10. April 2025
Mit der Einführung der EU Data Boundary im Februar 2025 verspricht Microsoft eine fundamentale Verbesserung im Umgang mit Daten seiner europäischen Kunden. Dienste wie Azure, Dynamics 365 und Microsoft 365 werden nun standardmäßig innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet. Dieses Versprechen bringt für viele Unternehmen Hoffnung, endlich eine umfassende Lösung für die datenschutzrechtlichen Anforderungen zu finden. Doch wie wirkt sich diese Neuerung tatsächlich in der Praxis aus?
Microsoft’s Vorstoß ist eine direkte Reaktion auf die kontinuierlichen Forderungen europäischer Datenschutzbehörden. Zwischen 2023 und 2025 wurde schrittweise die Verlagerung von Kundendaten, pseudonymisierten Nutzungsdaten und Supportdaten in die EU vollzogen. Ziel dieser Maßnahme ist es, die Datensouveränität der Kunden zu stärken und durch umfassende Dokumentation mehr Transparenz zu schaffen.
Trotz der positiven Entwicklungen sind einige Unsicherheiten geblieben. Es besteht das Risiko, dass in bestimmten Szenarien Daten dennoch außerhalb der EU/EWR verarbeitet werden. Dies stellt ein potenzielles Risiko bei Cybersicherheitsbedrohungen, technischem Support und bestimmten genehmigten Datenübertragungen dar.
Globale Bedrohungsszenarien könnten Microsoft in Ausnahmesituationen dazu veranlassen, sicherheitsrelevante Daten international zu verarbeiten. Ebenso könnten beim technischen Support in eskalierenden Situationen, zum Beispiel bei globalen Angriffen, Zugriffe aus Drittstaaten notwendig werden. Solche Fälle erfordern eine gründliche Dokumentation und Vorsicht.
Auch öffentliche Institutionen, wie die EU-Kommission, nutzen Microsoft 365, doch nicht immer werden dabei die Datenschutzrichtlinien eingehalten. Ein Bericht des Europäischen Datenschutzbeauftragten aus März 2024 zeigt, dass die EU-Kommission mehrfach bei der Nutzung von Microsoft 365 gegen Datenschutzvorgaben verstieß, besonders beim Transfer von Daten in Drittländer ohne angemessenen Schutz.
Dieses Beispiel verdeutlicht, dass selbst Institutionen mit professioneller Datenschutzkontrolle vor Herausforderungen stehen. Nationale Aufsichtsbehörden können sich nun an diesem Fall orientieren und adaptieren, um ihre Überprüfungen von Microsoft 365 effizienter zu gestalten.
Für Microsoft 365-Nutzer, die den KI-assistierten Copilot nutzen, stellt sich die Frage, wie datenschutzkonform die Datenverarbeitung erfolgt. Microsoft versichert, dass Copilot innerhalb der EU-Tenants auf EU-gehostete Daten zugreift. Dennoch könnte es passieren, dass bestimmte Funktionen, gerade bei optionalen Erweiterungen, eine Verarbeitung außerhalb der EU erfordern. Diese Funktionen benötigen eine ausdrückliche Zustimmung, bevor sie aktiviert werden können.
Unternehmen, die Microsoft 365 nutzen, sollten kontinuierlich überprüfen, welche Funktionen aktiviert sind und welche Daten verarbeitet werden. Hierbei sind Maßnahmen wie Rollenbeschränkungen und Datenschutz-Folgenabschätzungen von Bedeutung. Letztlich bleibt der Nutzer datenschutzrechtlich verantwortlich.
Falls Sie Unterstützung benötigen, kontaktieren Sie uns gerne. Unser Team von AZ-Datenschutz hilft Ihnen, die datenschutzrechtlichen Anforderungen zu erfüllen und Ihre Datenverarbeitung sicher zu gestalten. Wir stehen bereit, Ihnen die optimale Lösung für Ihr Unternehmen zu bieten!
Input your search keywords and press Enter.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen