Bezpečná cloud a digitální suverenita v Evropě: Jsou investice společnosti Microsoft do evropských dat -odolné proti?

Společnost Microsoft nedávno oznámila významné investice v Evropě, včetně zabezpečení zdrojového kódu ve Švýcarsku a rozšíření své cloudové infrastruktury. Tyto kroky jsou interpretovány jako reakce na politickou nejistotu a rostoucí obavy evropských zákazníků. Navzdory tomuto úsilí přetrvává zásadní konflikt mezi americkým právem a evropskými předpisy o ochraně osobních údajů, což vyvolává otázku, zda umístění evropského serveru může skutečně poskytnout dostatečnou ochranu. Tato zpráva analyzuje ujištění společnosti Microsoft pro Evropu, vysvětluje právní konflikt mezi americkým zákonem CLOUD Act a GDPR a zkoumá, proč samotné fyzické umístění dat nezaručuje bezpečnost a suverenitu dat.

Vhodné pro:

• Bezpečné umístění serveru v Německu? Datová suverenita v cloudu: Proč umístění serveru v Německu nestačí!

Aktualizace 21. července 2025:

• Microsoft potvrzuje pod přísahou: Americké úřady mají přístup k evropským údajům navzdory mrakům EU

Nové digitální záruky společnosti Microsoft pro Evropu

Vzhledem k obchodním válkám vedeným za Trumpovy administrativy a náhlým politickým rozhodnutím ztratilo mnoho evropských zákazníků důvěru v digitální produkty z USA. Microsoft reaguje konkrétními závazky a investicemi v Evropě.

Rozsáhlé investice do infrastruktury

Společnost Microsoft oznámila plány na rozšíření kapacity svých datových center v Evropě přibližně o 40 procent v příštích dvou letech, čímž se rozšíří do celkem 16 evropských zemí. Společnost plánuje do této expanze investovat desítky miliard dolarů ročně. Tato opatření mají nejen uspokojit rostoucí poptávku po cloudových službách a infrastruktuře umělé inteligence, ale také posílit důvěru evropských zákazníků.

Brad Smith, generální právní zástupce a prezident společnosti Microsoft, ve svém blogovém příspěvku zdůrazňuje úzké ekonomické vazby společnosti na Evropu a ujišťuje čtenáře, že se Microsoft z regionu nestáhne. Evropská datová centra budou fungovat nezávisle a budou spravována občany EU, kteří budou respektovat a implementovat evropské zákony.

Zálohování zdrojového kódu ve Švýcarsku a zajištění kontinuity podnikání

Jednou z obzvláště pozoruhodných záruk je zálohování zdrojového kódu společnosti Microsoft ve Švýcarsku. Společnost vytváří zálohy svého zdrojového kódu v zabezpečených úložištích dat ve Švýcarsku a uděluje právně závazná přístupová práva evropským partnerům. Toto opatření slouží jako záložní plán pro „nepravděpodobnou událost“, že by společnost Microsoft byla někdy nucena ukončit své služby v Evropě.

Společnost Microsoft také plánuje najít evropské partnery a zavést krizové plány, které zaručí kontinuitu podnikání. Tyto plány se již realizují prostřednictvím partnerství ve Francii a Německu s datovými centry Bleu a Delos.

Datová hranice EU: Odpověď společnosti Microsoft na obavy o soukromí

Klíčovou součástí strategie společnosti Microsoft v Evropě je implementace tzv. „hranice dat EU“ pro Microsoft Cloud.

Komplexní úložiště dat v rámci EU

Od ledna 2024 mohou evropští zákazníci v komerčním i veřejném sektoru ukládat a zpracovávat veškerá svá data a uživatelské přihlašovací údaje pro základní cloudové služby společnosti Microsoft – včetně služeb Microsoft 365, Dynamics 365, Power Platform a Azure – v rámci EU a regionu EFTA. V únoru 2025 byla dokončena třetí a poslední fáze stanovení hranice dat v EU, která rozšířila hranici o data služeb Microsoft Professional Services z interakcí technické podpory.

S touto nabídkou jde Microsoft o krok dál než mnoho jiných poskytovatelů cloudových služeb: Společnost umožňuje nejen lokální ukládání a zpracování zákaznických dat, ale také všech osobních údajů, včetně dat z automaticky generovaných systémových protokolů.

