Analys av Microsofts nya “europeiska digitala åtaganden”

Den 30 april 2024 tillkännagav Microsoft “new European digital commitments“, eller ”nya europeiska digitala åtaganden”, uppenbarligen avsedda att lugna företagets europeiska kunder samt europeiska politiker.

Jutta Horstmann har skrivit en kortfattad analys medan amerikanska Computerworld har en artikel i ämnet.

Här ger jag min analys. Vad innebär egentligen Microsofts nya ”europeiska digitala åtaganden” i praktiken?

Några av Microsofts uttalanden är gamla besked som serveras som nyheter.

Tillkännagivandet har tydliga likheter med vissa andra tillkännagivanden som jag har sett från amerikanska molnleverantörer. Dessa tillkännagivanden ger ibland skenet av att åtgärder vidtas, och ibland vidtas faktiskt vissa åtgärder, men utan klarhet om vilka faktiska problem dessa åtgärder är avsedda att lösa. Ett exempel på detta är Microsofts så kallade “EU Data Boundary“.

EU Data Boundary

Microsoft tydligen arbetat i åratal på sin EU Data Boundary, en slags EU-datagräns. Naturligtvis nämns den också i det senaste tillkännagivandet. I själva verket är den inte någon vidare boundary. Det ordet väcker troligtvis bilden av ett skydd mot yttre krafter. EU Data Boundary är helt enkelt ett Microsoft-kontrollerat, lokalt sätt att leverera tjänster.

EU Data Boundary minskar, eller utesluter kanske rentav i vissa situationer, Microsofts avsiktliga överföringar av personuppgifter till tredje land som en del av sin tjänsteleverans. Till vilken nytta?

Amerikanska övervakningslagar som FISA 702 är av allt att döma extraterritoriella. Enligt dessa lagar kan amerikanska myndigheter tvinga en amerikansk molntjänstleverantör att ge tillgång till uppgifter även när den amerikanska molntjänstleverantören behandlar dessa uppgifter i sina EU-baserade molnregioner. Det är därför svårt att förstå vilket problem, om ens något, som EU Data Boundary avser att lösa för europeiska kunder.

En mer trolig förklaring tycks vara att EU Data Boundary ger skenet av ett effektivt skydd. Det signalerar förvisso någon slags åtgärd – till och med en dyr åtgärd, för varför vidta en sådan åtgärd om den inte gav ett stort värde? EU Data Boundary verkar dock inte ge ett effektivt skydd mot amerikansk övervakning, och såvitt jag förstår har Microsoft aldrig heller hävdat detta.

Låt oss nu titta på några andra relevanta delar av Microsofts nya tillkännagivande, bit för bit.

Investeringar i Europa

Microsoft uppger:

Microsoft investerar tiotals miljarder dollar årligen i att utöka sina datacenter i Europa. Dessa investeringar är inte på hjul. De är permanenta byggnationer och omfattas av lokala lagar, förordningar och regeringar.

(Cleuras översättning)

Microsoft antyder att de är lika beroende av Europa som vi är av dem. Detta är naturligtvis uppenbarligen inte sant. Microsofts kunder tenderar att vara inlåsta i företagets molnteknik och ekosystem, något som allt fler kunder klagar högljutt på.

Beroendet är ensidigt, till Microsofts fördel och till Europas nackdel.

Europeiska lagar och avtal

Microsoft uppger:

Vi förstår att europeiska lagar gäller för vårt agerande i Europa, precis som lokala lagar gäller för lokalt agerande i USA och liknande lagar gäller på andra håll i världen. Detta inkluderar bland annat europeisk konkurrenslagstiftning och Digital Markets Act. Vi är inte bara engagerade i att bygga digital infrastruktur för Europa, utan också i att respektera den roll som lagar i hela Europa spelar för att reglera våra produkter och tjänster.

(Cleuras översättning)

Påstående ekar ihåligt, inte minst eftersom Microsoft gång på gång har brutit mot europeiska lagar, bland annat vad gäller konkurrens och integritet.

För att få en djupare förståelse för Microsofts inställning till att följa lagen kan vi titta på Microsofts verksamhet i Kina. År 2017 antog Kina en lag som kräver att alla organisationer och medborgare samarbetar med Kinas underrättelsetjänster i frågor som rör nationell säkerhet. I en kongressutfrågning 2024 uppgav Microsofts President Brad Smith att Microsoft inte följde denna lag och antydde rentav att han hade trotsat vissa förfrågningar. Detta trots att den kinesiska regeringen inte hade gett Microsoft något undantag från att följa lagen.

