Den østrigske advokst og data-aktivist Maximillian Schrems mener ikke, at Microsofts løfte om, at al data der lagres i EU bliver i EU fra 2022, kan sikres.
Det, der står i vejen, er en afgørende lov, som EU ikke kan rykke på, og som er ligeglad med GDPR.
Uanset hvor mange servere Microsoft stiller op indenfor EU, og hvor meget data, der ikke bliver overvåget gennem søkabler, så er Microsoft en amerikansk virksomhed.
Og det faktum spænder ben. For USA har også føderal lov forkortet med fire bogstaver, der sikrer den amerikanske regering at kunne bede private virksomheder om at udlevere data om deres kunder.
FISA hedder loven, og den er ifølge Max Schrems ikke til at komme udenom.
"Efter min forståelse ville der stadig være direkte adgang til data og nøgler fra USA i denne nye Microsoft-opsætning. Dette betyder, at data stadig falder ind under FISA-loven og derfor skal gives til amerikanske myndigheder, når de bliver anmodet om det. Det skaber et udstillingsvindue, når det kommer til National Security Agency [NSA] overvågning," siger Max Schrems til The Register.
Når data bliver overført, fordi amerikanske myndigheder har bedt Microsoft om at udlevere dette, så er der ikke længere tale om dét som i GDPR-direktivet kaldes "overførsel til tredje land".
Forskellen ligger i at transaktionen ikke sker på foranledning af en databehandler, ifølge formand for Rådet for Digital Sikkerhed Henning Mortensen:
"Hvis en amerikansk domstol kigger ind i de her data eller får adgang til data via overvågning af søkablerne, så er det masseovervågning. Men at en amerikanske domstol, beder om at se de her data, hvorefter Microsoft skal tage stilling til det, så er det ikke masseovervågning og noget andet end dét kapitel V berører," forklarede han til Computerworld i sidste uge.
Læs mere om Henning Mortensens analyse af Microsofts løfte her: Efter Microsofts løfte om at holde data i Europa: "Der falder et stengærde af bekymring fra hjerterne hos alle europæiske dataansvarlige"
Men uanset regler, så er det et problem for de europæiske virksomheder, at de aldrig kan vide sig sikre på, om deres data ender under amerikansk lup.
Databeskyttelses-, fortroligheds- og sikkerhedsspecialist Owen Sayers erklærer sig enig i Schrems vurdering af, at Microsofts planer ikke gør det store for at løse problemer med NSA-adgang i henhold til gældende amerikansk lovgivning.
Han pegede også på, at meddelelsen udgør en stiltiende indrømmelse af, at Microsoft allerede rutinemæssigt behandlede personlige EU-data uden for EU.
