EU-Boundary nichts wert? Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern

Im Rahmen einer öffentlichen Anhörung vor dem französischen Senat am 10. Juni 2025 hat Anton Carniaux, Chefjustiziar von Microsoft Frankreich, unter Eid eine Erklärung abgegeben, die die bisherigen Darstellungen des Konzerns zum Thema „Zugriffe von US-Behörden auf die Daten der Kund*innen“ relativiert. Er bestätigte klar und unmissverständlich: Microsoft kann nicht garantieren, dass Daten französischer oder europäischer Staatsbürger*innen, die in EU-Rechenzentren gespeichert sind, nicht an US-Behörden weitergegeben werden, selbst ohne Zustimmung französischer Behörden.

„What the …“ werden Sie jetzt zu Recht sagen. Was bedeutet das für Unternehmen, die auf Microsoft-Lösungen setzen?

Was Herr Carniaux konkret sagte

Auf die Frage: „Können Sie sicherstellen, dass Daten von französischen Bürgern von französischen Behörden an die USA gehen?“ antwortete Carniaux: „Non, je ne peux pas le garantir“ („Nein, das kann ich nicht garantieren.“).

Microsoft betont nachdrücklich, technische Schutzmechanismen getroffen zu haben. Zu diesen gehören unter anderem Maßnahmen wie Datenverschlüsselung, Verbleib in der EU (EU-Data-Boundary-Projekt) und interne Prüfverfahren bei Behördenanfragen. Doch im Falle eines formell korrekten US-Datenabrufes nach dem CLOUD Act ist das Unternehmen gesetzlich verpflichtet, die Daten an die US-Behörden herauszugeben.

Carniaux wies zugleich darauf hin, dass solche Anfragen bislang nicht vorgekommen seien und Microsoft diese intern sorgfältig prüfe, jedoch bei rechtlich gültigen Forderungen keine Möglichkeit habe, sich zu verweigern. Diese Aussage von Herrn Carniaux kann eigentlich nur für Microsoft Frankreich gelten, es ist aber davon auszugehen, dass Carniaux damit zugleich eine grundsätzliche Rechtslage für alle Microsoft-Kunden in der Europäischen Union beschreibt.

Welche Konsequenzen das für Sie hat

Obwohl Daten in der EU, wie in Azure-Zentren in Paris oder Frankfurt, gespeichert sind, bleibt Microsoft ein US-Unternehmen. Der CLOUD Act zwingt, Daten zu geben, selbst wenn EU-Gesetze etwas anders sagen.

Microsoft setzt auf EU-Data-Boundary, Verschlüsselung und Transparenzberichte. Diese sind wichtig aber sie bieten keine volle Sicherheit. Wenn US-Behörden eine gültige Anfrage stellen, muss Microsoft liefern.

Vertrauen versus Realität

Die Marketingversprechen von Microsoft über „sichere EU-Clouds“ verlieren an Bedeutung. Was bleibt, ist ein Restrisiko, das weder technisch noch vertraglich vollständig eliminiert werden kann. Das gilt übrigens nicht nur für Microsoft, sondern für jeden Dienstleister mit Sitz in den USA. Ein Wechsel zu Google beispielsweise würde es in Bezug auf die Zugriffsmöglichkeiten der US-Behörden nicht besser machen. Ergänzend kann davon ausgegangen werden, dass kleinere Dienstleister ohne große Budgets für Rechtsstreitigkeiten anders als von Microsoft in den Verträgen zugesichert nicht juristisch gegen solche Herausgabeanforderungen vorgehen werden.

Bedeutung für Ihre Cloud-Strategie

• Bewertung der Datenrisiken: Speichern Sie personenbezogene Daten bei einem US-Cloud-Anbieter, muss das Risiko eines potenziellen Zugriffs durch US-Behörden mitbedacht werden.
• Alternative Anbieter prüfen: Europäische Anbieter bieten zwar teilweise weniger Funktionsumfang, bieten dafür aber aufgrund des europäischen Datenschutzrechts stärkere Kontrolle über die Daten.
• Berücksichtigen Sie das Risiko im Rahmen Ihrer Datenschutz-Folgenabschätzungen (DSFA): Bei bestimmten Verarbeitungen mit hoher Eingriffsintensität kann ein Wechsel zu alternativen Lösungen notwendig sein, um den Anforderungen der DSGVO gerecht zu werden.
• Kommunizieren Sie transparent gegenüber Betroffenen: In manchen Fällen wird eine Anpassung der Datenschutzhinweise notwendig sein, um mögliche Risiken offenzulegen.

Was bedeutet das für das Data Privacy Framework?

Das EU-U.S. Data Privacy Framework (DPF) vereinfacht seit Juli 2023 den Datenaustausch zwischen EU und USA. Sein Ziel ist es, für ein angemessenes Datenschutzniveau in den USA Clouds zu sorgen und damit Daten von EU Bürger*innen auch in den USA gut zu schützen. US-Unternehmen können sich selbst zertifizieren, indem sie sich bei der US-Handelsbehörde (Department of Commerce) registrieren und sich im Rahmen dieser Registrierung dazu verpflichten, die Anforderungen des DPF zu erfüllen. Diese Selbstverpflichtung ist jährlich zu wiederholen. Aber auch das DPF ist kritisch zu sehen, denn auch trotz DPF gelten die US Gesetze (vor allem FISA 702, CLOUD Act) weiterhin, woraus sich Zugriffsrechte für US-Behörden ergeben können.

Wichtige Kritikpunkte:

• Unklare und jederzeit einseitig änderbare Zusagen der US-Regierung außerhalb des US-Rechtsraums.
• Das neu besetzte PCLOB (das US-Schiedsgericht für das DPF) ist nach der Neubesetzung durch den US-Präsidenten nicht wirklich unabhängig.
• US-Behörden könnten Zugriff auf EU-Daten erhalten auch ohne Mitwirkung europäischer Stellen.

Wenn Befürchtungen Realität werden: US-Sanktionen gegen ICC-Chefankläger

Die Sperrung des Microsoft-Kontos von Karim Khan, dem Chefankläger des Internationalen Strafgerichtshofs (ICC), nach einer US-Sanktionsanordnung hat deutlich gemacht, wie verwundbar internationale Organisationen, und letztlich jeder europäische Nutzer, gegenüber einseitigen US-Eingriffen sind. Auch wenn Microsoft den Vorgang offiziell dementiert bzw. auf formale Prozesse verweist, illustriert der Fall die politische Steuerbarkeit digitaler Infrastrukturen durch die US-Regierung und das daraus resultierende Risiko für die Kund*innen.

Microsoft weigert sich, Details preiszugeben, betont jedoch, den ICC nicht generell gesperrt zu haben.

Beobachter warnen vor einer „Kill-Switch-Mentalität“: Jederzeit könnte aus geopolitischen Gründen der Datenzugang einseitig gekappt werden, ohne Rechtsweg für Betroffene außerhalb der USA.

Bewegte Zeiten für Microsoft & Co.?

Mittlerweile ist offensichtlich, dass die Nutzung von US-Clouddienstleistungen nicht so risikolos ist, wie alle bislang gehofft haben. Wir gehen davon aus, dass die Reaktionen der europäischen Unternehmen nun heftiger ausfallen werden als bisher und diese den Druck auf Microsoft & Co. erhöhen werden. Die Lage für US-Cloudanbieter dürfte sich eher kurz- als mittelfristig wandeln. Wie es weitergeht, ist allerdings noch unklar. Aktuelle Trends zeigen:

• Für EU-Institutionen und Unternehmen steigt der Druck, Alternativen zu US-Diensten zu forcieren.
• Viele Behörden (z. B. in Frankreich und Deutschland) wollen eigene Clouds, siehe zum Beispiel hier: https://www.cio.bund.de/SharedDocs/pressemitteilungen/Webs/CIO/DE/2024/dt-frz-digitale-souveraenitaet.html.
• Es gibt allgemein viele Überprüfungen und Unsicherheiten bei Datentransfers.

Fazit

Trotz früherer Aussagen von Microsoft, dass EU-Daten sicher sind, sagt Anton Carniaux klar: Es gibt keine Möglichkeit, US-Behörden von einem Zugriff auf EU-Daten abzuhalten. Es ist sogar möglich, dass diese Zugriffe vollkommen ohne Information der betroffenen Nutzer*innen erfolgen.

Vertrauen ist wichtig, aber alleiniges Vertrauen auf technische Schutzmaßnahmen reicht nicht aus, wenn rechtliche Rahmenbedingungen internationalen Zugriff ermöglichen.

Unternehmen sollten ihre Datenverarbeitungen ein weiteres Mal auf Konformität zu den Anforderungen der DSGVO im Bereich Drittstaatentransfers prüfen und über Alternativen zu US-Infrastrukturen nachdenken.