Glossar · EU-Cloud-Souveränität EU Data Boundary (Microsoft EU Data Boundary (und ähnliche Angebote von US-Hyperscalern))
Kommerzielles Angebot von Microsoft, mit dem die Speicherung und Verarbeitung von EU-Kundendaten innerhalb von EU-Rechenzentren zugesichert wird. Ähnliche Vereinbarungen werden von AWS (European Sovereign Cloud) und Google (Sovereign Controls) angeboten. Wichtig zu verstehen: Datenresidenz in EU-Rechenzentren ändert NICHT die zugrunde liegende Unternehmensjurisdiktion des in den USA ansässigen Dienstanbieters.
## Was die EU Data Boundary tatsächlich ist
Microsoft EU Data Boundary ist ein kommerzielles Angebot – 2023 gestartet und seitdem schrittweise ausgebaut –, unter dem sich Microsoft verpflichtet, Kundendaten für Microsoft 365, Dynamics 365, Power Platform und Azure innerhalb von Rechenzentren in EU/EFTA zu speichern und zu verarbeiten. Ähnliche Vereinbarungen wurden von AWS (European Sovereign Cloud) und Google Cloud (Sovereign Controls) eingeführt.
Die Boundary ist eine *technische und kommerzielle Zusicherung* darüber, *wo* Kundendaten verarbeitet und gespeichert werden. Sie ist **keine jurisdiktionelle Neuzuordnung** – der Anbieter bleibt eine in den USA ansässige juristische Person, die unabhängig vom physischen Speicherort der Kundendaten US-amerikanischen Rechtsprozessen unterliegt.
Diese Unterscheidung ist operativ entscheidend. Sie wird in Beschaffungsgesprächen auch häufig missverstanden.
## Was die EU Data Boundary tatsächlich leistet
Speziell für Microsofts EU Data Boundary (das ausgereifteste dieser Angebote) umfassen die Zusicherungen Folgendes:
### Datenresidenz
- **Customer Data** (die hauptsächlichen Geschäftsdaten) werden in EU/EFTA-Rechenzentren gespeichert
- **Pseudonymisierte personenbezogene Daten** werden innerhalb der EU/EFTA-Grenze verarbeitet
- **Systemprotokolle und Diagnosedaten** werden schrittweise in die Boundary integriert (dies war der schwierigste Teil – es dauerte länger als die ursprünglichen Zusagen vermuten ließen)
- **Generierte Inhalte** (KI-Ausgaben etc.) für relevante Dienste innerhalb der Boundary
### Diensteumfang
Die Boundary deckt (Stand 2026) ab:
- **Microsoft 365** Kerndienste (Exchange Online, SharePoint, OneDrive, Teams)
- **Dynamics 365** Kerndienste
- **Power Platform** Kerndienste
- **Azure** zentrale Compute-, Speicher- und Netzwerkdienste (mit Ausnahme einiger spezialisierter regionaler Dienste)
Einige Dienste bleiben außerhalb der Boundary – insbesondere bestimmte KI-bezogene Dienste, bestimmte erweiterte Analysen und Dienste, bei denen globales Routing strukturell erforderlich ist (einige CDN-, Edge- und Identitätsdienste).
### Operative Änderungen
Microsoft hat erheblich investiert in:
- EU-basiertes Betriebspersonal für Dienste im Boundary-Umfang
- In der EU ansässige Support-Ingenieure, die Kundenanfragen im Boundary-Umfang bearbeiten
- Technische Architekturänderungen, die relevante Daten ausschließlich über EU-Infrastruktur leiten
## Was die EU Data Boundary NICHT leistet
Dies ist der operativ entscheidende Teil – und die Quelle der meisten Beschaffungsverwirrungen.
### Sie ändert nicht die Unternehmensjurisdiktion
Die Microsoft Corporation bleibt ein im US-Bundesstaat Washington ansässiges US-Unternehmen. Microsoft Ireland Operations Limited bleibt eine irische Tochtergesellschaft der Microsoft Corporation. Die Data-Boundary-Zusagen sind operativ; die Unternehmensjurisdiktion bleibt unverändert.