Další možnosti zabezpečení

Společnost Microsoft nabízí evropským zákazníkům několik možností zabezpečení a šifrování jejich dat. Patří mezi ně funkce Confidential Computing v Azure, která brání třetím stranám – včetně samotné společnosti Microsoft – v přístupu k zákaznickým datům, a funkce „Lockbox“ pro Azure, Dynamics 365 a Microsoft 365, které zákazníkům umožňují zkontrolovat a schválit požadavky předtím, než společnost Microsoft získá přístup k jejich datům.

Mezi další možnosti zabezpečení patří Azure Key Vault a Microsoft Purview Customer Key, které zákazníkům umožňují zabezpečit svá data pomocí technologie samočinného šifrování.

Základní konflikt: CLOUD Act versus GDPR

Navzdory veškerému úsilí a ujištěním přetrvává zásadní právní konflikt, který vyvolává otázku, zda jsou data evropských společností u amerických poskytovatelů skutečně v bezpečí.

Extrateritoriální působnost zákona CLOUD

Zákon CLOUD (Clarifying Lawful Overseas Use of Data Act), který vstoupil v platnost v roce 2018, umožňuje americkým donucovacím orgánům donutit společnosti se sídlem v USA k udělení přístupu k datům bez ohledu na to, kde jsou data fyzicky uložena. To platí i pro data uložená v EU, ale spravovaná americkými společnostmi nebo jejich dceřinými společnostmi.

Zákon zavazuje americké internetové společnosti a poskytovatele IT služeb udělit americkým úřadům přístup k uloženým datům, i když tato data nejsou uložena v USA. Dotčené společnosti sice mají právo vznést námitku, pokud vlastník dat není občanem USA a společnost by zveřejněním dat porušila zákony jiných zemí, ale toto právo se vztahuje pouze na země, které mají s USA dohodu o CLOUD Act, která v současnosti platí pouze pro Spojené království.

Námitka proti GDPR

Evropské obecné nařízení o ochraně osobních údajů (GDPR) přímo odporuje zákonu CLOUD. Článek 48 GDPR zakazuje společnostem převádět data uložená v EU bez dohody o vzájemné právní pomoci. Porušení tohoto ustanovení může být potrestáno pokutami až do výše 20 milionů eur nebo čtyř procent z celosvětového ročního obratu společnosti.

Tato neslučitelnost mezi americkým zákonem CLOUD Act a obecným nařízením EU o ochraně osobních údajů (GDPR) staví společnosti využívající cloudové služby do neřešitelného dilematu. Jsou postaveny před volbu, zda porušit zákon CLOUD Act nebo GDPR, což může vést k významným sankcím.

Vhodné pro:

• Nezávislé platformy AI jako strategická alternativa pro evropské společnosti

Proč umístění serveru nezaručuje bezpečnost dat

Na rozdíl od všeobecného přesvědčení pouhá skutečnost, že jsou data uložena na serverech v Německu nebo EU, neposkytuje dostatečnou ochranu před přístupem ze zahraničí.

Mylná představa o zabezpečení dat prostřednictvím výběru lokality

Přesvědčení, že data na serverech v Německu jsou automaticky chráněna před přístupem ze zahraničí, je považováno za „nebezpečný omyl“. I když jsou osobní údaje uloženy v datových centrech v Evropské unii, může být americký poskytovatel cloudových služeb ze zákona povinen tyto údaje sdělit americkým orgánům v rámci vyšetřování trestních činů.

Specifické riziko existuje zejména v případě, že poskytovatel cloudových služeb má sídlo nebo působí v USA, zpracování dat probíhá prostřednictvím americké infrastruktury nebo má americká společnost přímý či nepřímý přístup k datům. V takových případech existuje možnost, že by americké orgány mohly získat přístup k osobním údajům, a to i bez vědomí nebo souhlasu subjektů údajů v Evropě.

Ohrožení duševního vlastnictví a obchodního tajemství

Problém dalece přesahuje ochranu osobních údajů. Zákon CLOUD představuje reálná rizika, která ohrožují bezpečnost a důvěrnost všech typů citlivých údajů, včetně duševního vlastnictví, prototypů výzkumu a vývoje, zákaznických údajů a soukromé komunikace.

I když jsou data uložena v datových centrech EU, může zákon CLOUD Act donutit americké společnosti k předání těchto dat americkým úřadům. To nejen podkopává ochranu GDPR a datovou suverenitu EU, ale také vystavuje kritické obchodní informace, jako jsou prototypy nebo strategické plány, riziku neoprávněného přístupu.

