Publikováno dne: 4. května 2025 / Aktualizace od: 4. května 2025 - Autor: Konrad Wolfenstein
Zabezpečení dat a digitální suverenita v Evropě: Jsou investice společnosti Microsoft do evropských údajů -odolné proti? - Obrázek: xpert.digital
Proč umístění serveru nezaručuje zabezpečení dat
Společnost Microsoft nedávno oznámila rozsáhlé investice do Evropy, včetně zajištění zdrojového kódu ve Švýcarsku a rozšíření její cloudové infrastruktury. Tato opatření jsou interpretována v reakci na politické nejistoty a rostoucí obavy evropských zákazníků. Přes toto úsilí existuje základní konflikt mezi americkým právem a evropskými předpisy o ochraně údajů, což vyvolává otázku, zda poloha evropského serveru může skutečně poskytnout dostatečnou ochranu. Tato zpráva analyzuje záruku společnosti Microsoft pro Evropu, vysvětluje právní konflikt mezi americkým cloudovým zákonem a GDPR a zkoumá, proč samotné fyzické umístění dat neposkytuje žádnou záruku pro zabezpečení dat a svrchovanost.
Vhodné pro:
Nová digitální ujištění společnosti Microsoft pro Evropu
S ohledem na obchodní boje a náhlá politická rozhodnutí provedená pod vládou Trump ztratilo mnoho evropských zákazníků důvěru v digitální produkty ze Spojených států. Microsoft na to reaguje s konkrétními ujištěními a investicemi do Evropy.
Rozsáhlé investice do infrastruktury
Společnost Microsoft oznámila, že v příštích dvou letech rozšíří své kapacity datových center v Evropě přibližně o 40 procent a rozšíří ji celkem na 16 evropských zemí. Pro tuto expanzi společnost plánuje roční investice do dvojnásobné výšky miliard dolarů. Tato opatření by měla nejen sloužit rostoucí poptávce po cloudových službách a infrastruktuře AI, ale také posílit důvěru evropských zákazníků.
Brad Smith, spravedlnost a prezident společnosti Microsoft, zdůrazňuje úzké ekonomické spojení s Evropou ve svém blogovém příspěvku a ujišťuje, že Microsoft se z regionu nestoupí. Evropská datová centra by měla jednat nezávisle a jsou pod vedením občanů EU, přičemž evropské zákony mají být respektovány a prováděny.
Švýcarský zdrojový kód Zabezpečení a provozní kontinuita
Obzvláště pozoruhodnou jistotou je zabezpečení zdrojových kódů společnosti Microsoft ve Švýcarsku. Společnost vytváří zálohování svých zdrojových kódů v bezpečném ukládání dat ve Švýcarsku a uděluje evropským partnerům práva na přístup k legálnímu přístupu. Toto opatření slouží jako nouzový plán pro „nepravděpodobný případ“, který by Microsoft měl být někdy nucen zastavit své služby v Evropě.
Společnost Microsoft také plánuje jmenovat evropské partnery a přijmout nouzová opatření, která by měla zaručit provozní kontinuitu. Toto je již implementováno partnerství ve Francii a Německu s datovými centry Bleu a Delos.
Limit dat EU: Odpověď společnosti Microsoft na obavy o ochranu údajů
Ústřední součástí strategie společnosti Microsoft v Evropě je implementace tzv. „Limitu dat EU“ (hranice dat EU) pro Microsoft Cloud.
Komplexní datové pobyt v EU
Od ledna 2024 byli evropští zákazníci z komerčního a veřejného sektoru schopni ušetřit a zpracovávat všechna jejich údaje a detekce uživatelů pro centrální cloudové služby Microsoft-In-Concluding Microsoft 365, Dynamics 365, Power Platform a Azure Services. Třetí a poslední fáze limitu dat EU byla dokončena v únoru 2025, přičemž limit byl také rozšířen na data Microsoft Professional Service z interakcí technické podpory.
S touto nabídkou jde Microsoft o krok dále než mnoho jiných poskytovatelů cloudu: Společnost umožňuje nejen místní úložiště a zpracování údajů o zákaznících, ale také ze všech osobních údajů, včetně těch automaticky vytvořených.