### Sie beseitigt die CLOUD-Act-Exposition nicht
Der US CLOUD Act erlaubt es US-Behörden, in den USA ansässige Unternehmen zur Offenlegung von Daten zu verpflichten, unabhängig davon, wo die Daten physisch gespeichert sind. Dies gilt für die Microsoft Corporation (und ihre Tochtergesellschaften) unabhängig vom Status der EU Data Boundary. Die Boundary betrifft den physischen Datenstandort; der CLOUD Act betrifft die Frage, welche juristische Person die Schlüssel hält.
### Sie beseitigt die FISA-702-Exposition nicht
FISA Section 702 erlaubt es US-Geheimdiensten, in den USA ansässige Anbieter zur Offenlegung von Kommunikation und Daten von Nicht-US-Personen zu verpflichten. Der Status von Microsoft als in den USA ansässiger Anbieter führt dazu, dass diese Exposition unabhängig von den Zusagen der EU Data Boundary bestehen bleibt.
### Sie bietet keinen strukturellen Schutz gegen sanktionsbedingte Dienstabschaltungen
Der [Vorfall ICC/Microsoft aus 2025](/de/blog/icc-microsoft-sanctions-cloud-sovereignty-lesson/) ist die operative Demonstration. Microsofts EU Data Boundary hat die Sperrung des E-Mail-Zugangs des Anklägers unter US-Sanktionen nicht verhindert (und konnte sie strukturell nicht verhindern). Entscheidungen der US-Exekutive darüber, welchen europäischen Nutzern ein in den USA ansässiger Anbieter dienen darf, werden durch Datenresidenz-Zusagen nicht eingeschränkt.
## Wie die Data Boundary mit europäischer Regulierung zusammenwirkt
Der operative Status der Boundary innerhalb europäischer regulatorischer Rahmenwerke ist nuanciert:
### DSGVO
Datenresidenz innerhalb der EU ist einer von mehreren Faktoren, die die DSGVO bei internationalen Übermittlungen und Verarbeitungen berücksichtigt. Die Zusagen der EU Data Boundary helfen, die Datenresidenz-Erwartungen der DSGVO zu erfüllen, beantworten aber nicht die umfassendere Frage einer Übermittlungsbewertung im Sinne von Schrems II für Daten, die US-Rechtsprozessen unterliegen.
### Schrems II und Standardvertragsklauseln
Das Schrems-II-Urteil des Europäischen Gerichtshofs adressiert speziell die strukturelle Exposition, die Risiken bei Übermittlungen an in den USA ansässige Anbieter erzeugt. Die EU Data Boundary adressiert die strukturelle Exposition nicht – sie adressiert den physischen Datenstandort.
### NIS2 und DORA
Sektorale Rahmenwerke für Cybersicherheit und operative Resilienz bewerten „wo die Daten liegen" zusammen mit „wer die Offenlegung erzwingen kann". Die EU Data Boundary adressiert den ersten Teil; die Frage der Unternehmensjurisdiktion erfordert eine eigene Analyse.
### SecNumCloud / EUCS High
Nationale und EU-weite Souveräne-Cloud-Schemata ([SecNumCloud](/de/glossary/secnumcloud/), die umstrittene High-Stufe von [EUCS](/de/glossary/eucs/)) erfordern *sowohl* EU-Datenresidenz *als auch* Immunität gegenüber nicht-EU-Rechtsprozessen. Die EU Data Boundary allein erfüllt diese Kriterien nicht – weshalb US-Hyperscaler für diese Beschaffungskategorien Joint-Venture-Strukturen (S3NS, Bleu) aufgebaut haben.
## Wofür die Data Boundary nützlich IST
Trotz der strukturellen Einschränkungen hat die EU Data Boundary echten operativen Nutzen:
- **Einhaltung der Datenresidenz** für sektorale oder vertragliche Anforderungen, die sich auf den physischen Standort konzentrieren
- **Latenzreduktion** für kundenorientierte Dienste in Europa
- **Reduzierter Dokumentationsaufwand** bei grenzüberschreitenden Übermittlungen unter der DSGVO
- **Öffentlichkeitswirksame Souveränitätspositionierung**, die weniger anspruchsvolle Beschaffungsgespräche zufriedenstellt
- **Operative Integration** mit Microsofts breiterer EU-Präsenz
Für Organisationen, deren Souveränitätsanforderungen sich auf Datenresidenz (und nicht auf Unternehmensjurisdiktion) beschränken, ist die EU Data Boundary tatsächlich nützlich und deutlich besser als die Standard-Datenresidenz in den USA.