Microsofts President förklarade:

Det finns två typer av länder i världen, de som kräver efterlevnad av alla lagar de stiftar och de som stiftar vissa lagar men inte alltid kräver att de efterlevs.

(Cleuras översättning)

Enligt Microsofts President tillhörde Kina den andra kategorin när det gällde denna specifika lag – när det kom till kritan hade landet inte krävt att Microsoft följde landets egen lag. Microsofts VD motiverade dessutom företagets närvaro i Kina med att den tjänar USA:s intressen.

Budskapet till oss européer bör vara tydligt: Microsoft kommer gärna bedriva affärsverksamhet i ett land och bryta mot landets lagar, åtminstone så länge landet inte har krävt att Microsoft efterlever lagarna.

Vi bör ha detta i åtanke när EU:s tillsynsmyndigheter avstått från att utöva tillsyn av GDPR, t.ex. efter Schrems II-domen när standardavtalsklausuler användes utan effektivt skydd mot amerikansk övervakning. En sådan brist på tillsyn kan ses som en signal till amerikanska molnleverantörer att de och deras kunder kan bryta mot EU-rätten, i detta fall GDPR, utan konsekvenser. I en bemärkelse har vi alltså en lag, men i en annan, verkligare bemärkelse, innebär bristen på tillsyn att lagen kan betraktas som icke-existerande, åtminstone i amerikanska molnleverantörers ögon.

Vi kan rentav göra ett tankeexperiment och tillämpa Microsofts inställning mer brett, på potentiella och befintliga kunder. Om Microsoft tillåter sig att bryta mot lagar vars efterlevnad inte krävs, varför skulle inte Microsoft i princip tillåta sig att bryta mot avtal med sina kunder, så länge kunderna inte kräver efterlevnad av dessa avtal?

Här är det relevant att nämna att Microsofts avtalsvillkor, enligt min erfarenhet, är notoriskt svåra att ens få grepp om. Jag verkar inte vara ensam om den uppfattningen. Faktum är att svenska forskare slog fast att av 140 undersökta verksamheter i offentlig sektor hade inte en enda tillgång till alla tillämpliga villkor för respektive verksamhets användning av en populär SaaS-lösning från Microsoft.

Låt oss nu föreställa oss att din verksamhet är bunden av Microsofts villkor. Sedan inträffar det osannolika: du skapar dig en utmärkt förståelse för alla tillämpliga villkor, inklusive korsreferenser, länkar till webbplatser vars innehåll när som helst kan ändras, osv. Och inte nog med det, du håller dig uppdaterad gällande samtliga ändringar av villkoren över tid.

Likväl anges följande i Microsofts standardavtal:

Avtalet regleras av lagstiftningen i Washington, oavsett konflikter mellan juridiska principer … Alla åtgärder för att upprätthålla detta avtal måste vidtas i delstaten Washington.

Svenskan haltar (avtalet är troligen maskinöversatt med Bing), men läser man den engelska versionen blir innebörden tydlig. Avtalet ska tolkas enligt lagstiftningen i den amerikanska delstaten Washington, där Microsoft har sitt högkvarter. Den som vill göra gällande avtalsbrott måste göra det i delstaten Washington.

Vad är chanserna att din verksamhet någonsin skulle göra gällande avtalsbrott av ett sådant avtal? Att ni skulle väcka talan i en utländsk jurisdiktion, med ett helt annat rättssystem med amerikansk rättspraxis som grund? För att inte tala om att det skulle vara mot Microsoft, som har utformat avtalet och har en armé av advokater som skulle försvara företaget på hemmaplan?

Var ärlig nu.

Vi kanske rentav kan formulera det såhär:

Det finns två typer av kunder i världen, de som kräver efterlevnad av alla avtal de ingår och de som ingår vissa avtal, men inte alltid kräver att de efterlevs.

Vilken typ av kund tror du att Microsoft utgår ifrån att du är?

Förresten, enligt Microsofts Online Services Subprocessors List, så förlitar sig Microsoft på konsulter från ett företag med huvudkontor i Kina. Microsoft anger uttryckligen att personal i Kina kan komma att behandla kunddata.

En europeisk övervakande styrelse

Microsoft uppger:

Microsoft har sitt huvudkontor i USA, men vi tillhandahåller molntjänster till Europa genom företagsentiteter med huvudkontor i Europa. För att ytterligare cementera kopplingen [eng. “cement the nexus“] mellan Microsoft och Europa kommer vår europeiska datacenterverksamhet och deras styrelser framöver att övervakas av en europeisk styrelse som uteslutande består av europeiska medborgare och som verkar under europeisk lag.