Vzhledem k potenciálním možnostem přístupu amerických úřadů „společnosti de facto ztrácejí kontrolu nad svými údaji, a tím i nad svým duševním vlastnictvím“, což je obzvláště důležité pro obchodní a obchodní tajemství.

Řešení pro větší datovou suverenitu

Vzhledem k popsaným problémům vyvstává otázka, jaká opatření mohou společnosti přijmout k zachování své datové suverenity.

Alternativní poskytovatelé cloudových služeb a technická opatření

Účinná ochrana před přístupem na základě zákona CLOUD Act je zaručena pouze tehdy, pokud všichni poskytovatelé a subdodavatelé služeb působí mimo rámec amerického práva, je používána výhradně evropská infrastruktura a je implementováno šifrování typu end-to-end s výhradně uživatelskou kontrolou klíče.

Odborníci proto doporučují při výběru cloudového úložiště nebo poskytovatele zálohování dodržovat následující opatření:

• Výběr poskytovatele se sídlem v EU, který nepodléhá zákonu CLOUD Act
• Záruky datové suverenity, kdy jak data, tak šifrovací klíče zůstávají zcela v EU
• Konzultace s právními a compliance experty specializujícími se na GDPR a ochranu osobních údajů

Alternativní přístupy: Open-source jako strategie

Švýcarsko volí zajímavý alternativní přístup: V dubnu 2023 byl přijat federální zákon o používání elektronických prostředků k plnění vládních úkolů (EMBAG), který stanoví, že vládní software musí být s otevřeným zdrojovým kódem a že zdrojový kód by měl být zveřejněn.

Profesor Dr. Matthias Stürmer z Univerzity aplikovaných věd v Bernu, který tento zákon prosazoval, jej popisuje jako „skvělou příležitost pro stát, IT průmysl a společnost“. Cílem tohoto přístupu je snížit závislost veřejného sektoru na dodavatelích, umožnit firmám rozšířit svá digitální obchodní řešení a potenciálně vést k nižším nákladům na IT a lepším službám pro daňové poplatníky.

Cesta k opravdové digitální suverenitě

Investice společnosti Microsoft v Evropě a zavedení datové hranice EU jsou důležitými kroky k větší datové suverenitě evropských společností a veřejných institucí. Nicméně plně neřeší zásadní právní konflikt mezi americkým zákonem CLOUD Act a evropským GDPR.

Pouhé ukládání dat na evropských serverech neposkytuje dostatečnou ochranu před potenciálním přístupem amerických orgánů, pokud poskytovatel cloudu podléhá americkému právu. Tato situace nejen zpochybňuje ochranu údajů, ale ohrožuje také duševní vlastnictví a obchodní tajemství evropských společností.

Skutečná digitální suverenita proto vyžaduje komplexnější přístupy, které zohledňují jak právní, tak technické aspekty. Patří mezi ně využívání cloudových služeb, které fungují zcela mimo rámec amerického práva, konzistentní šifrování typu end-to-end s kontrolou klíčů na straně uživatele a potenciálně zvýšené investice do open-source řešení.

Evropa v konečném důsledku potřebuje vlastní nezávislou cloudovou infrastrukturu, která je nejen technicky, ale i právně suverénní. Do té doby musí firmy a veřejné instituce pečlivě zvážit, jaká data ukládají, kde a jak – a kterým poskytovatelům mohou důvěřovat.

Vhodné pro:

• Proč je americký cloudový akt problém a riziko pro Evropu a zbytek světa: Zákon s důsledek daleko k dispozici
• Vypadněte z amerického cloudu: Sovereign SaaS nabízí přehled + doporučení pro akci

☑️ Naším obchodním jazykem je angličtina nebo němčina

☑️ NOVINKA: Korespondence ve vašem národním jazyce!

Konrad Wolfenstein

Rád vám a mému týmu posloužím jako osobní poradce.

Kontaktovat mě můžete vyplněním kontaktního formuláře nebo mi jednoduše zavolejte na číslo +49 89 89 674 804 (Mnichov) . Moje e-mailová adresa je: wolfenstein ∂ xpert.digital

Těším se na náš společný projekt.

☑️ Podpora MSP ve strategii, poradenství, plánování a implementaci

☑️ Vytvoření nebo přeladění digitální strategie a digitalizace

☑️ Rozšíření a optimalizace mezinárodních prodejních procesů

☑️ Globální a digitální obchodní platformy B2B

☑️ Pioneer Business Development / Marketing / PR / Veletrhy