## Wann die Data Boundary NICHT ausreichend ist
Für Organisationen, deren Souveränitätsanforderungen Schutz auf Ebene der Unternehmensjurisdiktion einschließen:
- **Käufer im öffentlichen Sektor**, die SecNumCloud, Cloud de Confiance oder vergleichbaren nationalen Rahmenwerken unterliegen
- **Regulierte Branchen** (Finanzdienstleistungen unter DORA, Gesundheitswesen unter EHDS) mit strengen Immunitätsanforderungen
- **Sensible Workloads** einschließlich rechtlicher, politischer oder wettbewerblich sensibler Vorgänge
- **Souveräne-Cloud-Beschaffung auf Ebene der Mitgliedstaaten** mit expliziten Immunitätsanforderungen
Für diese Kategorien löst die EU Data Boundary die strukturelle Souveränitätsfrage nicht. Erforderlich sind europäische Anbieter souveräner Clouds (OVHcloud, Scaleway, Infomaniak u. a.) oder Joint-Venture-Strukturen von US-Hyperscalern (S3NS, Bleu).
## EU Data Boundary vs. europäische souveräne Cloud
Mehrere US-Hyperscaler haben Angebote für eine „europäische souveräne Cloud" gestartet oder angekündigt, die über die grundlegenden Data-Boundary-Zusagen hinausgehen:
| Angebot | Typ | Souveränitätstiefe |
|----------|------|-------------------|
| **Microsoft EU Data Boundary** | Datenresidenz-Zusage | Begrenzt (CLOUD-Act-Exposition besteht fort) |
| **AWS European Sovereign Cloud** | Separate, ausschließlich EU-basierte AWS-Region, betrieben von einer EU-Tochter | Verbessert, aber weiterhin durch Mutterkonzern kontrolliert |
| **Google Sovereign Controls** | Kundengesteuerte Verschlüsselung + EU-Datenresidenz | Besser als Baseline, aber US-Mutterkonzern bleibt bestehen |
| **S3NS (Thales + Google)** | Von Thales kontrolliertes JV mit Google-Technologie | Echte französische Jurisdiktion (SecNumCloud) |
| **Bleu (Capgemini/Orange + Microsoft)** | Französisches JV mit Microsoft-Technologie | Echte französische Jurisdiktion (im Qualifizierungsprozess) |
Das Muster: Reine Datenresidenz-Angebote sind einfacher umzusetzen, aber weniger souverän; Joint-Venture-Strukturen mit operativer EU-Kontrolle bieten stärkere Souveränität bei höherer operativer Komplexität.
## Praktische Auswirkungen
- **Für Beschaffungsteams**: Klären Sie, ob Ihre Souveränitätsanforderungen Datenresidenz oder Unternehmensjurisdiktion betreffen; die Antworten bestimmen die Anbietertauglichkeit
- **Für Datenschutzbeauftragte und Compliance**: Die EU Data Boundary hilft bei der DSGVO-Datenresidenz, beantwortet aber nicht die strukturellen Fragen aus Schrems II
- **Für Käufer aus regulierten Branchen**: Die EU Data Boundary allein erfüllt SecNumCloud oder sektorale Anforderungen an souveräne Clouds nicht
- **Für sensible Workloads** (rechtlich, politisch, wettbewerblich sensibel): Die EU Data Boundary ist unzureichend – ziehen Sie europäische Anbieter souveräner Clouds oder JV-Strukturen in Betracht
- **Für gewöhnliche kommerzielle Workloads**: Die EU Data Boundary ist tatsächlich nützlich und besser als die US-Standardresidenz
Die EU Data Boundary ist eine bedeutsame operative Zusage, die eine Dimension der Cloud-Souveränität (Datenresidenz) adressiert, ohne die tiefere strukturelle Dimension (Unternehmensjurisdiktion) zu lösen. Das Verständnis dieser Unterscheidung ist für die europäische Cloud-Beschaffung im Jahr 2026 operativ unerlässlich.
War das hilfreich?
Danke für Ihr Feedback!