Další možnosti zabezpečení
Společnost Microsoft nabízí evropským zákazníkům několik možností pro zajištění a šifrování jejich dat. To zahrnuje důvěrné výpočetní techniky v Azure, který zabraňuje třetím stranám, které zahrnují samotné zákaznické údaje společnosti Microsoft, a také funkce „Lockbox“ pro Azure, Dynamics 365 a Microsoft 365, s nimiž mohou zákazníci zkontrolovat a schválit před jejich data.
Mezi další možnosti zabezpečení patří Azure Key Vault a Microsoft Purew Customer Key, které zákazníkům umožňují zabezpečit svá data pomocí technologie šifrování s vlastním řízením.
Základní konflikt: Cloud Act versus GDPR
Přes veškeré úsilí a ujištění existuje základní právní konflikt, který vyvolává otázku, zda jsou údaje evropských společností od amerických poskytovatelů skutečně bezpečné.
Extrateritoriální rozsah zákona o cloudu
Cloudový zákon (objasnění zákonného zákona o zámoří na údaje), který vstoupil v platnost v roce 2018, nám umožňuje úřadům trestního stíhání nutit společnosti se sídlem ve Spojených státech, aby poskytovaly přístup k údajům, bez ohledu na to, kde jsou údaje fyzicky uloženy. To platí také pro data uložená v EU, ale je spravována americkými společnostmi nebo jejich dceřinými společnostmi.
Zákon zavazuje americké internetové společnosti a poskytovatele služeb IT, aby zajistili, že americkým úřadům bude přístupný také přístup k uloženým datům, pokud není úložiště v USA. Dotčené společnosti mají nárok na právo namítat, pokud vlastník údajů není občanem USA a společnost by porušovala právo v jiných zemích, ale to platí pouze pro země, které uzavřely dohodu podle zákona o cloudu, což je v současné době pouze ve Velké Británii.
Rozpor s GDPR
Evropské nařízení o ochraně údajů (GDPR) je v přímém rozporu s cloudovým zákonem. Článek 48 GDPR zakazuje společnostem převod údajů zajištěných v EU bez dohody o právní pomoci. Porušení tohoto ustanovení může být potrestáno pokutami až 20 milionů EUR nebo čtyř procent globálního ročního obratu.
Tato nekompatibilita amerického cloudového zákona a nařízení o ochraně údajů EU přináší společnosti, které používají cloudové služby k neřešitelnému dilematu. Jsou čelí výběru buď porušení zákona o cloudu nebo proti GDPR, i když oba mohou vést k významným sankcím.
Vhodné pro:
Proč umístění serveru nezaručuje zabezpečení dat
Na rozdíl od rozšířeného předpokladu, pouhá skutečnost, že data jsou uložena na serverech v Německu nebo EU, nenabízí dostatečnou ochranu před zahraničním přístupem.
Chyba zabezpečení dat prostřednictvím výběru umístění
Odsouzení, že údaje o serverech v Německu jsou automaticky chráněny proti zahraničnímu přístupu, se nazývá „nebezpečná chyba“. I když jsou osobní údaje uloženy v datových centrech v Evropské unii, americký poskytovatel cloudu může být legálně povinen tyto údaje předat americkým orgánům v souvislosti s vyšetřováním trestního řízení.
Existuje specifické riziko, zejména pokud má poskytovatel cloudu své sídlo ve Spojených státech nebo tam pracuje, zpracování dat prostřednictvím americké infrastruktury nebo americká společnost má přímý nebo nepřímý přístup k datům. V takových případech existuje možnost, že americké úřady získají přístup k osobním údajům, a to i bez znalostí nebo souhlasu dotčených v Evropě.
Hrozba pro duševní vlastnictví a obchodní tajemství
Problém jde daleko nad rámec ochrany osobních údajů. Cloud Act má skutečná rizika, která také ohrožují bezpečnost a důvěrnost všech typů citlivých dat, včetně duševního vlastnictví, prototypů F&E, zákaznických dat a soukromé komunikace.
