Microsoft kann EU-Cloud-Datenschutz nicht garantieren

5 months ago 6

Pexels, free Verwendung) [English]Da hat Microsoft einen riesigen Luftballon in Bezug auf europäische Cloud-Angebote aufgeblasen. Rechenzentren in Europa, eine "europäische Microsoft-Cloud" für digitale Souveränität. Und dann musste ein Microsoft Manager unter Eid eingestehen, dass dies nich vor dem Zugriff der US-Behörden schützt.

Seit US-Präsident Trump die Welt aufmischt, sehen sich auch große Cloud-Anbieter wie Microsoft stürmischem Fahrwasser ausgesetzt. In Europa ist seit einigen Monaten eine Diskussion über die digitale Souveränität entbrannt. Speziell Behörden müssen einen Exit von Microsoft 365 und der Azure-Cloud andenken bzw. wollen diesen sogar umsetzen. Ich hatte beispielsweise im Beitrag Digitale Souveränität: EU-Cloud; Microsoft Exit in dänischem Digitalministerium; wahre Kosten von Windows 11 darüber berichtet. Die digitale Abhängigkeit von Microsoft soll reduziert werden.

Getriggert wurde diese Entwicklung in Europa auch durch die schon lange schwelende Diskussion um Datenschutz und Datensicherheit. Das EU-US-Abkommen Transatlantic Data Transfer Privacy Agreement, von Ex-US-Präsident Biden per Erlass aufgestellt, steht ja unter Präsident Donald Trump unter Beschuss und könnte durch den EuGH fallen. Dann wäre der Datentransfer in die US-Cloud durch EU-Organisationen und -Firmen unzulässig.

Schalmeien-Klänge zur EU-Cloud

Mitte Juni 2025 hatte ich dann im Beitrag Microsofts "souveräne" Cloud angekündigt – "weiße Salbe"? über die von Microsoft propagierte souveräne Microsoft Sovereign Cloud berichtet. Dazu hatte Microsoft nachfolgendes schöne Bildchen veröffentlicht.

Microsoft Souveign Cloud

Es soll eine Sovereign Public Cloud und eine Sovereign Private Cloud, sowie nationale Souveign Clouds (z.B. Delos von der SAP-Tochter) geben. Europäischen Kunden werden Unternehmensdienste wie Microsoft Azure, Microsoft 365, Microsoft Security und Power Platform, gehostet in allen bestehenden europäischen Rechenzentrumsregionen angeboten.

Die Sovereign Public Cloud stellt laut Microsoft sicher, dass die Daten der Kunden in Europa bleiben, dem europäischen Recht unterliegen, der Betrieb und der Zugriff durch europäisches Personal kontrolliert werden und die Verschlüsselung unter der vollen Kontrolle der Kunden steht.

Microsoft kann US-Zugriff nicht verhindern

Wer nüchtern auf die Rechtslage schaut, dem muss klar sein, dass Daten, die irgendwie von US-Firmen verarbeitet werden, im Zweifelsfall durch den US Cloud-Act (Clarifying Lawful Overseas Use of Data Act) im Zugriff der US-Behörden stehen. Spätestens wenn es hart auf hart kommt, müsste Microsoft die Daten herausgeben.

"Offenbarungseid" ist der veraltete Begriff für die Vermögensauskunft eines Schuldners, der vor der Zahlungsunfähigkeit steht und seine Schulden nicht begleichen kann. Genau diese Metapher kam mir bei nachfolgendem Vorgang in den Sinn.

Im französischen Senat wurde Anton Carniaux, Head of Corporate, External & Legal Affairs bei Microsoft France, am 10. Juni 2025 unter Eid zur Souveränen Microsoft Cloud befragt. Das Protokoll lässt sich unter Audition de MM. Anton Carniaux, directeur des affaires publiques et juridiques, et Pierre Lagarde, directeur technique du secteur public, de Microsoft France nachlesen.

Carniaux versucht erst einmal die tollen Microsoft-Leistungen darzustellen, um jedem Einzelnen die Mittel für die Digitale Transformation mittels Cloud-Computing mit der Azure-Plattform, künstliche Intelligenz (KI) mit Copilot, Cybersicherheit, IT-Hardware oder auch Tools für die Zusammenarbeit wie Office an die Hand zu geben. Alles sei auf die Bedürfnisse der Kunden zugeschnitten und entspreche den französischen regulatorischen Anforderungen.

Der Berichterstatter des französischen Senats, Dany Wattebled, wollte den Microsoft Mann aber nicht davon kommen lassen und hat konkret nachgehakt. Er verweist darauf, dass Microsoft dem US Cloud Act unterliegt, der den US-Behörden den Zugriff auf in Europa gespeicherte Daten ermöglicht. Wie könne Microsoft mit konkreten Beweisen garantieren, dass die Daten der französischen öffentlichen Verwaltungen, die über die Verträge der Union des groupements d'achats publics (Ugap) verwaltet werden, niemals an die US-Regierung weitergeleitet werden? Der Berichterstatter solle ausführen, welche genauen technischen und rechtlichen Mechanismen diesen Zugriff verhindern?

Und genau da musste Microsofts Anton Carniaux seinen "Offenbarungseid" leisten: Er versucht es zwar noch im Ungefähren, und führt aus, dass man sich aus rechtlicher Sicht gegenüber den Kunden, auch aus dem öffentlichen Sektor, vertraglich verpflichtet, sich den Forderungen der US-Regierung zu widersetzen, wenn sie unbegründet sind. Wenn sich dies als unmöglich erweist, antworte Microsoft in äußerst präzisen und begrenzten Fällen. Aber es wäre noch nie passiert, wie man den Transparenzberichten entnehmen könne.

Der Berichterstatter ließ Anton Carniaux so nicht davon kommen und fragte, ob er unter Eid vor dem Ausschuss versichern könne, dass die Daten französischer Bürger, die Microsoft über die Ugap anvertraut wurden, aufgrund einer Anordnung der US-Regierung niemals ohne die ausdrückliche Zustimmung der französischen Behörden weitergegeben werden?

Die Antwort von Anton Carniaux lautete "Nein, das kann ich nicht garantieren, aber auch hier gilt, dass dies noch nie vorgekommen ist." Damit sind wir genau wieder am Start bzw. bei dem, was kleine Lichter wie meine Wenigkeit, schon immer vertreten haben: Im Zweifelsfall wird Microsoft die Daten an die US-Regierung herausgeben müssen, egal, wo diese Daten liegen. Und die US-Regierung kann Microsoft zu Stillschweigen verdonnern, so dass der Betroffene nicht einmal informiert werden darf. Microsoft könnte höchsten zum Modell des Kanarienvogels greifen und in seinen Transparenzberichten schreiben "es wurden keine Daten nach dem Cloud-Act herausgegeben". Bleibt diese Mitteilung aus, ließe dies den Schluss zu, dass die Datenherausgabe durch die US-Regierung erzwungen wurde.

Die souveräne EU-Cloud mit US-Firmen ist juristisch tot

Mit diesem Eingeständnis des Microsoft Managers ist die "Souveräne EU-Cloud" unter Einbeziehung von US-Firmen wie Microsoft aus juristischer Sicht tot (war es eigentlich immer schon), sofern der Anspruch, dass Daten von EU-Bürgern niemals ohne Zustimmung an die US-Regierung gehen dürfen, Bestand haben soll (eigentlich die Basis für Souveränität).

heise spricht von einem Souveränitäts-Debakel: Zwischen "blumiger Werbung" und "keine Panik" und lässt sowohl Dennis Kipker (Professor für IT-Sicherheitsrecht an der Hochschule Bremen) als auch Stefan Hessel (Rechtsanwalt von reuschlaw, die den Einsatz von Microsoft 365 oder Azure begründen) mit Einschätzungen zu Wort kommen. In diesem Artikel zeichnet man die Versuche von AWS und Microsoft nach, zu retten, was eigentlich nicht mehr zu retten ist.

Legt man die obigen Erkenntnisse zugrunde, sind auch die europäischer Cloud-Lösungen wie die Delos-Cloud der gleichnamigen SAP-Tochter Delos, die auf der Microsoft Cloud basiert, gestorben. Genau diese Delos-Cloud soll ja bei deutschen Behörden und Regierungen breit als "souveräne Cloud" eingesetzt werden, um persönliche Daten von deutschen Bürgern zu verarbeiten.

Und auch die EU-spezifische Cloud der CISPE ist ist abseits der technischen Probleme (siehe Microsoft reißt Termin für EU-spezifische Cloud-Version) so gut wie tot, wenn man auf Souveränität der Daten besteht. Auch die neuesten Zuckungen zu Gaia-X (siehe hier) dürften nichts an der Situation ändern. Es bliebt spannend, speziell, wenn demnächst die angedrohten US-Zölle auf europäische Handelsgüter erhoben werden und die EU mit Gegenmaßnahmen reagieren muss.