Världen: Microsoft lovar att inte överföra europeiska kunders personuppgifter till USA

Som följd av Schrems II-målet riskerar företag och myndigheter som använder Microsofts molntjänster (som Office 365 eller Azure) att överföra personuppgifter till USA i strid med dataskyddsförordningen (“GDPR”). Microsoft har tidigare förnekat att Schrems II-målet påverkar möjligheten att använda deras molntjänster i enlighet med GDPR (se bland annat här), men nu har företaget svängt i frågan.

Microsoft har nyligen publicerat ett blogginlägg enligt vilket företaget lovar att framöver endast lagra och behandla europeiska kunders data inom EU. Löftet ska förvekligas genom en plan kallad ”EU Data Boundary”. Blogginlägget redovisar inte hur planen ska implementeras i detalj utan Microsoft använder istället allmänna formuleringar (“Microsoft will continue to do all we can … to adress lawful access issues quickly”) och hänvisar till befintliga åtgärder (till exempel Customer Lock Box eller customer-managed encryption). Samtidigt skriver Microsoft att man även fortsättningsvis kommer att använda standardavtalsklausuler för tredjelandsöverföringar (se här). Microsoft lovar vidare att företaget kommer försvara sina kunder mot begäran från olika länders regeringar och att man kommer att ersätta kunder om sådana begäran trots allt leder till skada. Detta innebär att Microsoft redan nu planerar att göra vissa avsteg från sitt löfte.

Stefan Brink, GD för dataskyddsmyndigheten i den tyska delstaten Baden-Württemberg, är kritisk till Microsofts initiativ. Enligt Brink är initiativet ett steg åt rätt håll, men den åtgärder inte överföringsproblematiken fullt ut då amerikanska myndigheter även fortsättningsvik kan kräva tillgång till data som lagras på servrar i EU via CLOUD ACT. Brink ifrågasätter även Microsofts uttalande att uppgifter som överförs kan skyddas genom kryptering, då ett flertal av funktionerna i Microsofts molntjänster kräver att data dekrypteras. Enligt Brink är den enda långsiktigt hållbara lösningen för överföringsproblematiken att amerikanska brottsbekämpande myndigheter upphör med sina oproportionerliga övervakningsmetoder eller att EU och USA träffar en ny överenskommelse för delning av personuppgifter som båda parter kan stå bakom. Brink bedömer dock att chanserna för att en sådan lösning är låg (se intervjun med honom här, endast tillgänglig på tyska).

Det är tveksamt att Microsofts EU Data Boundary kommer att lösa det osäkra läge som företag och myndigheter har hamnat i efter Schrems II-domen. Samtidigt innebär Microsofts uttalande att företaget tar Schrems II-domen på allvar, vilket är ett steg åt rätt håll.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.