EU Data Boundary
Die EU Data Boundary ist eine Datenschutzmaßnahme von Microsoft, bei der Kundendaten und personenbezogene Daten für zentrale Cloud-Dienste (Azure, Microsoft 365, Dynamics 365, Power Platform) innerhalb der EU und EFTA gespeichert und verarbeitet werden. Sie wurde im Februar 2025 abgeschlossen.
Ausführliche Erklärung
Microsoft hat die EU Data Boundary im Februar 2025 nach zweijähriger Entwicklungsarbeit abgeschlossen. Die geografische Grenze umfasst alle Länder der Europäischen Union sowie die Mitgliedsstaaten der Europäischen Freihandelsassoziation (Island, Liechtenstein, Norwegen, Schweiz). Für gewerbliche und öffentliche Kunden in diesen Ländern werden Kundendaten, pseudonymisierte personenbezogene Daten und Daten aus technischen Support-Interaktionen grundsätzlich nur innerhalb dieser Region gespeichert und verarbeitet. Die Umsetzung erfolgte in drei Phasen: ab Januar 2023 für Kundendaten, ab Januar 2024 für pseudonymisierte Systemprotokolle und ab Februar 2025 für Support-Daten.
Für KMU ist die EU Data Boundary vor allem in datenschutzrechtlicher Hinsicht relevant. Sie reduziert das Risiko, dass personenbezogene Daten in Drittstaaten ohne angemessenes Datenschutzniveau übertragen werden – eine zentrale Anforderung der Datenschutz-Grundverordnung. Unternehmen, die Microsoft-Cloud-Dienste nutzen, müssen weniger komplexe Transfermechanismen dokumentieren und können sich auf die lokale Datenverarbeitung stützen. Dies vereinfacht insbesondere Datenschutz-Folgenabschätzungen und die Rechenschaftspflicht gegenüber Aufsichtsbehörden. Für regulierte Branchen wie Steuerberatung, Gesundheitswesen oder Finanzdienstleister ist dies ein wesentlicher Compliance-Vorteil.
Es ist jedoch wichtig zu verstehen, dass die EU Data Boundary keine absolute Garantie darstellt. Microsoft dokumentiert transparent bestimmte Ausnahmen: Bei Sicherheitsvorfällen mit globaler Tragweite können begrenzte Datenübertragungen notwendig sein, um Bedrohungen abzuwehren. Ebenso sind einige Sicherheitsdienste (etwa Microsoft Defender for Cloud) von der Boundary ausgenommen. Bei neueren KI-Funktionen wie Microsoft 365 Copilot kann das sogenannte "Flex Routing" bei Spitzenlast die Verarbeitung außerhalb der EU ermöglichen – dies lässt sich jedoch administrativ deaktivieren. Europäische Kunden sollten daher die Konfiguration ihrer Dienste prüfen und ihre Datenschutzdokumentation entsprechend anpassen.
Praxisbeispiel
Eine österreichische Steuerberatungskanzlei mit 18 Mitarbeitenden nutzt Microsoft 365 für E-Mail, Dokumentenmanagement und Mandantenkommunikation. Seit Abschluss der EU Data Boundary im Februar 2025 kann die Kanzlei in ihrer Datenschutz-Folgenabschätzung darauf verweisen, dass Mandantendaten und Protokolldaten grundsätzlich in EU-Rechenzentren verarbeitet werden. Dies vereinfacht die Dokumentation gegenüber der Datenschutzbehörde und schafft Vertrauen bei Mandant:innen mit hohen Datenschutzanforderungen.
Quellen
- What is the EU Data Boundary? - Microsoft Privacy | Microsoft Learn
- Microsoft completes landmark EU Data Boundary - Microsoft On the Issues
- One year on: Progress on our European digital commitments - Microsoft On the Issues
- Microsofts EU Data Boundary: Fortschritt mit Vorsicht
- EU-Boundary nichts wert? Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern