Keine Garantien mehr: Microsofts Eingeständnis zur US-Datenübermittlung

22.07.2025

Bei den Thema Datenräumen fällt auch immer das Thema digitale Souveränität Europas. Der Cloud- und Betriebssystemanbieter Microsoft hat nun unfreiwillig Öl ins Feuer gegossen. In einer Anhörung vor dem französischen Senat räumte der Chefjustiziar von Microsoft Frankreich ein: Es gibt keine Garantie, dass Daten von EU-Kunden nicht doch an US-Behörden übermittelt werden müssen. Das Eingeständnis hat weitreichende Konsequenzen – nicht nur für Microsoft, sondern für alle sogenannten Hyperscaler mit Hauptsitz in den Vereinigten Staaten. Für dataroomX® ist dieser Vorgang eine erneute Bestätigung: Wer auf echte Datenhoheit Wert legt, muss europäische Lösungen in Betracht ziehen.

1. Der Auslöser: Eine einfache Frage, eine weitreichende Antwort

Am 21. Juli 2025 wurde eine Anhörung im französischen Senat zur Causa Microsoft abgehalten. Thema war die Datenverarbeitung durch Microsoft im Rahmen von Verträgen mit der Union des Groupements d’Achats Publics (UGAP) – also der zentralen Beschaffungsstelle des öffentlichen Sektors in Frankreich.

Die entscheidende Frage lautete: Kann Microsoft garantieren, dass die Daten dieser öffentlichen Einrichtungen niemals ohne Zustimmung an die US-Regierung weitergegeben werden?

Die Antwort von Anton Carniaux, Chefjustiziar von Microsoft France, war bemerkenswert ehrlich: Nein, das könne er nicht garantieren.

2. Microsofts Widerspruch: Werbung vs. Realität

In der Vergangenheit war Microsoft einer der lautesten Anbieter, wenn es um Versprechungen zu digitaler Souveränität ging. Besonders das Konzept der „EU Data Boundary“ – also einer strikten Datenverarbeitung innerhalb Europas – wurde prominent beworben.

Doch laut Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht, ist genau das nun widerlegt. In einem Interview mit heise.de sagte er:

„Die Sicherheitsversprechen von Microsoft sind auf Sand gebaut.“

Was wie ein Marketingproblem klingt, ist in Wahrheit ein tiefgreifender Widerspruch zwischen Versprechen und rechtlicher Realität.

3. Das Problem heißt CLOUD Act

Herzstück der Diskussion ist der berüchtigte CLOUD Act (Clarifying Lawful Overseas Use of Data Act), den die USA 2018 verabschiedet haben. Dieser verpflichtet US-Unternehmen – unabhängig vom physischen Standort ihrer Server – dazu, auf Anordnung Daten herauszugeben.

Das bedeutet konkret: Selbst wenn Daten ausschließlich in Rechenzentren innerhalb der EU gespeichert und verarbeitet werden, kann ein US-Gericht Microsoft zur Herausgabe dieser Daten verpflichten. Die technische Speicherung in Europa bietet also keinen Schutz vor rechtlichem Zugriff.

4. Kein Zugriff bislang – und dennoch keine Sicherheit

Microsoft verweist darauf, dass ein solcher Zugriff bislang noch nicht stattgefunden habe. Doch wie Kipker treffend bemerkt: Es geht nicht um das, was passiert ist – sondern um das, was rechtlich möglich ist.

Die Unsicherheit besteht also weiter – und mit ihr das Risiko für Unternehmen und Behörden, die auf US-Cloudanbieter setzen.

5. Der juristische Gegenstandpunkt: Eine differenzierte Lesart

Nicht alle Experten teilen die drastische Einschätzung. So etwa Stefan Hessel, IT-Rechtsanwalt bei reuschlaw, der betont, dass eine Datenübermittlung in ein Drittland nicht automatisch vorliegt, wenn die EU-Tochtergesellschaft eines US-Unternehmens die Daten lokal verarbeitet.

Er verweist auf Artikel 28 Absatz 3 DSGVO: Danach dürfen Daten nur auf Weisung des Auftraggebers verarbeitet werden – eine Weisung von außen, etwa durch US-Behörden, sei somit unzulässig.

Doch auch Hessel räumt ein: Sobald ein rechtmäßiges US-Auskunftsersuchen an Microsoft gerichtet wird, könnte Druck auf die EU-Tochtergesellschaft ausgeübt werden – und dann wird es heikel.

6. Auswirkungen für Unternehmen und Behörden in der EU

Was bedeutet all das für Entscheider im öffentlichen und privatwirtschaftlichen Bereich?

1. Vertrauen in Compliance-Versprechen von US-Cloudanbietern sinkt.
2. EU-weite Ausschreibungen müssen neu bewertet werden.
3. Datenschutzfolgenabschätzungen (DPIA) könnten negativ ausfallen.
4. Haftungsrisiken für Datenverantwortliche steigen.

Vor allem Behörden sehen sich dem Dilemma gegenüber: Einerseits ist Cloud-Technologie unverzichtbar für digitale Transformation, andererseits birgt sie – bei Anbietern mit US-Bezug – erhebliche Datenschutzrisiken.

7. Digitale Souveränität wird zur Pflicht

Spätestens seit den Enthüllungen durch Edward Snowden ist klar: Transatlantische Datenflüsse sind ein Sicherheitsrisiko. Doch viele Unternehmen und Behörden hoffen weiterhin auf rechtliche Regelungen wie das aktuelle Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“.

Das Microsoft-Eingeständnis zeigt nun: Rechtlicher Schutz kann nicht garantiert werden. Technische und organisatorische Schutzmaßnahmen reichen nicht aus, wenn die juristische Grundlage instabil ist.

Daraus folgt: Wer souverän bleiben will, muss seine Daten souverän verarbeiten – das heißt auf europäischem Boden, mit europäischen Partnern, unter europäischem Recht.

8. Vertrauenskrise als Chance für europäische Anbieter

Immer mehr Unternehmen entdecken europäische Alternativen wie Nextcloud, ownCloud oder eben dataroomX®. Besonders in sensiblen Bereichen wie M&A, Due Diligence, Vertragsverhandlungen oder Personalakten braucht es Anbieter, die nicht dem CLOUD Act unterliegen.

dataroomX® speichert Daten ausschließlich in deutschen Rechenzentren – ISO-zertifiziert, DSGVO-konform und mit Zero-Trust-Architektur. So bleibt der Zugriff durch Dritte ausgeschlossen – auch von US-Behörden.

9. Was Unternehmen jetzt tun sollten

a) Bestandsaufnahme:

Welche Cloud-Dienste mit US-Bezug nutzen Sie aktuell? Sind personenbezogene oder sensible Daten betroffen?

b) Risikoanalyse:

Führen Sie eine Datenschutzfolgenabschätzung (DPIA) gemäß Art. 35 DSGVO durch – unter besonderer Berücksichtigung des CLOUD Act. Vergleiche auch www.nis2-conform.eu.

c) Alternativen evaluieren:

Nutzen Sie diese Gelegenheit, um europäische Anbieter mit vergleichbarem Funktionsumfang zu prüfen.

d) Vertragsprüfung:

Achten Sie bei Auftragsverarbeitungsverträgen (AVV) auf Speicherort, Unterauftragnehmer und Souveränitätsversprechen – und ob diese auch rechtlich Bestand haben.

e) Kommunikation:

Informieren Sie Ihre Kunden, Mitarbeitenden und Partner über getroffene Maßnahmen zur Sicherung der digitalen Souveränität.

10. Ausblick: Der nächste IT-Gipfel in München

Beim IT-Summit by heise am 11. und 12. November 2025 in München steht das Thema „Digitale Souveränität“ im Mittelpunkt. Es ist zu erwarten, dass der Microsoft-Fall dort eine zentrale Rolle spielen wird – ebenso wie die Diskussion um Open-Source-Alternativen und europäische Clouds.

dataroomX® begrüßt diesen Dialog ausdrücklich – denn nur mit Transparenz, juristischer Klarheit und technischer Kontrolle kann eine resiliente europäische IT-Infrastruktur entstehen.

Fazit: Ein Weckruf für Europa

Die Aussage von Microsoft France ist kein Betriebsunfall, sondern ein Systemfehler. US-Cloudanbieter stehen in einem unauflösbaren Spannungsverhältnis zwischen europäischem Datenschutzrecht und amerikanischem Zugriffsrecht. Wer das ignoriert, riskiert nicht nur Bußgelder – sondern auch das Vertrauen von Kunden, Partnern und der Öffentlichkeit.

dataroomX® steht für eine selbstbestimmte, sichere und gesetzeskonforme Datenverarbeitung – made in Germany, hosted in Germany, governed by German law.

Denn eines ist klar: Digitale Souveränität ist kein Luxus, sondern eine Notwendigkeit.

#cloud   #cloudact   #datenraum   #datenräume   #datensicherheit   #digitalesouveränität   #dsgvo   #geheimdienst   #usa   Zurück zur Übersicht