22. März 2025

Data Boundary von Microsoft – Datenschutzkonforme Cloud-Lösung?

Einleitung

Die Einführung der sogenannten EU Data Boundary durch Microsoft wurde mit Spannung erwartet und sollte ursprünglich bereits Mitte 2024 umgesetzt sein. Am 26. Februar 2025 verkündete Julie Brill, Chief Privacy Officer von Microsoft, schließlich die finale Umsetzung der europäischen Datengrenze. Laut Microsoft erhalten Kunden im öffentlichen sowie privaten Sektor dadurch deutlich mehr Kontrolle über ihre Daten. In den vergangenen 16 Monaten investierte Microsoft nach eigenen Angaben rund 20 Milliarden US-Dollar in die europäische KI- und Cloud-Infrastruktur. Microsoft bezeichnet die Initiative als „richtungsweisende EU-Datengrenze“ und verspricht eine umfassende Datenresidenz. Doch stellt sich die Frage: Ist die EU Data Boundary tatsächlich die branchenführende Lösung, als die Microsoft sie bewirbt, oder handelt es sich nur um eine geschickte Marketingstrategie, um europäische Unternehmen zu beruhigen?

Was ist die Data Boundary von Microsoft?

Das EU Data Boundary von Microsoft ist eine geografisch definierte Grenze, innerhalb derer Microsoft sich verpflichtet, Daten des öffentlichen Sektors und kommerzieller Kunden innerhalb der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) zu speichern und zu verarbeiten. Die Initiative zielt darauf ab, die Datenresidenz und den Datenschutz für Kunden in der EU und in der EFTA zu verbessern.

Definition und Funktionsweise der Data Boundary

Die Umsetzung der EU-Datengrenze gliederte sich dabei in drei Stufen. Im Januar 2023 ging es um die Sicherstellung, dass Kundendaten für die bedeutendsten Services – darunter auch die Mehrzahl der Microsoft Cloud Suite – ausschließlich innerhalb der EU/EFTA Regionen gespeichert und verarbeitet werden. Im Januar 2024 erfolgte die Ausweitung auf pseudonymisierte personenbezogene Daten. In dieser Umsetzungsphase lag der Fokus darauf, zu gewährleisten, dass Daten, die eine direkte Identifizierung verhindern, innerhalb dieser Region verbleiben. Im dritten und letzten Schritt konzentrierte sich Microsoft auf die Professional Service Daten aus Interaktionen mit dem technischen Support. Dazu zählen insbesondere Log-Dateien sowie Support-Fallnotizen, die bei technischen Anfragen an Microsoft anfallen. Dadurch verschafft Microsoft Unternehmen eine gewisse Transparenz über den Speicherort ihrer Daten.

Zielsetzung und Hintergründe von Microsofts Data Boundary

Die Hintergründe des EU Data Boundary sind vielseitig und resultieren aus den vielen regulatorischen Anforderungen, die die EU an Cloud-Anbieter stellt. Eine zentrale Rolle nimmt dabei auch der Datenschutz ein. Dieser soll durch das EU Data Boundary weiter gestärkt werden. Gerade aufgrund der strengen Vorschriften bezüglich der Datenübertragung in Länder außerhalb der EU, insbesondere in Länder, die nicht ein mit der EU vergleichbares Datenschutzniveau bieten, will Microsoft sicherstellen, dass die Daten seiner Kunden innerhalb der EU verbleiben und dadurch den lokalen Datenschutzgesetzen entsprechen. Durch die Einführung einer europäischen Datengrenze möchte Microsoft seinen Kunden zudem mehr Transparenz und Kontrolle über Daten bieten. Dies war in der Vergangenheit ein essentielles Problem, denn gerade bei globalen Cloud-Diensten ist zumeist undurchsichtig, wo die Daten der Nutzer letztlich gespeichert und verarbeitet werden. Das Informationen in nicht europäischen Regionen gespeichert oder verarbeitet werden, könnte sich durch das EU Data Boundary nun erledigt haben und dadurch die Abhängigkeit von internationalen Datenabflüssen verringert werden.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Datenschutzrechtliche Bedeutung der Data Boundary

Microsoft macht mit der Vollendung der Boundary einen Schritt in die richtige Richtung. Für europäische Unternehmen bedeutet die Finalisierung einen Schritt hin zu mehr Datenresidenz, zudem wird durch die Begrenzung von grenzüberschreitenden Transfers die Einhaltung nationaler Gesetze vereinfacht. Europäische Unternehmen haben daneben ein größeres Maß an Kontrolle über Datenflüsse.

