Sichere Cloud und digitale Souveränität in Europa: Sind Microsofts Investitionen in Europa datensicher?

Microsoft hat kürzlich umfangreiche Investitionen in Europa angekündigt, darunter die Sicherung von Quellcode in der Schweiz und die Erweiterung seiner Cloud-Infrastruktur. Diese Maßnahmen werden als Reaktion auf politische Unsicherheiten und wachsende Bedenken europäischer Kunden interpretiert. Trotz dieser Bemühungen bleibt ein fundamentaler Konflikt zwischen US-amerikanischem Recht und europäischen Datenschutzbestimmungen bestehen, der die Frage aufwirft, ob ein europäischer Serverstandort tatsächlich ausreichenden Schutz bieten kann. Dieser Bericht analysiert Microsofts Zusicherungen für Europa, erläutert den rechtlichen Konflikt zwischen dem US CLOUD Act und der DSGVO und untersucht, warum der physische Speicherort von Daten allein keine Garantie für Datensicherheit und -souveränität darstellt.

Passend dazu:

• Sicherer Serverstandort in Deutschland? Datensouveränität in der Cloud: Warum der Serverstandort Deutschland nicht ausreicht!

Microsofts neue digitale Zusicherungen für Europa

Angesichts der unter der Trump-Regierung geführten Handelskämpfe und plötzlichen politischen Entscheidungen haben viele europäische Kunden das Vertrauen in digitale Produkte aus den USA verloren. Microsoft reagiert darauf mit konkreten Zusicherungen und Investitionen in Europa.

Umfangreiche Infrastrukturinvestitionen

Microsoft hat angekündigt, seine Rechenzentrenkapazitäten in Europa in den nächsten zwei Jahren um etwa 40 Prozent zu erweitern und auf insgesamt 16 europäische Länder auszuweiten. Für diese Expansion plant das Unternehmen jährliche Investitionen in zweistelliger Milliardenhöhe. Diese Maßnahmen sollen nicht nur die wachsende Nachfrage nach Cloud-Diensten und KI-Infrastruktur bedienen, sondern auch das Vertrauen europäischer Kunden stärken.

Brad Smith, Justiziar und Präsident von Microsoft, betont in seinem Blogbeitrag die enge wirtschaftliche Verbundenheit mit Europa und versichert, dass Microsoft sich nicht aus der Region zurückziehen werde. Die europäischen Rechenzentren sollen dabei unabhängig agieren und unter der Leitung von EU-Bürgern stehen, wobei europäische Gesetze respektiert und umgesetzt werden sollen.

Schweizer Quellcode-Sicherung und betriebliche Kontinuität

Eine besonders bemerkenswerte Zusicherung ist die Sicherung von Microsofts Quellcodes in der Schweiz. Das Unternehmen erstellt Backups seiner Quellcodes in sicheren Datenspeichern in der Schweiz und gewährt europäischen Partnern rechtskräftige Zugangsrechte. Diese Maßnahme dient als Notfallplan für den “unwahrscheinlichen Fall”, dass Microsoft jemals gezwungen werden sollte, seine Dienste in Europa einzustellen.

Microsoft plant zudem, europäische Partner zu benennen und Notfallvorkehrungen zu treffen, die betriebliche Kontinuität garantieren sollen. Dies wird bereits durch Partnerschaften in Frankreich und Deutschland mit den Bleu und Delos Rechenzentren umgesetzt.

Die EU-Datengrenze: Microsofts Antwort auf Datenschutzbedenken

Ein zentraler Bestandteil von Microsofts Strategie in Europa ist die Implementierung der sogenannten “EU-Datengrenze” (EU Data Boundary) für die Microsoft Cloud.

Umfassende Datenresidenz innerhalb der EU

Seit Januar 2024 können europäische Kunden aus dem gewerblichen und öffentlichen Sektor alle ihre Daten und Benutzerkennungen für die zentralen Cloud-Dienste von Microsoft – einschließlich Microsoft 365, Dynamics 365, Power Platform und Azure-Dienste – innerhalb der EU und der EFTA-Region speichern und verarbeiten. Im Februar 2025 wurde die dritte und letzte Phase der EU-Datengrenze abgeschlossen, wobei die Grenze auch auf Microsoft Professional Service Daten aus technischen Support-Interaktionen ausgeweitet wurde.

Mit diesem Angebot geht Microsoft einen Schritt weiter als viele andere Cloud-Anbieter: Das Unternehmen ermöglicht nicht nur die lokale Speicherung und Verarbeitung von Kundendaten, sondern auch von allen personenbezogenen Daten, einschließlich solcher aus automatisch erstellten Systemprotokollen.