(Cleuras översättning)

Microsoft hävdar inte ens att denna övervakande styrelse kommer att göra någon praktisk eller juridisk skillnad. Företaget påstår inte att det kommer att skydda europeiska kunders data från att amerikanska myndigheter får åtkomst till dem, och inte heller skydda sina kunder från att förlora åtkomst till företagets molntjänster.

Microsoft säger bara att detta kommer att “ytterligare befästa kopplingen” (eng. “cement the nexus“) mellan Microsoft och Europa, vad det nu än betyder.

Detta är ytterligare ett exempel där företaget kan visa upp någon form av åtgärd som kan se bra ut på ytan. Vi får dock ingen klarhet i vilket problem, om något, åtgärden ens är avsedd att lösa.

Bestrida order om att stänga av tjänsterna

Microsoft uppger:

I det osannolika händelsen att vi någonsin beordras av någon regering någonstans i världen att avbryta eller upphöra med molnverksamhet i Europa, åtar vi oss att Microsoft snabbt och kraftfullt kommer att bestrida en sådan åtgärd med alla tillgängliga rättsliga möjligheter, inklusive genom att driva tvister i domstol … Vi är övertygade om att vi har juridiska rättigheter för att säkerställa kontinuerlig drift av våra datacenter i Europa. Och vi är beredda att backa upp denna övertygelse med våra avtalsmässiga åtaganden till europeiska regeringar.

(Cleuras översättning)

För det första ska vi inte förvänta oss annat än att Microsoft rättsligt kämpar emot en order som kapar sladden för företagets tjänsteleverans. Men även om Microsoft inte bestrider en sådan order, hur skulle man ens kunna hävda sin rätt? Det framstår som meningslöst att försöka tvinga Microsoft att föra en rättslig strid som företaget inte vill utkämpa. Och vill någon gissa hur ansvarsbegränsning och skadeståndstak ser ut om Microsoft inte fullföljer sina åtaganden? Om Microsoft pressas och i slutändan tvingas välja mellan vad som är bäst för företagets aktieägare och vad som är bäst för företagets europeiska kunder, så är företaget skyldigt att skydda sina aktieägare, även om det innebär att bryta mot sina kundåtaganden.

För det andra, även om Microsoft kraftfullt utmanar en sådan order, betyder det inte att Microsoft skulle vinna.

Om den amerikanska administrationen har befogenhet att utfärda en sådan order, så är Microsoft skyldigt att följa den. Microsofts åtagande säger inget annat – det innebär i princip bara att Microsoft inte kommer att göra mer än vad företaget måste enligt lag. Svenska Computer Sweden satte således en vilseledande rubrik – utan täckning i artikeln – som angav att ”Microsoft lovar Europa att inte vika sig för Donald Trump”. Däremot satte dess amerikanska motsvarighet Computerworld en rättvisande rubrik, som angav att “Microsoft tries to reassure Europe that it can resist the US government. Europe has doubts“.

När det gäller Microsofts övertygelse om sina juridiska rättigheter, undrar man om företaget har tagit till sig utvecklingen på rättsområdet i USA. Rättsstatsprincipen i USA attackeras på fler sätt än man kan räkna till. Det är tillräckligt att notera att Trump tidigare har använt nationell säkerhet som svepskäl för flera beslut. Han har också utsett domare till både den amerikanska högsta domstolen samt lägre domstolar som har underkastat sig presidentens auktoritet eller på annat sätt skyddat honom i mål inför domstolarna. Om Microsoft verkligen är trygg i sina juridiska rättigheter, tycks den tryggheten inte vara förankrad i verkligheten.

Partnerskap för kontinuitet, lagring av kod

Microsoft uppger:

Slutligen kommer vi att utse och förlita oss på europeiska partners med beredskapsarrangemang för driftskontinuitet i det osannolika fallet att Microsoft någonsin skulle tvingas av en domstol att stänga av tjänsterna. Vi gör det redan möjligt för våra partners i Frankrike och Tyskland att göra detta med Bleu och Delos-datacentren, och vi kommer att eftersträva arrangemang för våra publika molndatacenter i Europa. Vi kommer att lagra säkerhetskopior av vår kod i ett säkert arkiv i Schweiz, och vi kommer att ge våra europeiska partners de juridiska rättigheter som krävs för att komma åt och använda denna kod om det behövs för detta ändamål.

(Cleuras översättning)

Microsoft har samarbetat med ett par europeiska företag för att tillhandahålla Microsoft Azure- och M365-tjänster från europeiskt kontrollerade och hanterade datacenter. Detta erbjudande når dock endast ett begränsat antal kunder, och kodförrådet kommer tydligen endast att vara tillgängligt för vissa Microsoft-partners. Vad gäller koden är en fråga om fungerande och uppdaterade byggmiljöer ingår. Utan dessa kommer det inte att vara möjligt att kompilera koden till användbar form. Och hur ska Microsoft uppdatera koden, särskilt efter att de har tvingats stänga av tjänsterna? Det är inte realistiskt att förvänta sig att europeiska partners ska underhålla en massiv uppsättning proprietär Microsoft-kod över tid.

Låt oss nu överväga situationen för kunderna om Microsoft-kontakten dras ur. Förväntas alla Microsofts europeiska kunder flytta över till ett fåtal utvalda partners infrastruktur? Det tog mer än tre och ett halvt år från det att Bleu tillkännagavs till den förväntade tidpunkt då leveranserna skulle starta.

Om Microsoft stänger av sina tjänster, kommer det finnas tillräckligt med kapacitet i Europa för alla som behöver det? Kommer priserna ens att vara i närheten av rimliga när kunderna kämpar om att få plats? Jag vet inte (och vem vet?), men min gissning är att svaret på dessa frågor är nej.

Dessutom förutsätter detta alternativ att europeiska verksamheter har kontinuerliga säkerhetskopior, som är helt separerade från amerikanska molnleverantörers infrastruktur. Det låter som ett dyrt och besvärligt projekt, som drabbar kunderna oavsett om Microsofts tjänster stängs av till sist.

Slutligen löser inte denna väg problemet med leverantörslåsning, där Microsofts kan ta ut ständigt ökande priser och därmed urholka europeiskt värdeskapande.

Det är helt enkelt ett i grunden bristfälligt upplägg från början till slut.

Säkerhet och kryptering

Microsoft nämner vidare sitt säkerhetsarbete och krypteringsalternativ som påstås hindra ens Microsoft från att kunna komma åt data i klartext. För det första verkar det som att dessa krypteringsalternativ endast är tillgängliga i vissa begränsade situationer. Vi har redan skrivit om den här typen av åtgärder och varför vi inte har sett dem som ett gångbart sätt att använda amerikanska moln trots amerikansk övervakning.

För det andra är det relevant att nämna att Microsofts säkerhetsarbete, särskilt relaterat till kryptering, kritiserades hårt i en rapport från 2024 som publicerades av det amerikanska Department of Homeland Security. Rapporten lyfte bland annat fram “en kaskad av säkerhetsbrister hos Microsoft“, angav att Microsoft hade drabbats av ett intrång “som hade kunnat förhindras“ och att företagets säkerhetskultur var otillräcklig, delvis på grund av “Microsofts misslyckande med att upptäcka komprometteringen av sina kryptografiska kronjuveler“.

Vi har också skrivit om en situation där BSI, den tyska federala myndigheten för informationssäkerhet, ställde säkerhets- och krypteringsrelaterade frågor till Microsoft utan att få tydliga svar tillbaka. Saken gällde Microsofts användning av så kallad dubbelnyckelkryptering (DKE). Genom att använda två nycklar, varav en alltid finns kvar hos kunden, är DKE avsett att förhindra dataläckor i särskilt säkrade miljöer.

Men efter att Microsoft drabbats av en särskilt allvarlig incident gav företaget BSI så oklara besked att BSI inte kunde bedöma om angriparna ändå kunnat komma åt data i klartext. ”Inte ens efter upprepade förfrågningar och hot om rättsliga åtgärder lämnade Microsoft den begärda informationen. Därför använder BSI nu de rättsliga instrument som står till dess förfogande, förklarar en talesperson för BSI”, rapporterade heise Security.

Sammantaget menar vi att detta inte inger förtroende för Microsofts förmåga att skydda kunddata med hjälp av kryptering.

Slutsatser

Jag delar Jutta Horstmanns analys att Microsofts tillkännagivande är ett tecken på desperation. Det tycks utformat för att ge sken av meningsfulla åtgärder utan att lösa de verkliga problemen.

Min slutsats är att de som fortfarande är mentalt inlåsta i Microsofts moln glatt kan tänkas sjunga tillkännagivandets lovsång, och därigenom främst ägna sig åt självbedrägeri.

De som förstår att Europa behöver verklig digital suveränitet, eller som helt enkelt är öppna för att prova alternativ till amerikanska molnleverantörer, kommer inte att bli lurade.

Ytterligare läsning

Fler Molnguiden-artiklar:

• Vägledning för lyckad upphandling av molntjänster
• Trump, rättsstaten och adekvansbeslutet
• Är amerikanska molntjänster säkra?
• Vad din verksamhet behöver veta om det tredje adekvansbeslutet