Експлозивно разкритие: Как Microsoft екстрадира европейски служители в САЩ

Опасна зависимост: Когато американските закони просто отменят европейската защита на данните

TikTok срещу Microsoft: Горчивият двоен стандарт по отношение на суверенитета на данните

Привидно технически процес се превърна в пълномащабен политически скандал: Microsoft предаде на Конгреса на САЩ вътрешни документи, съдържащи нередактирани имена на европейски служители. Засегнатите са именно регулаторните органи, натоварени със задачата да прилагат строгия Закон за цифровите услуги (DSA) срещу американските технологични гиганти. Този инцидент безмилостно разкрива опасната илюзия за така наречения европейски „цифров суверенитет“. Докато европейските правителства и власти продължават да разчитат на решения за „суверенен облак“ от американски хиперскалери, правната реалност доказва, че американските закони като Закона за облака и прости парламентарни призовки могат лесно да подкопаят европейските гаранции. Случаят ярко демонстрира как, когато се стигне до критичен момент, американските технологични компании трябва да действат като продължение на Вашингтон – и принуждава Европа да осъзнае болезнено, че истинският суверенитет на данните без собствена независима инфраструктура си остава чиста фикция.

Дигиталният суверенитет на Европа не е обещание – това е илюзия

През май 2026 г. холандското новинарско списание Vrij Nederland разкри инцидент, който, макар и технически да не е нов, има огромни политически последици. Microsoft е предала вътрешни документи, съдържащи имейли, протоколи от заседания и покани, на разследваща комисия на Камарата на представителите на САЩ, без да редактира имената на споменатите холандски служители. Засегнатите са служители на Холандската агенция за потребителите и пазарите (ACM) и Холандската агенция за защита на данните (AP), а именно органите, отговорни за прилагането на Закона за цифровите услуги (DSA).

Прецизността е от решаващо значение тук, за да се избегне опростяването: Противно на първоначалните съобщения в медиите, този инцидент не е класическо искане по Закона за облака, при което американските власти имат достъп до клиентски данни, съхранявани в облака. Правното основание беше призовка от Камарата на представителите, която задължи Microsoft да предаде собствената си вътрешна бизнес кореспонденция – тоест комуникацията между собствения екип за правителствени отношения на Microsoft и европейските власти. Според цялата налична информация, невъзможността да се анонимизират имената на длъжностните лица в тези документи не е била изрична част от призовката, а по-скоро корпоративен надзор от страна на Microsoft.

Този технически нюанс обаче не променя фундаменталната политическа експлозивност на инцидента; всъщност, той го изостря. Посланието е ясно: Дори не е необходим Законът за облачните технологии в пълната му сила, за да могат политическите институции на САЩ да получат достъп до самоличността на европейските регулатори, работещи по законодателство, което е политически трън в очите на САЩ. Достатъчна е обикновена парламентарна призовка.

Холандският държавен секретар Вилемей Аердтс определи разкриването на имената като „нежелателно“ и поиска среща с посланика на САЩ Джо Пополо. Държавният секретар Ерик ван дер Бург обяви, че ще проведе разследване на точните канали, по които са били споделяни данните. Тези реакции демонстрират институционално безпокойство, но са далеч от това, което би изисквала сериозността на ситуацията.

Политическият мотив: DSA като бойно поле между Брюксел и Вашингтон

За да се разбере напълно инцидентът, трябва да се вземе предвид геополитическият контекст. Законът за цифровите услуги, който се прилага за най-големите платформи от август 2023 г. и за всички цифрови услуги от февруари 2024 г., задължава компании като Google, Meta и Microsoft да отговарят на по-строги изисквания относно модерирането на съдържание, прозрачността на алгоритмите и защитата на потребителите от незаконно съдържание. Администрацията на Тръмп и големи части от доминираната от републиканците Камара на представителите разглеждат този закон като опит за цензура по европейски начин, който тормози американските технологични компании чрез регулации и вреди на свободата на словото.

Тази враждебност вече има осезаеми последици: САЩ наложиха забрана за влизане в страната на бившия еврокомисар Тиери Бретон, когото наричат ​​„бащата“ на Споразумението за дигитално сигурност (DSA). Ройтерс съобщи, че Вашингтон обмисля налагането на санкции на лица, отговорни за прилагането на DSA. На този фон идентифицираните сега холандски служители не само са претърпели абстрактни нарушения на неприкосновеността на личния им живот – теоретично те биха могли да бъдат поставени в списък със санкции или да им бъдат наложени забрани за влизане в САЩ въз основа на тези нередактирани данни.

