Avaldatud: 4. mail 2025 / Värskendus: 4. mai 2025 - autor: Konrad Wolfenstein
Andmeturve ja digitaalne suveräänsus Euroopas: kas Microsofti investeeringud Euroopasse on andmed? - pilt: xpert.digital
Miks serveri asukoht ei taga andmete turvalisust
Microsoft teatas hiljuti ulatuslikele investeeringutele Euroopas, sealhulgas Šveitsi lähtekoodi kindlustamisest ja pilveinfrastruktuuri laiendamisest. Neid meetmeid tõlgendatakse vastusena poliitilistele ebakindlustele ja Euroopa klientide kasvavatele muredele. Nendele jõupingutustele vaatamata on USA seaduste ja Euroopa andmekaitseeeskirjade vahel põhiline konflikt, mis tõstatab küsimuse, kas Euroopa serveri asukoht võib tegelikult pakkuda piisavalt kaitset. Selles aruandes analüüsitakse Microsofti kinnitust Euroopa vastu, selgitab USA pilveseaduse ja GDPR -i vahelist õiguslikku konflikti ja uuritakse, miks ainuüksi andmete füüsiline asukoht ei anna garantiid andmeturbele ja suveräänsusele.
Sobib selleks:
Microsofti uued digitaalsed kinnitused Euroopa jaoks
Arvestades Trumpi valitsuse all toimuvaid kaubanduse võitlusi ja äkilisi poliitilisi otsuseid, on paljud Euroopa kliendid kaotanud usalduse Ameerika Ühendriikide digitaalsete toodete vastu. Microsoft reageerib sellele konkreetsete kinnituste ja investeeringutega Euroopas.
Ulatuslikud infrastruktuuriinvesteeringud
Microsoft on teatanud, et laiendab järgmise kahe aasta jooksul oma andmekeskuse suutlikkust umbes 40 protsenti ja laiendab seda kokku 16 Euroopa riiki. Selle laienemise jaoks plaanib ettevõte iga -aastaseid investeeringuid kahekordse miljardi dollari kõrgusesse. Need meetmed ei peaks teenima mitte ainult kasvavat nõudlust pilveteenuste ja AI infrastruktuuri järele, vaid tugevdama ka Euroopa klientide usaldust.
Microsofti justiits- ja president Brad Smith rõhutab oma ajaveebi postituses tihedat majanduslikku seost Euroopaga ja kinnitab, et Microsoft ei taandu piirkonnast. Euroopa andmekeskused peaksid tegutsema iseseisvalt ja need on ELi kodanike juhtimisel, kusjuures Euroopa seadusi austatakse ja rakendatakse.
Šveitsi lähtekoodi turvalisus ja operatiivne järjepidevus
Eriti tähelepanuväärne kinnitus on Microsofti lähtekoodide tagamine Šveitsis. Ettevõte loob Šveitsi ohutu andmete salvestamise lähtekoodide varukoopiaid ja annab Euroopa partneritele seaduslikke juurdepääsuõigusi. See meede on hädaolukordaplaani "ebatõenäolise juhtumi" jaoks, et Microsofti peaks kunagi sunnitud oma teenuseid Euroopas peatama.
Microsoft kavatseb nimetada ka Euroopa partnereid ja võtta hädaolukorras ettevaatusabinõusid, mis peaksid tagama operatiivse järjepidevuse. Seda rakendavad juba partnerlused Prantsusmaal ja Saksamaal Bleu ja Delose andmekeskustega.
ELi andmeside: Microsofti vastus andmekaitseprobleemidele
Microsofti strateegia keskne komponent Euroopas on Microsofti pilve nn ELi andmeside (ELi andmeside) rakendamine.
Põhjalik andmemaja ELis
Alates 2024. aasta jaanuarist on äri- ja avaliku sektori Euroopa kliendid suutnud salvestada ja töödelda kõiki oma andmeid ja kasutaja tuvastamist Microsofti lisatud Microsoft 365, Dynamics 365, Power Platformi ja Azure Services keskse pilveteenuste jaoks. ELi andmelimiidi kolmas ja viimane etapp viidi lõpule veebruaris 2025, kusjuures piirkonda laiendati ka Microsofti professionaalse teenuse andmetele tehnilise toe koostoimest.
Selle pakkumisega läheb Microsoft sammu kaugemale kui paljud teised pilveteenuse pakkujad: ettevõte ei võimalda mitte ainult klientide andmete kohalikku salvestamist ja töötlemist, vaid ka kõigist isikuandmetest, sealhulgas automaatselt loodud isikuandmetest.
