Microsofts EU Data Boundary: Fortschritt mit Vorsicht

Mit dem offiziellen Abschluss der „EU Data Boundary“ im Februar 2025 verspricht Microsoft eine klarere datenschutzrechtliche Grundlage für seine europäischen Kunden. Daten aus Diensten wie Azure, Dynamics 365 und Microsoft 365 sollen standardmäßig innerhalb der EU bzw. des europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet werden. Für viele klingt das nach einer lang ersehnten Lösung. Doch was bedeutet dieser Fortschritt wirklich für die Praxis und was eben nicht?

Was bringt die EU Data Boundary?

Microsoft reagiert mit diesem Instrument auf die anhaltende Kritik europäischer Datenschutzbehörden. In drei Phasen (2023–2025) wurden Kundendaten, pseudonymisierte Nutzungsdaten und Supportdaten in den EU-Raum verlagert. Das Versprechen: Mehr Datensouveränität und eine bessere Transparenz durch eine tiefgehende Dokumentation.

Was bedeutet es (noch) nicht?

Trotz aller Fortschritte bestehen weiterhin relevante Restunsicherheiten, wann doch einmal Daten außerhalb der EU/EWR übermittelt und verarbeitet werden. Zu diesen zählen Cybersicherheitsbedrohungen, technischer Support und explizit genehmigte Datenübertragungen.

Mit Cybersicherheitsbedrohungen sind globale Bedrohungsszenarien gemeint. In solchen kann Microsoft in Ausnahmefällen bestimmte sicherheitsrelevante Daten außerhalb der EU verarbeiten.

Beim technischen Support werden diese Daten zwar nun standardmäßig in der EU verarbeitet werden, es kann jedoch bei Eskalationen (z. B. im Rahmen von globalen Angriffsszenarien) zu Zugriffen aus Drittstaaten kommen. Hier braucht es sorgfältige Dokumentation.

Zu den zustimmungspflichtigen Bereichen gehören bestimmte Microsoft-Dienste. Zu diesen zählen z. B. KI- oder Analysebereiche. Diese erfordern vom Verantwortlichen eine aktive Zustimmung, wenn die Daten doch außerhalb der EU-Datengrenze verarbeitet werden dürfen. Das bedeutet: Unternehmen müssen solche Funktionen gezielt prüfen und dokumentieren.

Fall der EU-Kommission

Auch EU-Institutionen nutzen Microsoft 365, jedoch nicht immer datenschutzkonform. Ein eindrückliches Beispiel liefert der Bericht des Europäischen Datenschutzbeauftragten (EDSB) Wojciech Wiewiórowski aus März 2024. Er kam zu dem Schluss, dass die EU-Kommission bei der Nutzung von Microsoft 365 mehrfach gegen Datenschutzvorgaben verstoßen hat. Wenig überraschend vor allem beim Datentransfer in Drittländer ohne ein angemessenes Schutzniveau.

Dieser Fall zeigt, dass auch öffentliche Institutionen mit professioneller Datenschutzaufsicht nicht davor gefeit sind, in problematische Konstellationen zu geraten. Zudem wird damit indirekt deutlich, dass auch die nationalen Aufsichtsbehörden nun gewissermaßen einen Orientierungsrahmen oder eine Messlatte haben, an dem sie sich bei der Prüfung von Microsoft 365 orientieren können. Dies gilt sowohl in Bezug auf rechtliche Anforderungen als auch auf konkrete Prüffelder wie Datenflüsse, Vertragsgrundlagen und technische Maßnahmen.

Und was ist mit Copilot?

Für seinen KI-gestützten Assistenten in Microsoft 365 versichert das Unternehmen, dass Copilot in EU-Tenants auf EU-gehostete Daten zugreift, sofern diese Teil der Microsoft 365-Umgebung sind. Trotz der zugesicherten EU-Datengrenze ist nicht auszuschließen, dass bestimmte Copilot-Funktionen, etwa bei optionalen Erweiterungen oder nicht-regionalen Diensten, Daten außerhalb der EU verarbeiten. Microsoft macht in solchen Fällen zumindest darauf aufmerksam, dass diese Funktionen nur nach expliziter Zustimmung durch die Organisation aktiviert werden können.

Für den praktischen Einsatz bedeutet das, dass stets geprüft werden muss, welche Funktion aktiviert wird, welche Daten verarbeitet werden und ob zusätzlich Maßnahmen wie z. B. Rollenbeschränkungen oder auch eine Datenschutz-Folgenabschätzung nötig sind; letzteres ist in den meisten Fällen zu bejahen. Außerdem gilt: Wer Microsoft 365, mit oder ohne Copilot nutzt, bleibt datenschutzrechtlich Verantwortlicher.

Anforderungen sind einzelfallbezogen

Die EU Data Boundary ist ein richtiger und wichtiger Schritt. Sie schafft neue Möglichkeiten und verringert rechtliche Komplexität durch viel Transparenz. Aber sie ersetzt keine datenschutzrechtlich sorgfältige Analyse.

Letztlich kommt es also doch wieder auf die datenschutzrechtliche Prüfung im Einzelfall an. Denn, wie der Präsident des Bayerischen Landesamtes für die Datenschutzaufsicht Michael Will in einem Interview (~ 2023; genauer Zeitpunkt ist nicht ersichtlich) betont:

„Es hängt sehr viel davon ab, ob wir etwa über ein Übersetzungsbüro, einen medizintechnischen Betrieb oder einen Anbieter von Fortbildungsmaßnahmen reden.“

Datenschutz ist und bleibt damit typenbezogen.

Webinar zum Thema „Microsoft 365 sicher gestalten“

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Microsoft 365 sicher gestalten – Lösungsansätze für technische und datenschutzrechtliche Probleme“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

Mittwoch, den 14.05.2025
von 09:30 bis 12:00 Uhr

Donnerstag, den 04.09.2025
von 09:30 bis 12:00 Uhr

Mittwoch, den 26.11.2025
von 09:30 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.