Eingeständnis von Microsoft

Europas Datensouveränität gefährdet

Microsoft kann europäische Daten nicht vor US-Zugriff schützen – trotz EU-Rechenzentren und Standardvertragsklauseln.

Vor einigen Wochen haben wir an dieser Stelle aufgezeigt, welche Risiken der US CLOUD Act und weitere US-Gesetze für Unternehmen bergen.
Im Zentrum stand die Erkenntnis: Wer seine Daten US-Hyperscalern anvertraut, muss immer damit rechnen, dass US-Behörden Zugriff erhalten – auch dann, wenn die Daten physisch in Europa gespeichert sind. Datensouveränität und langfristige Sicherheit sind nur dann gewährleistet, wenn Unternehmen auf unabhängige, lokale Anbieter ohne Geschäftsbeziehungen ins außereuropäische Ausland setzen.

Die Diskussion hat inzwischen eine neue Qualität erreicht – ausgelöst durch eine aufschlussreiche Anhörung im französischen Senat.

Dort musste Anton Carniaux, Microsofts Direktor für rechtliche Angelegenheiten in Frankreich im französischen Senat, unter Eid eingestehen, was Datenschützer und die Technologiebranche seit Längerem sagen. Die Frage, ob Microsoft garantieren könne, dass Daten französischer Bürger, die in ihren europäischen Rechenzentren gespeichert sind, nicht ohne Zustimmung der französischen Behörden an US-Behörden weitergegeben werden, beantwortete er klar und unmissverständlich mit: „Nein, das kann ich nicht garantieren.“

Dieser einfache Satz offenbart die Grenzen der vermeintlichen Sicherheit durch Standardvertragsklauseln und Initiativen wie die „EU Data Boundary“. Trotz Milliardeninvestitionen in europäische Rechenzentren und vertraglicher Zusagen, Daten europäischer Kunden ausschließlich in der EU zu speichern und zu verarbeiten, besitzt US-Recht – insbesondere der US CLOUD Act – das letzte Wort. Dieser zwingt Unternehmen mit Geschäftsbeziehungen mit den USA dazu, auf behördliche Anordnung Daten herauszugeben, egal wo sie gespeichert sind.

Microsoft kann zwar seit Anfang 2025 vertraglich zusichern, dass europäische Daten die EU technisch nicht verlassen – doch die Realität wird durch das US-Recht aufgehoben. Das bedeutet: Auch wenn Daten im europäischen Raum bleiben, können US-Behörden bei rechtlich gültigen Anordnungen Zugriff darauf bekommen.

Besonders alarmierend sind die Auswirkungen für kritische Infrastrukturen (z. B. Gesundheitsdaten aus Krankenhäusern, sensible Verwaltungsdaten oder Bildungsinformationen) bei denen Bürger keine Wahl über Speicherort oder Datenweitergabe haben.

Microsoft bestätigte außerdem die Praxis sogenannter „Gag Orders“ (Geheimhaltungsanordnungen), die das Unternehmen verpflichten, von Behördenzugriffen nichts zu berichten. Dadurch kann umfangreiche Überwachung stattfinden, ohne dass die Betroffenen jemals davon erfahren oder sich wehren können.

Europäische Unternehmen und öffentliche Institutionen haben Milliarden in Digitalisierung unter der Annahme investiert, dass ihre Daten sicher und souverän bleiben. Nun zeigt sich, dass sie sich auf rechtlich prekäre Garantien verlassen haben, die im Ernstfall keine Sicherheit bieten.

Die Schlussfolgerung aus Microsofts Offenbarung ist klar: Es braucht radikale Ehrlichkeit in der Kommunikation – keine Slogans von „souveränen Clouds“, wenn die Rechtslage anders aussieht.

Für besonders sensible Daten und kritische Infrastrukturen müssen Europa und Deutschland echte Alternativen schaffen. Es sind klare, verbindliche Regelungen erforderlich, die sicherstellen, dass digitale Souveränität nicht bloß ein Wort bleibt, sondern echte Kontrolle gewährleistet.

Damit behält das Thema Datensouveränität weiterhin seine Dringlichkeit: Digitale Unabhängigkeit ist keine Option, sondern eine Verantwortung gegenüber unseren Kunden und ihren Geschäftsgeheimnissen, die sich aktuell nur durch Nutzung lokaler Cloud-Anbieter gewährleisten lässt, die in keinerlei Form Anweisungen ausländischer Unternehmen oder Regierungen unterliegen.

Aktuelle Ergänzung (2025-09-03): Auch wenn das Gericht der Europäischen Union die Klage eines französischen Abgeordneten gegen den Datentransfer zwischen EU und USA abgelehnt hat, bedeutet dies keine Datensicherheit und Datenschutz. Laut DLF begründet das Gericht seine Entscheidung der Ablehnung mit dem Argument, dass die Vereinigten Staaten zum Zeitpunkt der Übereinkunft ausreichend Schutz personenbezogener Daten zugesagt hätten. Also auch nur eine alte Zusage von vor mehreren Jahren und falls sie irgendeine Substanz haben sollte, so bezieht sie sich nur auf personenbezogene Daten. Geschäftsdaten waren und sind weiterhin Freiwild, sofern deutsche Unternehmer ihre gesetzliche Verpflichtung zum Schutz von Geschäftsgeheimnissen weiterhin nicht ernst nehmen.

Uptime IT GmbH – Für echte digitale Souveränität aus Hamburg.

VMWare Hosting

Infrastructure as a Service (IaaS)

Managed Hosting

IT-Outsourcing

Private Cloud

Rechenzentren in Hamburg

VMware Cloud Foundation

Testdrive

Cloud Computing Made in Germany

Kubernetes as a Service

Kubernetes FAQ

Kubernetes Erfahrungsberichte

Managed Kubernetes aus Deutschland

Backup & Recovery

Notfallvorsorge

Colocation

Beratung

Services von A-Z

Verfügbarkeitsrechner

Bandbreitenrechner

Services für Sicherheit und Komfort

Unsere Kunden

Verfügbarkeit

Leistungsnachweise

Erfahrungsberichte

Kundenstimmen

Unsere Referenzen im Überblick

Fakten zu Uptime IT

Technologien

Zertifizierungen

Standorte

Unser Leitbild

Historie

Partner

Über Uptime IT

Eingeständnis von Microsoft

Europas Datensouveränität gefährdet