Andmeturve ja digitaalne suveräänsus Euroopas: kas Microsofti investeeringud Euroopas on andmekindlad? – Pilt: Xpert.Digital
Miks serveri asukoht ei taga andmete turvalisust
Microsoft teatas hiljuti märkimisväärsetest investeeringutest Euroopasse, sealhulgas lähtekoodi turvamisest Šveitsis ja pilveinfrastruktuuri laiendamisest. Neid samme tõlgendatakse vastusena poliitilisele ebakindlusele ja Euroopa klientide kasvavale murele. Vaatamata neile pingutustele on USA seaduste ja Euroopa andmekaitse-eeskirjade vahel endiselt põhimõtteline konflikt, mis tõstatab küsimuse, kas Euroopa serveri asukoht suudab tõepoolest pakkuda piisavat kaitset. See aruanne analüüsib Microsofti kinnitusi Euroopale, selgitab õiguslikku konflikti USA pilveseaduse ja isikuandmete kaitse üldmääruse vahel ning uurib, miks ainuüksi andmete füüsiline asukoht ei taga andmete turvalisust ja suveräänsust.
Sobib selleks:
Värskendus 21. juulil 2025:
Microsofti uued digitaalsed tagatised Euroopale
Trumpi administratsiooni ajal peetud kaubandussõdade ja ootamatute poliitiliste otsuste valguses on paljud Euroopa kliendid kaotanud usalduse USA digitaalsete toodete vastu. Microsoft vastab konkreetsete lubaduste ja investeeringutega Euroopasse.
Ulatuslikud taristuinvesteeringud
Microsoft on teatanud plaanist laiendada oma andmekeskuste võimsust Euroopas järgmise kahe aasta jooksul ligikaudu 40 protsenti, laiendades seda kokku 16 Euroopa riiki. Ettevõte plaanib investeerida sellesse laienemisse kümneid miljardeid dollareid aastas. Need meetmed on mõeldud mitte ainult pilveteenuste ja tehisintellekti taristu kasvava nõudluse rahuldamiseks, vaid ka Euroopa klientide usalduse tugevdamiseks.
Microsofti peajuristi ja presidendi Brad Smithi blogipostituses rõhutatakse ettevõtte tihedaid majandussidemeid Euroopaga ning kinnitatakse lugejatele, et Microsoft ei lahku piirkonnast. Euroopa andmekeskused tegutsevad iseseisvalt ja neid haldavad ELi kodanikud, austades ja rakendades Euroopa seadusi.
Šveitsi lähtekoodi varundamine ja äritegevuse järjepidevus
Üks eriti tähelepanuväärne kinnitus on Microsofti lähtekoodi varundamine Šveitsis. Ettevõte loob oma lähtekoodist varukoopiaid turvalistes andmesalvestusrajatistes Šveitsis ja annab Euroopa partneritele õiguslikult siduvad juurdepääsuõigused. See meede toimib varuplaanina "ebatõenäoliseks sündmuseks", kui Microsoft peaks kunagi olema sunnitud oma teenused Euroopas lõpetama.
Microsoft plaanib leida ka Euroopa partnereid ja rakendada äritegevuse järjepidevuse tagamiseks varuplaane. Seda juba rakendatakse Prantsusmaal ja Saksamaal Bleu ja Delos andmekeskustega sõlmitud partnerluste kaudu.
EL-i andmepiir: Microsofti vastus privaatsusprobleemidele
Microsofti Euroopa strateegia põhikomponent on nn „ELi andmepiiri” rakendamine Microsofti pilves.
Põhjalik andmete säilitamine ELis
Alates 2024. aasta jaanuarist on Euroopa äri- ja avaliku sektori kliendid saanud salvestada ja töödelda kõiki oma andmeid ja kasutajamandaate Microsofti põhiliste pilveteenuste (sh Microsoft 365, Dynamics 365, Power Platform ja Azure'i teenuste) jaoks ELis ja EFTA piirkonnas. 2025. aasta veebruaris viidi lõpule ELi andmepiiri kolmas ja viimane etapp, laiendades piiri, et hõlmata ka Microsofti professionaalsete teenuste andmeid tehnilise toe suhtlusest.
Selle pakkumisega läheb Microsoft sammu võrra kaugemale kui paljud teised pilveteenuse pakkujad: ettevõte võimaldab lisaks kliendiandmete, aga ka kõigi isikuandmete, sealhulgas automaatselt genereeritud süsteemilogide andmete lokaalsele salvestamisele ja töötlemisele.
Täiendavad turvavalikud
Microsoft pakub Euroopa klientidele mitmeid võimalusi oma andmete turvamiseks ja krüptimiseks. Nende hulka kuuluvad Azure'i konfidentsiaalne andmetöötlus, mis takistab kolmandatel osapooltel – sealhulgas Microsoftil endal – klientide andmetele juurdepääsu, ning Azure'i, Dynamics 365 ja Microsoft 365 „Lockboxi” funktsioonid, mis võimaldavad klientidel taotlusi enne Microsofti andmetele juurdepääsu üle vaadata ja kinnitada.
Teiste turvavõimaluste hulka kuuluvad Azure Key Vault ja Microsoft Purview Customer Key, mis võimaldavad klientidel oma andmeid isekontrollitava krüpteerimistehnoloogia abil kaitsta.
Põhiline konflikt: CLOUD Act versus GDPR
Vaatamata kõigile pingutustele ja kinnitustele on põhimõtteline õiguslik konflikt endiselt lahendamata, mis tõstatab küsimuse, kas Euroopa ettevõtete andmed on USA pakkujate juures tõesti turvalised.
CLOUD Acti ekstraterritoriaalne ulatus
2018. aastal jõustunud CLOUD Act (andmete seadusliku väliskasutuse selgitamise seadus) lubab USA õiguskaitseasutustel kohustada USA-s asuvaid ettevõtteid andma juurdepääsu andmetele, olenemata sellest, kus andmeid füüsiliselt hoitakse. See kehtib ka andmete kohta, mida hoitakse ELis, kuid mida haldavad USA ettevõtted või nende tütarettevõtted.
Seadus kohustab Ameerika internetifirmasid ja IT-teenuse pakkujaid andma USA ametivõimudele juurdepääsu salvestatud andmetele isegi siis, kui andmeid ei salvestata USA-s. Kuigi mõjutatud ettevõtetel on õigus esitada vastuväiteid, kui andmete omanik ei ole USA kodanik ja ettevõte rikuks andmete avalikustamisega teiste riikide seadusi, kehtib see õigus ainult riikidele, kellel on USA-ga CLOUD Acti leping, mis praegu kehtib ainult Ühendkuningriigis.
Vastuväide isikuandmete kaitse üldmäärusele
Euroopa isikuandmete kaitse üldmäärus (GDPR) on otseses vastuolus CLOUD Actiga. GDPR-i artikkel 48 keelab ettevõtetel edastada ELis talletatud andmeid ilma vastastikuse õigusabi lepinguta. Selle sätte rikkumise eest võidakse karistada rahatrahviga kuni 20 miljonit eurot või neli protsenti ettevõtte ülemaailmsest aastakäibest.
See vastuolu USA CLOUD Acti ja ELi isikuandmete kaitse üldmääruse (GDPR) vahel seab pilveteenuseid kasutavad ettevõtted võimatusse dilemma olukorda. Nad seisavad silmitsi valikuga, kas rikkuda CLOUD Acti või GDPR-i, mis mõlemad võivad kaasa tuua märkimisväärseid karistusi.
Sobib selleks:
Miks serveri asukoht ei taga andmete turvalisust
Vastupidiselt levinud arvamusele ei paku ainuüksi asjaolu, et andmeid hoitakse Saksamaal või EL-is asuvates serverites, piisavat kaitset välismaise juurdepääsu eest.
Asukoha valiku kaudu andmeturbe väärarusaam
Arvamust, et Saksamaa serverites olevad andmed on automaatselt välismaise juurdepääsu eest kaitstud, peetakse "ohtlikuks eksiarvamuseks". Isegi kui isikuandmeid hoitakse Euroopa Liidu andmekeskustes, võib USA pilveteenuse pakkuja olla seaduslikult kohustatud avaldama neid andmeid USA ametivõimudele kriminaaluurimise osana.
Spetsiifiline risk eksisteerib eriti juhul, kui pilveteenuse pakkuja peakontor asub või ta tegutseb USAs, andmetöötlus toimub USA infrastruktuuri kaudu või USA ettevõttel on otsene või kaudne juurdepääs andmetele. Sellistel juhtudel on võimalik, et USA ametivõimud saavad juurdepääsu isikuandmetele isegi ilma Euroopa andmesubjektide teadmata või nõusolekuta.
Oht intellektuaalomandile ja ärisaladusele
See probleem ulatub isikuandmete kaitsest palju kaugemale. CLOUD Act kujutab endast reaalseid riske, mis ohustavad ka igat tüüpi tundlike andmete, sealhulgas intellektuaalomandi, teadus- ja arendusprototüüpide, kliendiandmete ja privaatse suhtluse turvalisust ja konfidentsiaalsust.
Isegi kui andmeid hoitakse EL-i andmekeskustes, võib CLOUD Act sundida USA ettevõtteid neid andmeid USA ametivõimudele edastama. See mitte ainult ei õõnesta isikuandmete kaitse üldmääruse ja EL-i andmesuveräänsuse kaitset, vaid seab ka olulise äriteabe, näiteks prototüübid või strateegilised plaanid, volitamata juurdepääsu ohtu.
USA ametivõimude potentsiaalsete juurdepääsuvõimaluste tõttu „kaotavad ettevõtted de facto kontrolli oma andmete ja seega ka oma intellektuaalomandi üle”, mis on eriti oluline äri- ja kaubandussaladuste puhul.
Lahendused suurema andmesuveräänsuse saavutamiseks
Kirjeldatud probleemide valguses tekib küsimus, milliseid meetmeid saavad ettevõtted oma andmesuveräänsuse säilitamiseks võtta.
Alternatiivsed pilveteenuse pakkujad ja tehnilised meetmed
Tõhus kaitse juurdepääsu eest CLOUD Acti alusel on tagatud ainult siis, kui kõik teenusepakkujad ja allteenusepakkujad tegutsevad väljaspool USA seadusi, kasutatakse ainult Euroopa infrastruktuuri ning rakendatakse otsast lõpuni krüptimist ainult kasutajapoolse võtmekontrolliga.
Seetõttu soovitavad eksperdid pilvesalvestuse või varundusteenuse pakkuja valimisel võtta järgmisi ettevaatusabinõusid:
- EL-is asuva teenusepakkuja valimine, kelle suhtes CLOUD Acti ei kohaldata
- Andmete suveräänsuse garantiid, mille kohaselt nii andmed kui ka krüpteerimisvõtmed jäävad täielikult ELi sisesse.
- Konsultatsioonid õigus- ja vastavusekspertidega, kes on spetsialiseerunud GDPR-ile ja andmekaitsele
Alternatiivsed lähenemisviisid: avatud lähtekoodiga tarkvara strateegia
Šveits kasutab huvitavat alternatiivset lähenemisviisi: 2023. aasta aprillis võeti vastu föderaalne seadus elektrooniliste vahendite kasutamise kohta valitsuse ülesannete täitmiseks (EMBAG), mis sätestab, et valitsuse tarkvara peab olema avatud lähtekoodiga ja et lähtekood tuleks avalikustada.
Berni Rakendusteaduste Ülikooli professor dr Matthias Stürmer, kes selle seaduse eestkõneleja oli, kirjeldab seda kui „suurepärast võimalust riigile, IT-tööstusele ja ühiskonnale“. Selle lähenemisviisi eesmärk on vähendada avaliku sektori tarnijasõltuvust, võimaldada ettevõtetel laiendada oma digitaalseid ärilahendusi ning potentsiaalselt viia madalamate IT-kuludeni ja paremate teenusteni maksumaksjatele.
Tee tõelise digitaalse suveräänsuse poole
Microsofti investeeringud Euroopasse ja ELi andmepiiri rakendamine on olulised sammud Euroopa ettevõtete ja avaliku sektori asutuste suurema andmesuveräänsuse suunas. Siiski ei lahenda need täielikult USA PILVESÕJA seaduse ja Euroopa isikuandmete kaitse üldmääruse vahelist põhimõttelist õiguslikku konflikti.
Andmete pelgalt Euroopa serverites hoidmine ei paku piisavat kaitset USA ametivõimude võimaliku juurdepääsu eest, kui pilveteenuse pakkuja allub USA seadustele. See olukord mitte ainult ei sea kahtluse alla andmekaitset, vaid ohustab ka Euroopa ettevõtete intellektuaalomandit ja ärisaladusi.
Tõeline digitaalne suveräänsus nõuab seega terviklikumaid lähenemisviise, mis arvestavad nii juriidiliste kui ka tehniliste aspektidega. Nende hulka kuuluvad pilveteenuste kasutamine, mis toimivad täielikult väljaspool USA seaduste reguleerimisala, järjepidev otsast lõpuni krüpteerimine kasutajapoolse võtmekontrolliga ja potentsiaalselt suuremad investeeringud avatud lähtekoodiga lahendustesse.
Lõppkokkuvõttes vajab Euroopa oma iseseisvat pilveinfrastruktuuri, mis on mitte ainult tehniliselt, vaid ka juriidiliselt suveräänne. Seni peavad ettevõtted ja avaliku sektori asutused hoolikalt kaaluma, milliseid andmeid, kus ja kuidas nad salvestavad – ning milliseid pakkujaid nad usaldada saavad.
Sobib selleks:
Teie ülemaailmne turundus- ja äriarenduspartner
☑️ Meie ärikeel on inglise või sakslane
☑️ Uus: kirjavahetus teie riigikeeles!
Konrad Wolfenstein
Mul on hea meel, et olete teile ja minu meeskonnale isikliku konsultandina kättesaadav.
Võite minuga ühendust võtta, täites siin kontaktvormi või helistage mulle lihtsalt telefonil +49 89 674 804 (München) . Minu e -posti aadress on: Wolfenstein ∂ xpert.digital
Ootan meie ühist projekti.
