EU Data Boundary
Microsofts Datenresidenz-Zusicherung — Verarbeitung und Speicherung von Customer Data und Teilen der Service Generated Data ausschließlich innerhalb der EU/EFTA.
Die EU Data Boundary (EUDB) ist Microsofts technische und vertragliche Zusicherung, dass bestimmte Kategorien personenbezogener Daten in seinen Cloud-Diensten ausschließlich innerhalb der Europäischen Union und der EFTA verarbeitet und gespeichert werden. Sie betrifft die wichtigsten Microsoft-Plattformen — Microsoft 365, Azure, Power Platform und Dynamics 365 — und soll europäischen Kunden eine belastbare Datenresidenz unterhalb der Schwelle eines Drittlandtransfers ermöglichen.
Drei Phasen der Umsetzung
Microsoft hat die EUDB in drei Wellen ausgerollt. Phase 1 startete im Januar 2023 und umfasst die Customer Data — also die eigentlichen Inhalte, die Kunden in den Diensten verarbeiten (Mails, Dokumente, Datenbankinhalte, Chat-Nachrichten). Phase 2 trat im Januar 2024 in Kraft und erweiterte die Boundary auf pseudonymisierte personenbezogene Daten in System-Logs und Diagnose-Telemetrie. Phase 3 schloss die Umsetzung im Februar 2025 ab und schloss die Professional Services Data ein: Support-Anfragen, Case Notes, Logdaten aus Supportsitzungen und Service-Anfragen werden seither ebenfalls innerhalb der Boundary bearbeitet.
Was die Boundary nicht umfasst
Wesentliche Datenkategorien bleiben außerhalb der EUDB. Die sogenannten Required Service Data — Pflicht-Telemetriedaten aus Windows-, Edge- und M365-Apps-Clients, die Microsoft für Sicherheits-, Update- und Betriebszwecke erhebt — fließen weiterhin teilweise in US-Systeme. Für diese Datenkategorie tritt Microsoft als eigenständiger Verantwortlicher auf und nicht als Auftragsverarbeiter; sie liegt damit außerhalb des AVV und außerhalb der vertraglichen Zusicherungen der Boundary. Auch bestimmte konzernweite Sicherheits- und Anti-Missbrauchs-Workflows können EU-Daten an US-Standorte spiegeln.
Verhältnis zur DSGVO und zu Schrems II
Die EU Data Boundary ist rechtlich eine technisch-organisatorische Maßnahme nach Art. 32 DSGVO, flankiert von einer vertraglichen Zusicherung im Data Protection Addendum. Sie ist keine Übermittlungsgrundlage im Sinne von Art. 44 ff. und ersetzt damit weder die Standardvertragsklauseln noch eine Zertifizierung unter dem EU-U.S. Data Privacy Framework. Für die verbleibenden Drittlandflüsse — Required Service Data, konzerninterne Verarbeitungen, Support-Eskalationen außerhalb der EU — bleiben SCC und DPF die maßgeblichen Mechanismen, und die Schrems-II-Pflicht zum Transfer Impact Assessment besteht für diese Restflüsse fort.
Konfigurationspraxis
Die Boundary ist nicht für jeden Tenant und jeden Workload automatisch aktiv. Verantwortliche sollten im Microsoft 365 Admin Center und in den Azure-Subscription-Einstellungen prüfen, ob die genutzten Dienste eingebucht sind, ob die richtige Region (EU oder EU+EFTA) gewählt wurde und ob Add-on-Dienste — etwa bestimmte Copilot-Funktionen, Sprachmodelle oder Drittanbieter-Connectors im M365 App Store — die Boundary nicht durchbrechen. Bei neuen Diensten und Vorschau-Features kommuniziert Microsoft die EUDB-Abdeckung in der Regel separat; eine pauschale Annahme „alles bleibt in der EU" ist nicht tragfähig.
Bewertung durch deutsche Aufsichten
Die Datenschutzkonferenz (DSK) hat die EU Data Boundary als Schritt in die richtige Richtung gewürdigt, gleichzeitig aber auf die fortbestehenden Drittlandlücken hingewiesen — insbesondere auf die Required Service Data und auf den extraterritorialen Zugriffsanspruch US-amerikanischer Behörden über den CLOUD Act. Der CLOUD Act verpflichtet US-Unternehmen, auf Anordnung Daten unabhängig vom Speicherort herauszugeben; die Boundary verhindert physische Speicherung außerhalb der EU, schließt einen rechtlichen Zugriff aus den USA aber nicht aus. Mehrere Aufsichten — darunter der LfDI Baden-Württemberg und der BlnBDI — fordern daher eine vertiefte Risikobewertung über die Boundary hinaus.
Praxis-Konsequenzen
Für deutsche Verantwortliche ist die EUDB ein wertvoller Baustein, kein Allheilmittel. In der Dokumentation gegenüber Aufsichten sollte sie als ergänzende Maßnahme im Sinne der EDPB Recommendations 01/2020 geführt werden — neben SCC, DPF-Zertifizierung des konkreten Microsoft-Entities und einer aktuellen TIA. Wer höhere Anforderungen hat (etwa im Bereich Gesundheit, öffentliche Verwaltung oder besonders sensible Forschungsdaten), prüft zusätzlich Microsoft Cloud for Sovereignty oder rein europäische Anbieter. Die konkrete Einbettung der EUDB in Verzeichnis der Verarbeitungstätigkeiten, DSFA und Auditpaket einer Windows-Flotte zeigt unser Leitfaden zur datenschutzkonformen Windows-11-Konfiguration.