Unterschiede zu anderen Datenschutzlösungen von Microsoft

Im Zusammenhang mit der EU Data Boundary ist auch häufig die Rede von der EU Data Residency. Diese Begriffe sind jedoch voneinander zu unterscheiden. Der Begriff „EU Data Residency“ bezieht sich allgemein auf die physische oder geografische Lage von Daten innerhalb der EU. Unternehmen, die EU Data Residency anbieten, ermöglichen es Kunden, ihre Daten in bestimmten EU-Regionen zu speichern, um gesetzlichen Anforderungen gerecht zu werden oder spezifische Datenschutzpräferenzen zu erfüllen. Dies kann beispielsweise durch die Auswahl von Rechenzentren in bestimmten EU-Ländern erfolgen. Das Microsoft EU Data Boundary dagegen ist eine spezifische Verpflichtung von Microsoft, alle Daten innerhalb der EU/EFTA zu speichern und zu verarbeiten. Während die EU Data Residency sich also auf die Speicherung innerhalb der EU konzentriert, geht das EU Data Boundary weiter, indem es auch die Verarbeitung und den gesamten Datenfluss innerhalb der EU sicherstellt. Zusammenfassend ist das Microsoft EU Data Boundary eine spezifische Initiative von Microsoft zur Sicherstellung der Datenverarbeitung und -speicherung innerhalb der EU/EFTA, während EU Data Residency ein breiteres Konzept ist, das die geografische Lokalisierung von Daten innerhalb der EU beschreibt.

Kritische Aspekte und offene Fragen zur Data Boundary

Trotz der Tatsache, dass Microsoft verspricht, dass die Daten innerhalb der EU und dem EFTA gespeichert und verarbeitet werden, gibt es die Befürchtung, dass die Daten nicht uneingeschränkt vor dem Zugriff der US-Behörden gesichert sind. Grund dafür ist insbesondere der US CLOUD Act. Dieser erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen verwaltet werden, selbst wenn diese Daten außerhalb der EU gespeichert sind. Daneben findet ggf. der Foreign Intelligence Surveillance Act (FISA) Anwendung. Problematisch ist insbesondere der Abschnitt 702, der für die Auslandsüberwachung maßgebend ist. Dieser erlaubt dem US-Generalstaatsanwalt und dem Direktor der Geheimdienste, die gezielte Überwachung von Personen außerhalb der USA durchzuführen, solange sie keine US-Bürger sind. Nach dem Wortlaut von FISA 702 ist nicht auszuschließen, dass dieser auch auf Daten anwendbar ist, die auf europäischen Servern gespeichert sind. So können Daten von US-Unternehmen, einschließlich deren EU-Tochtergesellschaften, welche außerhalb der Vereinigten Staaten gespeichert sind, auch unter die Bestimmungen von Section 702 FISA fallen. Zudem hat Microsoft selbst angegeben, dass sie trotz des EU Data Boundary weiterhin Datenübertragungen außerhalb der EU durchführen müssen, um betriebliche Anforderungen zu erfüllen. So gibt Microsoft an, dass zwar die meisten personenbezogenen Daten in der EU/EFTA verbleiben, aber bestimmte begrenzte Datenübermittlungen für globale Sicherheitsoperationen notwendig sein können. Diese Daten werden laut Microsoft verwendet, um die Erkennung von Bedrohungen zu verbessern. Diese aus diesen Übertragungen gewonnenen globalen Bedrohungsdaten seien entscheidend für die Erkennung und Abwehr von Cyberangriffen. Microsoft versichert geeignete Schutzmaßnahmen, wie Verschlüsselung, Pseudonymisierung und (strenge) Zugriffskontrollen zu implementieren.

Ist Microsofts Data Boundary die Lösung für DSGVO-konforme Cloud-Nutzung?

Die von Microsoft umgesetzte EU-Datengrenze ist unzweifelhaft ein Schritt in die richtige Richtung. Die Finalisierung zeigt, dass Microsoft der Datenschutz ein wichtiges Anliegen ist. Doch trotz verbesserter Datenlokalisierung durch das Boundary gibt es weiterhin bestimmte Szenarien, in denen die Daten außerhalb der EU verarbeitet werden – etwa für die Aufdeckung von Cybersecurity. Dazu kommt, dass der US Cloud Act US-amerikanische IT-Dienstleister verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ferner muss beachtet werden, dass eine physische Verlagerung von Daten in die EU keine hundertprozentige Absicherung gegen US-Rechtsinstrumente ist. Der entscheidende Faktor bleibt, ob das Unternehmen – trotz EU-Standort – aus Sicht der US-Gesetze verpflichtet ist, im Falle eines behördlichen Zugriffsersuchens Daten herauszugeben. Hier kann also weiterhin ein Restrisiko bestehen, das allenfalls mit technischen und organisatorischen Maßnahmen abgemildert werden kann. Insgesamt kann also festgehalten werden, dass auch die europäische Datengrenze nicht zu einer Datensouveränität führt, denn letztlich wird sich auch Microsoft nicht den weitreichenden Befugnissen des US-Rechts widersetzen können.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy