Megjelent: 2025. május 4. / Frissítve: 2025. július 21. – Szerző: Konrad Wolfenstein
Adatbiztonság és digitális szuverenitás Európában: Adatbiztonságosak-e a Microsoft európai befektetései? – Kép: Xpert.Digital
Miért nem garantálja a szerver helye az adatbiztonságot?
A Microsoft a közelmúltban jelentős európai beruházásokat jelentett be, beleértve a forráskód svájci biztonságossá tételét és felhőinfrastruktúrájának bővítését. Ezeket a lépéseket a politikai bizonytalanságokra és az európai ügyfelek körében növekvő aggodalmakra adott válaszként értelmezik. Ezen erőfeszítések ellenére továbbra is alapvető ellentmondás áll fenn az amerikai törvények és az európai adatvédelmi szabályozások között, ami felveti a kérdést, hogy egy európai szerverhelyszín valóban elegendő védelmet nyújthat-e. Ez a jelentés elemzi a Microsoft európai garanciáit, ismerteti az amerikai CLOUD Act és a GDPR közötti jogi ellentmondást, és azt vizsgálja, hogy miért nem garantálja az adatok fizikai helye önmagában az adatbiztonságot és -szuverenitást.
Alkalmas:
Frissítés, 2025. július 21.:
A Microsoft új digitális garanciái Európának
A Trump-adminisztráció alatt vívott kereskedelmi háborúk és a hirtelen politikai döntések fényében sok európai vásárló elvesztette a bizalmát az amerikai digitális termékekben. A Microsoft konkrét kötelezettségvállalásokkal és európai beruházásokkal reagál.
Kiterjedt infrastrukturális beruházások
A Microsoft bejelentette, hogy a következő két évben körülbelül 40 százalékkal bővíti európai adatközpont-kapacitását, összesen 16 európai országra kiterjesztve azt. A vállalat évente több tízmilliárd dollárt tervez befektetni ebbe a bővítésbe. Ezek az intézkedések nemcsak a felhőszolgáltatások és a mesterséges intelligencia infrastruktúra iránti növekvő kereslet kielégítését célozzák, hanem az európai ügyfelek bizalmának megerősítését is.
Brad Smith, a Microsoft jogtanácsosa és elnöke blogbejegyzésében hangsúlyozza a vállalat szoros gazdasági kapcsolatait Európával, és biztosítja az olvasókat, hogy a Microsoft nem fog kivonulni a régióból. Az európai adatközpontok függetlenül fognak működni, és az EU állampolgárai fogják irányítani őket, tiszteletben tartva és végrehajtva az európai törvényeket.
Svájci forráskód biztonsági mentése és üzletmenet-folytonosság
Egy különösen figyelemre méltó biztosíték a Microsoft forráskódjának svájci biztonsági mentése. A vállalat forráskódjáról biztonságos adattároló létesítményekben készít biztonsági mentéseket Svájcban, és jogilag kötelező érvényű hozzáférési jogokat biztosít európai partnereinek. Ez az intézkedés vészhelyzeti tervként szolgál arra a „valószínűtlen eseményre”, ha a Microsoftot valaha is kénytelen lenne megszüntetni európai szolgáltatásait.
A Microsoft európai partnerek felkutatását és vészhelyzeti tervek végrehajtását is tervezi az üzletmenet folytonosságának garantálása érdekében. Ez már folyamatban van a Bleu és a Delos adatközpontokkal kötött franciaországi és németországi partnerségek révén.
Az EU adathatára: A Microsoft válasza az adatvédelmi aggályokra
A Microsoft európai stratégiájának egyik kulcsfontosságú eleme az úgynevezett „EU adathatár” bevezetése a Microsoft Cloud esetében.
Átfogó adattárolás az EU-n belül
2024 januárja óta az európai kereskedelmi és közszférabeli ügyfelek az EU-n és az EFTA régióban tárolhatják és feldolgozhatják a Microsoft alapvető felhőszolgáltatásaihoz – beleértve a Microsoft 365, a Dynamics 365, a Power Platform és az Azure szolgáltatásokat – tartozó összes adatukat és felhasználói hitelesítő adatukat. 2025 februárjában befejeződött az EU-s adathatár harmadik és egyben utolsó fázisa, kiterjesztve a határt a technikai támogatási interakciókból származó Microsoft Professional Services adatokra is.
Ezzel az ajánlattal a Microsoft egy lépéssel tovább megy, mint sok más felhőszolgáltató: a vállalat nemcsak az ügyféladatok helyi tárolását és feldolgozását teszi lehetővé, hanem az összes személyes adatét is, beleértve az automatikusan generált rendszernaplókból származó adatokat.
További biztonsági beállítások
A Microsoft számos lehetőséget kínál európai ügyfeleinek adataik védelmére és titkosítására. Ezek közé tartozik a Confidential Computing in Azure, amely megakadályozza, hogy harmadik felek – beleértve magát a Microsoftot is – hozzáférjenek az ügyféladatokhoz, valamint az Azure, a Dynamics 365 és a Microsoft 365 „Lockbox” funkciói, amelyek lehetővé teszik az ügyfelek számára, hogy a Microsoft előtt áttekintsék és jóváhagyják a kéréseket.
További biztonsági lehetőségek közé tartozik az Azure Key Vault és a Microsoft Purview Customer Key, amelyek lehetővé teszik az ügyfelek számára, hogy adataikat önállóan vezérelt titkosítási technológiával védjék.
Az alapvető konfliktus: a CLOUD Act kontra GDPR
Minden erőfeszítés és biztosíték ellenére továbbra is fennáll egy alapvető jogi konfliktus, amely felveti a kérdést, hogy vajon az európai vállalatok adatai valóban biztonságban vannak-e az amerikai szolgáltatóknál.
A CLOUD törvény területen kívüli hatálya
A 2018-ban hatályba lépett CLOUD törvény (a adatok jogszerű külföldi felhasználásának tisztázásáról szóló törvény) lehetővé teszi az amerikai bűnüldöző szervek számára, hogy az amerikai székhelyű vállalatokat az adatokhoz való hozzáférés biztosítására kötelezzék, függetlenül attól, hogy azokat fizikailag hol tárolják. Ez vonatkozik az EU-ban tárolt, de amerikai vállalatok vagy leányvállalataik által kezelt adatokra is.
A törvény kötelezi az amerikai internetes vállalatokat és informatikai szolgáltatókat, hogy hozzáférést biztosítsanak az amerikai hatóságoknak a tárolt adatokhoz, még akkor is, ha az adatokat nem az Egyesült Államokban tárolják. Míg az érintett vállalatoknak joguk van tiltakozni, ha az adattulajdonos nem amerikai állampolgár, és a vállalat az adatok nyilvánosságra hozatalával más országok törvényeit sértené, ez a jog csak azokra az országokra vonatkozik, amelyek CLOUD Act megállapodást kötöttek az Egyesült Államokkal, amely jelenleg csak az Egyesült Királyságra vonatkozik.
A GDPR elleni kifogás
Az európai általános adatvédelmi rendelet (GDPR) közvetlenül ellentmond a CLOUD törvénynek. A GDPR 48. cikke tiltja a vállalatoknak, hogy az EU-n belül tárolt adatokat kölcsönös jogsegélymegállapodás nélkül továbbítsák. E rendelkezés megsértése akár 20 millió eurós vagy a vállalat globális éves forgalmának négy százalékát kitevő bírsággal is sújtható.
Az amerikai CLOUD Act és az EU általános adatvédelmi rendelete (GDPR) közötti összeegyeztethetetlenség lehetetlen dilemma elé állítja a felhőszolgáltatásokat használó vállalatokat. Választaniuk kell, hogy a CLOUD Act vagy a GDPR megsértését követik-e el, amelyek mindkettő jelentős büntetésekhez vezethet.
Alkalmas:
Miért nem garantálja a szerver helye az adatbiztonságot?
A közhiedelemmel ellentétben az a tény, hogy az adatokat Németországban vagy az EU-ban található szervereken tárolják, önmagában nem nyújt elegendő védelmet a külföldi hozzáféréssel szemben.
Az adatbiztonság tévhite a helyszínválasztáson keresztül
Az a hiedelem, hogy a németországi szervereken tárolt adatok automatikusan védve vannak a külföldi hozzáféréstől, „veszélyes tévhitnek” számít. Még ha a személyes adatokat az Európai Unióban található adatközpontokban tárolják is, egy amerikai felhőszolgáltató jogilag köteles lehet ezeket az adatokat az amerikai hatóságoknak kiadni bűnügyi nyomozás részeként.
Különös kockázat áll fenn különösen akkor, ha a felhőszolgáltató székhelye vagy működési helye az Egyesült Államokban található, az adatfeldolgozás amerikai infrastruktúrán keresztül történik, vagy egy amerikai vállalat közvetlen vagy közvetett hozzáféréssel rendelkezik az adatokhoz. Ilyen esetekben fennáll annak a lehetősége, hogy az amerikai hatóságok hozzáférhetnek a személyes adatokhoz, akár az európai érintettek tudta vagy hozzájárulása nélkül is.
Szellemi tulajdon és üzleti titkok fenyegetése
A probléma messze túlmutat a személyes adatok védelmén. A CLOUD törvény valós kockázatokat jelent, amelyek veszélyeztetik mindenféle érzékeny adat biztonságát és bizalmas kezelését, beleértve a szellemi tulajdont, a K+F prototípusokat, az ügyféladatokat és a magánjellegű kommunikációt.
Még ha az adatokat EU-s adatközpontokban is tárolják, a CLOUD Act arra kötelezheti az amerikai vállalatokat, hogy ezeket az adatokat átadják az amerikai hatóságoknak. Ez nemcsak a GDPR és az EU adatszuverenitásának védelmét aláássa, hanem a kritikus üzleti információkat, például a prototípusokat vagy a stratégiai terveket is kiteszi a jogosulatlan hozzáférés kockázatának.
Az amerikai hatóságok potenciális hozzáférési lehetőségei miatt „a vállalatok de facto elveszítik az adataik, és így a szellemi tulajdonuk feletti ellenőrzést”, ami különösen kritikus az üzleti és kereskedelmi titkok szempontjából.
Megoldások a nagyobb adatszuverenitás érdekében
A leírt problémák fényében felmerül a kérdés, hogy milyen intézkedéseket tehetnek a vállalatok az adatszuverenitásuk megőrzése érdekében.
Alternatív felhőszolgáltatók és technikai intézkedések
A CLOUD Act alapján a hozzáférés elleni hatékony védelem csak akkor garantált, ha minden szolgáltató és alszolgáltató az amerikai törvényeken kívül működik, kizárólag európai infrastruktúrát használnak, és végponttól végpontig terjedő titkosítást alkalmaznak kizárólag felhasználóoldali kulcsvezérléssel.
A szakértők ezért a következő óvintézkedéseket javasolják felhőalapú tárhely vagy biztonsági mentési szolgáltató kiválasztásakor:
- EU-s szolgáltató kiválasztása, amelyre nem vonatkozik a CLOUD törvény
- Az adatszuverenitás garanciái, ahol mind az adatok, mind a titkosítási kulcsok teljes mértékben az EU-n belül maradnak.
- GDPR-ra és adatvédelemre szakosodott jogi és megfelelőségi szakértők tanácsadása
Alternatív megközelítések: Nyílt forráskódú szoftverek, mint stratégia
Svájc egy érdekes alternatív megközelítést alkalmaz: 2023 áprilisában elfogadták a kormányzati feladatok ellátásához elektronikus eszközök használatáról szóló szövetségi törvényt (EMBAG), amely előírja, hogy a kormányzati szoftvereknek nyílt forráskódúaknak kell lenniük, és a forráskódot nyilvánosságra kell hozni.
Dr. Matthias Stürmer professzor, a Berni Alkalmazott Tudományok Egyetemének munkatársa, aki a törvényjavaslatot támogatta, úgy jellemzi, mint „nagyszerű lehetőséget az állam, az IT-ipar és a társadalom számára”. A megközelítés célja, hogy csökkentse a szállítói függőséget a közszférában, lehetővé tegye a vállalatok számára digitális üzleti megoldásaik bővítését, és potenciálisan alacsonyabb IT-költségeket és jobb szolgáltatásokat eredményezzen az adófizetők számára.
Az igazi digitális szuverenitáshoz vezető út
A Microsoft európai beruházásai és az uniós adathatár bevezetése fontos lépések az európai vállalatok és közintézmények nagyobb adatszuverenitása felé. Ezek azonban nem oldják meg teljes mértékben az amerikai CLOUD törvény és az európai GDPR közötti alapvető jogi konfliktust.
Az adatok európai szervereken történő egyszerű tárolása nem nyújt elegendő védelmet az amerikai hatóságok esetleges hozzáférésével szemben, ha a felhőszolgáltató az amerikai törvények hatálya alá tartozik. Ez a helyzet nemcsak az adatvédelmet kérdőjelezi meg, hanem az európai vállalatok szellemi tulajdonát és üzleti titkait is veszélyezteti.
A valódi digitális szuverenitás ezért átfogóbb megközelítéseket igényel, amelyek figyelembe veszik mind a jogi, mind a technikai szempontokat. Ezek magukban foglalják az olyan felhőszolgáltatások használatát, amelyek teljes mértékben kívül esnek az amerikai törvények hatályán, a következetes, végponttól végpontig terjedő titkosítást felhasználóoldali kulcsvezérléssel, valamint a nyílt forráskódú megoldásokba történő potenciálisan fokozott beruházásokat.
Végső soron Európának szüksége van egy saját, független felhőinfrastruktúrára, amely nemcsak technikailag, hanem jogilag is szuverén. Addig is a vállalatoknak és a közintézményeknek gondosan meg kell fontolniuk, hogy milyen adatokat tárolnak, hol és hogyan – és melyik szolgáltatókban bízhatnak meg.
Alkalmas:
Az Ön globális marketing- és üzletfejlesztési partnere
☑️ Üzleti nyelvünk angol vagy német
☑️ ÚJ: Levelezés az Ön nemzeti nyelvén!
Konrad Wolfenstein
Szívesen szolgálok Önt és csapatomat személyes tanácsadóként.
Felveheti velem a kapcsolatot az itt található kapcsolatfelvételi űrlap kitöltésével , vagy egyszerűen hívjon a +49 89 89 674 804 (München) . Az e-mail címem: wolfenstein ∂ xpert.digital
Nagyon várom a közös projektünket.