Zusätzliche Sicherheitsoptionen

Microsoft bietet europäischen Kunden mehrere Optionen zur Sicherung und Verschlüsselung ihrer Daten an. Dazu gehören Confidential Computing in Azure, das verhindert, dass Dritte – einschließlich Microsoft selbst – auf Kundendaten zugreifen können, sowie “Lockbox”-Funktionen für Azure, Dynamics 365 und Microsoft 365, mit denen Kunden Anfragen prüfen und genehmigen können, bevor Microsoft auf ihre Daten zugreift.

Weitere Sicherheitsoptionen umfassen Azure Key Vault und Microsoft Purview Customer Key, die es Kunden ermöglichen, ihre Daten mit selbst kontrollierter Verschlüsselungstechnologie zu sichern.

Der fundamentale Konflikt: CLOUD Act versus DSGVO

Trotz aller Bemühungen und Zusicherungen bleibt ein grundlegender rechtlicher Konflikt bestehen, der die Frage aufwirft, ob die Daten europäischer Unternehmen bei US-amerikanischen Anbietern wirklich sicher sind.

Die extraterritoriale Reichweite des CLOUD Act

Der 2018 in Kraft getretene CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ermöglicht es US-Strafverfolgungsbehörden, in den USA ansässige Unternehmen zu zwingen, Zugang zu Daten zu gewähren, unabhängig davon, wo die Daten physisch gespeichert sind. Dies gilt auch für Daten, die in der EU gespeichert, aber von US-Unternehmen oder deren Tochtergesellschaften verwaltet werden.

Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Den betroffenen Unternehmen steht zwar ein Widerspruchsrecht zu, wenn der Eigentümer der Daten kein US-Bürger ist und das Unternehmen durch die Herausgabe gegen Recht in anderen Ländern verstoßen würde – allerdings gilt dies nur für Länder, die mit den USA ein Abkommen unter dem CLOUD Act abgeschlossen haben, was aktuell nur auf Großbritannien zutrifft.

Der Widerspruch zur DSGVO

Die europäische Datenschutz-Grundverordnung (DSGVO) steht in direktem Widerspruch zum CLOUD Act. Artikel 48 der DSGVO verbietet Unternehmen die Übergabe von innerhalb der EU gesicherten Daten ohne Rechtshilfeabkommen. Ein Verstoß gegen diese Bestimmung kann mit Bußgeldern in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes geahndet werden.

Diese Unvereinbarkeit von US Cloud Act und EU-Datenschutz-Grundverordnung bringt Unternehmen, die Cloud-Dienste nutzen, in ein unlösbares Dilemma. Sie stehen vor der Wahl, entweder gegen den CLOUD Act oder gegen die DSGVO zu verstoßen, wobei beides zu erheblichen Sanktionen führen kann.

Passend dazu:

• Unabhängige KI-Plattformen als strategische Alternative für europäische Unternehmen

Warum der Serverstandort keine Garantie für Datensicherheit bietet

Die bloße Tatsache, dass Daten auf Servern innerhalb Deutschlands oder der EU gespeichert werden, bietet entgegen der verbreiteten Annahme keinen ausreichenden Schutz vor ausländischen Zugriffen.

Der Irrtum der Datensicherheit durch Standortwahl

Die Überzeugung, dass Daten auf Servern in Deutschland automatisch vor ausländischen Zugriffen geschützt sind, wird als “gefährlicher Irrtum” bezeichnet. Auch wenn personenbezogene Daten innerhalb von Rechenzentren in der Europäischen Union gespeichert werden, kann ein US-amerikanischer Cloud-Anbieter rechtlich verpflichtet sein, diese Daten im Rahmen strafrechtlicher Ermittlungen an US-Behörden weiterzugeben.

Ein konkretes Risiko besteht insbesondere dann, wenn der Cloud-Anbieter seinen Hauptsitz in den USA hat oder dort tätig ist, die Datenverarbeitung über US-Infrastruktur erfolgt oder ein US-Konzern direkten oder indirekten Zugriff auf die Daten hat. In solchen Fällen besteht die Möglichkeit, dass US-Behörden Zugriff auf personenbezogene Daten erhalten, auch ohne Wissen oder Einwilligung der betroffenen Personen in Europa.

Bedrohung für geistiges Eigentum und Geschäftsgeheimnisse

Die Problematik geht weit über den Schutz personenbezogener Daten hinaus. Der CLOUD Act birgt reale Risiken, die auch die Sicherheit und Vertraulichkeit aller Arten von sensiblen Daten gefährden, einschließlich geistigem Eigentum, F&E-Prototypen, Kundendaten und privater Kommunikation.

Selbst wenn Daten in EU-Rechenzentren gespeichert werden, kann der CLOUD Act US-Unternehmen zwingen, diese Daten an US-Behörden herauszugeben. Das untergräbt nicht nur den Schutz durch die DSGVO und die Datenhoheit der EU, sondern setzt auch kritische Geschäftsinformationen, wie Prototypen oder strategische Pläne, der Gefahr des unbefugten Zugriffs aus.