Täiendavad turvavõimalused
Microsoft pakub Euroopa klientidele mitmeid võimalusi oma andmete kindlustamiseks ja krüptimiseks. See hõlmab konfidentsiaalset arvutamist Azure'is, mis takistab kolmandaid osapooli, sealhulgas ka Microsofti enda klientide andmeid, samuti Azure'i, Dynamics 365 ja Microsoft 365 funktsioone „Lockbox”, millega kliendid saavad enne Microsoft oma andmetele juurde pääseda.
Muud turvavõimalused hõlmavad Azure Key võlviku ja Microsoft Purview Client Key, mis võimaldab klientidel oma andmeid iseenda suunatud krüptimistehnoloogiaga kindlustada.
Põhikonflikt: Cloud Act versus GDPR
Hoolimata kõigist pingutustest ja kinnitustest, on olemas põhimõtteline õiguslik konflikt, mis tõstatab küsimuse, kas Euroopa ettevõtete andmed on USA pakkujate eest tõesti ohutu.
Pilveseaduse ekstraterritoriaalne vahemik
2018. aastal jõustunud pilveseadus (selgitades andmete seaduslikku ülemeremaade seadust) võimaldab USA kriminaalprokuratuuri ametivõimudel sundida Ameerika Ühendriikides asuvaid ettevõtteid andma juurdepääsu andmetele, sõltumata sellest, kus andmeid füüsiliselt salvestatakse. See kehtib ka ELis salvestatud andmete kohta, kuid seda haldavad USA ettevõtted või nende tütarettevõtted.
Seadus kohustab Ameerika Interneti -ettevõtteid ja IT -teenuse pakkujaid tagama, et ka USA ametivõimudele juurdepääs on juurdepääs salvestatud andmetele, kui salvestusruumi ei tehta USA -s. Asjaomasetel ettevõtetel on õigus vastu esitada, kui andmete omanik ei ole USA kodanik ja ettevõte rikuks seadust teistes riikides, mida iganes kehtib, see kehtib ainult riikide suhtes, kes on sõlminud pilveseaduse alusel kokkuleppe, mis on praegu ainult Ühendkuningriigis.
Vastuolu GDPR -iga
Euroopa üldine andmekaitse määrus (GDPR) on otseses vastuolus pilveseadusega. GDPR -i artikkel 48 keelab ettevõtetel EL -is tagatud andmete edastamine ilma õigusabi lepinguta. Selle sätte rikkumist saab karistada kuni 20 miljoni euro suuruste trahvidega ehk neli protsenti ülemaailmsest aastakäsitlusest.
See USA pilveseaduse ja ELi üldise andmekaitsemääruse ühilduvus viib pilveteenuseid kasutavad ettevõtted lahendamatu dilemmani. Nad seisavad silmitsi valikuga, et rikkuda pilveseadust või GDPR -i vastu, ehkki mõlemad võivad põhjustada olulisi sanktsioone.
Sobib selleks:
Miks serveri asukoht ei taga andmete turvalisust
Vastupidiselt laialdasele eeldusele ei paku andmeid Saksamaa või ELi serverites pelgalt, et välismaise juurdepääsu eest ei paku piisavalt kaitset.
Andmeturbe viga asukoha valiku kaudu
Veendumust, et Saksamaa serverite kohta kaitstakse automaatselt välismaise juurdepääsu eest, nimetatakse ohtlikuks vigadeks. Isegi kui Euroopa Liidu andmekeskustes säilitatakse isikuandmeid, võib Ameerika pilveteenuse pakkuja olla seaduslikult kohustatud neid andmeid USA ametivõimudele kriminaaluurimise kontekstis edastama.
Seal on konkreetne risk, eriti kui pilveteenuse pakkujal on oma peakorter Ameerika Ühendriikides või töötab seal, USA infrastruktuuri kaudu andmete töötlemine või USA ettevõttel on andmetele otsene või kaudne juurdepääs. Sellistel juhtudel on võimalus, et USA võimud saavad juurdepääsu isikuandmetele, isegi ilma Euroopas asjaomaste inimeste teadmiste või nõusolekuta.
Oht intellektuaalomandile ja ärisaladustele
Probleem ulatub kaugelt üle isikuandmete kaitse. Pilveseadus kannab tõelisi riske, mis ohustavad ka igat tüüpi tundlike andmete turvalisust ja konfidentsiaalsust, sealhulgas intellektuaalomandit, F&E prototüüpe, klientide andmeid ja privaatset suhtlust.
Isegi kui andmeid salvestatakse EL -i andmekeskustes, saab USA ettevõtte ettevõte sundida neid andmeid nende andmete avaldamiseks. See mitte ainult ei kahjusta GDPR -i kaitset ja EL -i andmete suveräänsust, vaid paljastab ka kriitilise äriteabe, näiteks prototüübid või strateegilised plaanid, mis on volitamata juurdepääsu oht.
