleme, denn die Aufsichtsbehörden sehen diese noch an anderer Stelle, wie sie in ihrer Bewertung zu Microsoft 365 deutlich gemacht haben.4Siehe dazu den Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält Außerdem unterliegen auch in der EU Data Boundary gespeicherte Daten dem US CLOUD Act und Microsoft hat Zugriff auf die Daten. Ob es Microsoft dann im Einzelfall möglich ist, ihre Zusagen5„Microsoft verteidigt Ihre Daten durch klar definierte und gut etablierte Reaktionsstrategien und -prozesse, starke vertragliche Verpflichtungen und, wenn nötig, auch vor Gericht. Wir sind der Meinung, dass alle staatlichen Anfragen nach Ihren Daten an Sie gerichtet werden sollten. Wie wir uns in unserem Datenschutzzusatz gegenüber unseren Kunden verpflichten, gewähren wir Behörden keinen direkten oder uneingeschränkten Zugriff auf Kundendaten oder persönliche Daten von Kunden. Wenn Microsoft eine Anfrage nach den Daten eines Kunden erhält, werden wir die anfragende Partei anweisen, die Daten direkt beim Kunden anzufordern. Wenn Microsoft gezwungen wird, die Daten eines Kunden offenzulegen oder Zugang zu ihnen zu gewähren, wird es den Kunden nach Möglichkeit unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zur Verfügung stellen, sofern dies nicht gesetzlich verboten ist. Wir werden jede behördliche Anfrage nach personenbezogenen Daten eines EU-Kunden aus dem öffentlichen Sektor oder aus der Wirtschaft – egal von welcher Behörde – anfechten, sofern es dafür eine rechtmäßige Grundlage gibt. Und wir werden die Nutzer unserer Kunden finanziell entschädigen, wenn wir Daten unter Verstoß gegen die DSGVO weitergeben und dem Kunden dadurch ein Schaden entsteht. Übersetzt mit DeepL„, wie sie bei Ermittlungsanfragen verfahren, einzuhalten, ist fraglich. Schulen, die Microsoft 365 nutzen, sollten jedoch trotz dieser Unsicherheiten, die EU Data Boundary für sich im Admin Center aktivieren, sofern sie nicht automatisch darauf umgestellt werden.