Der Austausch digitaler Daten zwischen der EU und den USA ist nicht unumstritten. Microsoft setzt nun auf eine eigene EU-Datengrenze, um die hiesigen Kunden in Sicherheit zu wiegen. Allerdings hat die Grenze durchaus Löcher.

Die Verarbeitung von Daten unterliegt in Europa und den USA jeweils eigenen Gesetzen. Ein Austausch wird im Rahmen des EU-US-Data-Privacy-Framework geregelt, das 2023 beschlossen wurde. Allerdings bedeutet das Abkommen nicht, dass das Versenden europäischer Nutzerdaten in die USA nicht immer noch kritisch gesehen wird.

Als großer Makel gilt in Brüssel, dass sich US-Geheimdienste jederzeit Zugang verschaffen können. Die Angabe, dass mit den Daten ausschließlich in Europa gearbeitet wird, wird daher immer noch von vielen Nutzern als Merkmal für die Qualität des Anbieters verstanden. Das gilt auch für Microsoft. Einen großen Teil seines Umsatzes verdient der Konzern mit Unternehmen in Europa. Die damit verbundenen Rechenzentren werden jedoch weltweit betrieben. Mit eigenen EU-Datengrenzen soll nun dem Anschein nach weiteres Vertrauen geschaffen werden.

Nutzer-Daten bleiben in der EU - wenn sie nicht professionell genutzt werden

Demnach wird um die Länder der Europäischen Union (EU) sowie die der Europäischen Freihandelsassoziation (EFTA) eine eigene Grenze gezogen. Daten, die von Nutzern innerhalb dieser Datengrenze zur Verfügung gestellt werden, sollen auch in dieser bleiben. Das gilt jedoch zuerst für Kundendaten, zu denen auch Text-, Ton-, Video- oder Bilddateien und Software zählen, die während der Nutzung eines Onlinedienstes des Konzerns auf dessen Server übertragen wurden.

Wenn die Daten im Rahmen eines sogenannten Professional Services erhoben werden, kann auf diese weltweit zugegriffen werden. Zu diesen Dienstleistungen zählen klassische Aufgaben im Bereich der IT wie Beratung, Anleitung, Datenmigration, Entwicklung von Software oder auch der technische Support. Wann Daten tatsächlich aus der EU übertragen werden, bleibt jedoch unklar. Microsoft spricht hier lediglich von „Szenarien“ im Rahmen der „betrieblichen Anforderungen des Clouddiensts“.

Vor allem bei der Klärung von Supportfragen können offenbar Microsoft-Mitarbeiter außerhalb der EU - remote - auf die Nutzerdaten zugreifen. Ein globales Netzwerk von Entwickler-Teams, sogenannten DevOps, steht rund um die Uhr bereit, um bei kritischen Problemen eingreifen zu können. Für die Datensicherheit sollen neben einer sorgfältigen Auswahl der Mitarbeiter, demnach „Technologien“ sorgen. Inwieweit diese Maßnahmen vor einem unerwünschten Zugriff schützen, bleibt jedoch offen.

Versucht Microsoft, die Gemüter zu beruhigen?

Das Festzurren der EU-Datengrenze bei Microsoft kann man aber auch als Beruhigungspille für die hiesigen (Unternehmens-)Kunden verstehen. Die aktuelle US-Regierung machte zuletzt Zweifel an der Vereinbarung deutlich. Präsident Donald Trump sieht die Tech-Konzerne durch die europäische Gesetzgebung benachteiligt .

Damit ist der freie Austausch von Daten zwischen der EU und den USA jedoch in Gefahr. Die Einwände des Europäischen Gerichtshof (EuGH) am eigentlichen Vertrag konnten nur aufgrund einer sogenannten Executive Order 14086 ausgeräumt werden, die vom vormaligen Präsidenten der USA, Joe Biden, unterschrieben wurde. Fällt diese weg, stellt sich (nicht nur) für Microsoft die Frage, in welcher Form Dienstleistungen gerade im Bereich der Cloud für Unternehmen und öffentliche Verwaltungen noch angeboten werden können.