I když jsou data uložena v datových centrech EU, společnost Cloud ACT USA může tato data nutit k zveřejnění těchto dat. To nejen podkopává ochranu GDPR a datovou suverenitu EU, ale také odhaluje kritické obchodní informace, jako jsou prototypy nebo strategické plány, riziko neoprávněného přístupu.
Vzhledem k možným možnostem přístupu amerických úřadů „společnosti ve skutečnosti ztratí suverenitu nad svými informacemi a tedy o jejich duševním vlastnictví“, což je zvláště kritické pro tajemství podnikání a společnosti.
Přístupy k řešení pro větší datovou suverenitu
S ohledem na popsaný problém vyvstává otázka, která opatření mohou společnosti učinit k ochraně své svrchovanosti dat.
Alternativní poskytovatelé cloudu a technická opatření
Efektivní ochrana proti přístupu založené na cloudovém zákoně je zaručena pouze tehdy, pokud všichni poskytovatelé a poskytovatelé subdienstů jednají mimo americký právo, použije se výhradně evropská infrastruktura a šifrování end-to-end je implementováno výhradně s ovládáním uživatelských klíčů.
Odborníci proto doporučují při výběru poskytovatele cloudového úložiště nebo zálohování následující preventivní opatření:
- Volba poskytovatele založeného na EU, který nepodléhá zákonu o cloudu
- Záruky na datová suverenita, ve kterých data i šifrovací klíč zůstávají zcela v EU
- Přidání odborníků na právní a dodržování předpisů, kteří se specializují na GDPR a ochranu údajů
Alternativní přístupy: Open Source jako strategie
Švýcarsko jde zajímavým alternativním způsobem: V dubnu 2023 byl federální zákon o využívání elektronických zdrojů rozhodnut splnit úřady (Embag), což stanoví, že vládní software musí být otevřený zdroj a zdrojový kód by měl být zveřejněn.
Profesor Dr. Matthias Stürmer z Bern University of Applied Sciences, který bojoval za tento zákon, jej popisuje jako „skvělou příležitost pro stát, IT průmysl a společnost“. Účelem tohoto přístupu je snížit závazek poskytovatele pro veřejný sektor, aby společnosti umožnil rozšířit svá řešení digitálního podnikání a potenciálně vést ke snížení nákladů na IT a lepší službu pro daňové poplatníky.
Cesta k skutečné digitální suverenitě
Investice společnosti Microsoft do Evropy a provádění limitu údajů EU jsou důležitými kroky k větší suverenity dat pro evropské společnosti a veřejné instituce. Neřeší však plně základní právní konflikt mezi americkým cloudovým zákonem a evropským GDPR.
Pouhé ukládání údajů na evropských serverech nenabízí dostatečnou ochranu před potenciálním přístupem amerických úřadů, pokud podléhá poskytovateli cloudu americkým zákonům. To nejen zpochybňuje ochranu údajů, ale také ohrožuje duševní vlastnictví a obchodní tajemství evropských společností.
Pro skutečnou digitální suverenitu jsou proto vyžadovány rozsáhlejší přístupy, které zohledňují právní i technické aspekty. To zahrnuje využití cloudových služeb, které fungují zcela mimo rozsah amerického práva, konzistentní šifrování end-to-end s kontrolou klíčů na straně uživatele a možná také zvýšené investice do řešení s otevřeným zdrojovým kódem.
Evropa nakonec potřebuje svou vlastní nezávislou cloudovou infrastrukturu, která je nejen technicky, ale také právně sebevědomá. Do té doby musí společnosti a veřejné instituce pečlivě zvážit, která data ukládají tam, kde a jak - a kterým poskytovatelům mohou důvěřovat.
Vhodné pro:
Váš globální partner pro marketing a rozvoj podnikání
☑️ Naším obchodním jazykem je angličtina nebo němčina
☑️ NOVINKA: Korespondence ve vašem národním jazyce!
Konrad Wolfenstein
Rád vám a mému týmu posloužím jako osobní poradce.
Kontaktovat mě můžete vyplněním kontaktního formuláře nebo mi jednoduše zavolejte na číslo +49 89 89 674 804 (Mnichov) . Moje e-mailová adresa je: wolfenstein ∂ xpert.digital
Těším se na náš společný projekt.