USA ametivõimude võimalike juurdepääsuvõimaluste tõttu kaotavad ettevõtted tegelikult oma teabe ja seega intellektuaalomandi suveräänsuse, mis on eriti kriitiline äri- ja ettevõtte saladuste suhtes.
Lahendus läheneb rohkem andmete suveräänsuse saamiseks
Kirjeldatud probleemi silmas pidades tekib küsimus, millise meetmega ettevõtted saavad oma andmete suveräänsuse kaitsmiseks võtta.
Alternatiivsed pilveteenuse pakkujad ja tehnilised meetmed
Pilveseaduse alusel juurdepääsu vastu suunatud tõhus kaitse on tagatud ainult siis, kui kõik pakkujad ja alamtarbijad tegutsevad väljaspool USA seadusi, kasutatakse eranditult Euroopa infrastruktuuri ja lõppkokkuvõttes rakendatakse lõppkokkuvõttes krüptimist.
Seetõttu soovitavad eksperdid pilvesalvestuse või varukoopia pakkuja valimisel võtta järgmisi ettevaatusabinõusid:
- EL-põhise pakkuja valimine, mida ei allu pilveseadusele
- Garanteid andmete suveräänsuse kohta, milles nii andmed kui ka krüptimisvõti jäävad ELis täielikult
- GDPR -i ja andmekaitsele spetsialiseerunud juriidiliste ja nõuetele vastavuse ekspertide lisamine
Alternatiivsed lähenemisviisid: avatud lähtekoodiga strateegia
Šveits on huvitav alternatiivne viis: 2023. aasta aprillis otsustati elektrooniliste ressursside kasutamise föderaalne seadus täita ametivõimude (Embag), mis näeb ette, et valitsuse tarkvara peab olema avatud lähtekoodiga ja lähtekood tuleks avalikustada.
Selle seaduse eest võitlenud Berni rakendusteaduste ülikoolist pärit professor dr Matthias Stürmer kirjeldab seda kui "suurt võimalust riigile, IT -tööstusele ja ühiskonnale". Selle lähenemisviisi eesmärk on vähendada avaliku sektori pakkuja pühendumust, et võimaldada ettevõtetel laiendada oma digitaalseid ärilahendusi ja viia maksumaksjatele potentsiaalselt madalama IT -kulude ja paremate teenusteni.
Tee tõelise digitaalse suveräänsuse juurde
Microsofti investeeringud Euroopasse ja ELi andmete limiidi rakendamine on olulised sammud Euroopa ettevõtete ja avalike institutsioonide jaoks rohkem andmete suveräänsuse osas. Kuid nad ei käsitle täielikult USA pilveseaduse ja Euroopa GDPR -i põhilist õiguslikku konflikti.
Pelgalt Euroopa serverite andmete säilitamine ei paku piisavalt kaitset USA ametivõimude võimaliku juurdepääsu eest, kui pilveteenuse pakkuja suhtes kehtivad USA seadused. See mitte ainult ei sea kahtluse alla andmekaitset, vaid ohustab ka Euroopa ettevõtete intellektuaalomandit ja ärisaladusi.
Reaalse digitaalse suveräänsuse korral on seetõttu vaja ulatuslikumaid lähenemisviise, mis võtavad arvesse nii juriidilisi kui ka tehnilisi aspekte. See hõlmab pilveteenuste kasutamist, mis töötavad täielikult väljaspool USA seadusi, järjepidevat otsast krüptimist kasutajapoolse võtmekontrolli abil ja suurenenud investeeringuid ka avatud lähtekoodiga lahendustesse.
Lõppkokkuvõttes vajab Euroopa oma iseseisvat pilveinfrastruktuuri, mis pole mitte ainult tehniliselt, vaid ka juriidiliselt enesekindel. Kuni selle ajani peavad ettevõtted ja avalikud asutused hoolikalt kaaluma, milliseid andmeid nad säästavad, kus ja kuidas - ja milliseid pakkujaid nad saavad usaldada.
Sobib selleks:
Teie ülemaailmne turundus- ja äriarenduspartner
☑️ Meie ärikeel on inglise või sakslane
☑️ Uus: kirjavahetus teie riigikeeles!
Konrad Wolfenstein
Mul on hea meel, et olete teile ja minu meeskonnale isikliku konsultandina kättesaadav.
Võite minuga ühendust võtta, täites siin kontaktvormi või helistage mulle lihtsalt telefonil +49 89 674 804 (München) . Minu e -posti aadress on: Wolfenstein ∂ xpert.digital
Ootan meie ühist projekti.