Durch die potenziellen Zugriffsmöglichkeiten von US-Behörden “verlieren Unternehmen de facto die Hoheit über ihre Angaben und somit über ihr geistiges Eigentum”, was besonders für Geschäfts- und Betriebsgeheimnisse kritisch ist.

Lösungsansätze für mehr Datensouveränität

Angesichts der beschriebenen Problematik stellt sich die Frage, welche Maßnahmen Unternehmen ergreifen können, um ihre Datensouveränität zu wahren.

Alternative Cloud-Anbieter und technische Maßnahmen

Ein wirksamer Schutz vor Zugriffen auf Basis des CLOUD Acts ist nur gewährleistet, wenn sämtliche Anbieter und Subdienstleister außerhalb des US-Rechts agieren, eine ausschließlich europäische Infrastruktur genutzt wird und eine Ende-zu-Ende-Verschlüsselung mit ausschließlich nutzerseitiger Schlüsselkontrolle implementiert ist.

Experten empfehlen daher, bei der Auswahl eines Cloud-Speicher- oder Backup-Anbieters folgende Vorsichtsmaßnahmen zu treffen:

• Wahl eines EU-basierten Anbieters, der nicht dem CLOUD Act unterliegt
• Garantien zur Datensouveränität, bei denen sowohl die Daten als auch die Verschlüsselungsschlüssel vollständig innerhalb der EU bleiben
• Hinzuziehen von Rechts- und Compliance-Experten, die auf DSGVO und Datenschutz spezialisiert sind

Alternative Ansätze: Open-Source als Strategie

Die Schweiz geht einen interessanten alternativen Weg: Im April 2023 wurde das Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG) beschlossen, das vorsieht, dass Regierungssoftware Open Source sein muss und der Quellcode offengelegt werden sollte.

Professor Dr. Matthias Stürmer von der Berner Fachhochschule, der für dieses Gesetz kämpfte, bezeichnet es als “eine große Chance für den Staat, die IT-Branche und die Gesellschaft”. Der Ansatz soll die Anbieterbindung für den öffentlichen Sektor verringern, es Unternehmen ermöglichen, ihre digitalen Geschäftslösungen zu erweitern, und potenziell zu geringeren IT-Kosten und besseren Dienstleistungen für die Steuerzahler führen.

Der Weg zu echter digitaler Souveränität

Die Investitionen von Microsoft in Europa und die Implementierung der EU-Datengrenze sind wichtige Schritte in Richtung mehr Datensouveränität für europäische Unternehmen und öffentliche Einrichtungen. Sie adressieren jedoch nicht vollständig den fundamentalen rechtlichen Konflikt zwischen dem US CLOUD Act und der europäischen DSGVO.

Die bloße Speicherung von Daten auf europäischen Servern bietet keinen ausreichenden Schutz vor dem potenziellen Zugriff durch US-Behörden, wenn der Cloud-Anbieter US-amerikanischen Gesetzen unterliegt. Dieser Umstand stellt nicht nur den Datenschutz in Frage, sondern bedroht auch geistiges Eigentum und Geschäftsgeheimnisse europäischer Unternehmen.

Für eine echte digitale Souveränität sind daher umfassendere Ansätze erforderlich, die sowohl rechtliche als auch technische Aspekte berücksichtigen. Dazu gehören die Nutzung von Cloud-Diensten, die vollständig außerhalb der Reichweite des US-Rechts operieren, konsequente Ende-zu-Ende-Verschlüsselung mit nutzerseitiger Schlüsselkontrolle und möglicherweise auch verstärkte Investitionen in Open-Source-Lösungen.

Letztendlich benötigt Europa eine eigene, unabhängige Cloud-Infrastruktur, die nicht nur technisch, sondern auch rechtlich souverän ist. Bis dahin müssen Unternehmen und öffentliche Einrichtungen sorgfältig abwägen, welche Daten sie wo und wie speichern – und welchen Anbietern sie vertrauen können.

Passend dazu:

• Warum der US CLOUD Act ein Problem und Risiko für Europa und den Rest der Welt ist: Ein Gesetz mit weitreichenden Folgen
• Raus aus der US-Cloud: Souveräne SaaS-Angebote im Überblick + Handlungsempfehlungen

☑️ Unsere Geschäftssprache ist Englisch oder Deutsch

☑️ NEU: Schriftverkehr in Ihrer Landessprache!

 

Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital

Ich freue mich auf unser gemeinsames Projekt.

 

 

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der Digitalstrategie und Digitalisierung

☑️ Ausbau und Optimierung der internationalen Vertriebsprozesse

☑️ Globale & Digitale B2B-Handelsplattformen

☑️ Pioneer Business Development / Marketing / PR / Messen