Камарата на представителите специално поиска вътрешна кореспонденция от технологични компании като Google, Meta и Microsoft относно прилагането на европейски регулаторни проекти, за да подкрепи критиките си към Споразумението за сигурност на данните (DSA) с доказателства. Microsoft се съобрази с това разпореждане – американска корпорация, която трябва да се подчини на собствения си законодателен орган. Независимо дали фактът, че имената на европейски служители останаха нередактирани, може да е бил небрежност или умишлено изчисление, ефектът е един и същ.

Законът за облачните технологии: Анатомия на закон, който Европа е подценила и до днес

Въпреки че конкретният инцидент в Холандия не попада пряко под Закона за облачните услуги, разбирането на този закон е от съществено значение за пълното разбиране на структурните уязвимости на европейските институции. Законът за изясняване на законното използване на данни в чужбина беше приет от Конгреса на САЩ на 23 март 2018 г. Той разшири Закона за съхранените комуникации от 1986 г. и изясни това, което преди това беше спорен въпрос: американските власти – включително ФБР, Министерството на правосъдието и други – могат да изискват от американските технологични компании да предават електронни данни, които са в тяхно притежание, съхранение или контрол, независимо дали тези данни се съхраняват на сървъри в САЩ или в Европа.

По ирония на съдбата, поводът за приемането на закона беше дело, заведено от самата Microsoft. Компанията отказа да предаде данните на клиент, съхранявани на сървър в Ирландия, твърдейки, че действащото тогава американско законодателство няма екстратериториален ефект. Върховният съд беше на път да се произнесе по въпроса, когато Законът за облачните технологии направи делото безпредметно, като изрично установи екстратериториален обхват в закона. Опитът на Microsoft да се възползва от вратичка в закона в крайна сметка доведе до законодателното затваряне на същата тази вратичка.

Законът има два ключови механизма. Първо, той задължава американските доставчици незабавно да разкриват данни при поискване от американските власти, при условие че има съдебна заповед за претърсване, която установява достатъчно основания за престъпление. Второ, той позволява на САЩ да сключват двустранни „изпълнителни споразумения“ с други държави за установяване на реципрочен пряк достъп до данни – рамка, която САЩ вече са въвели с Обединеното кралство и Австралия. Понастоящем не съществува такова споразумение за ЕС, което затвърждава асиметричната ситуация за европейските потребители на американски облачни услуги.

Особено проблематични са така наречените заповеди за неразкриване на данни: властите могат да задължат доставчиците да се въздържат от информиране на засегнатите клиенти за висящи заявки за данни до 180 дни. Това коренно противоречи на принципа за прозрачност на GDPR и създава структурна дилема за съответствие за американските корпорации, обслужващи европейски клиенти.

Основният правен конфликт между Закона за облачните услуги и GDPR

Конфликтът между Закона за облачните услуги и Общия регламент относно защитата на данните (ОРЗД) не е фин – това е открит, нерешен правен спор между две конкуриращи се юрисдикции. ОРЗД, по-специално член 48, постановява, че прехвърлянето на данни към трети страни може да се извършва само въз основа на международно споразумение – като например Договор за взаимопомощ (MLAT) – или друга подходяща предпазна мярка. Законът за облачните услуги напълно заобикаля MLAT и позволява на властите на САЩ едностранен, директен достъп без участието на европейски съдилища или органи за защита на данните.

Това създава класическа дилема за съответствие за засегнатите компании: тези, които спазват заповед на правителството на САЩ, рискуват да нарушат GDPR, което може да доведе до глоби до 20 милиона евро или четири процента от годишния глобален оборот. Тези, които откажат да изпълнят заповедта на САЩ, рискуват санкции съгласно законодателството на САЩ и потенциални правни последици в САЩ. Американските доставчици на облачни услуги са в капана на това противоречие, а техните европейски клиенти поемат риска, без самите те да са страни по производството.

Европейският комитет по защита на данните (ЕДПБ) и Европейският надзорен орган по защита на данните (ЕНОЗД) изясниха в съвместно изявление през 2019 г., че Законът за облачните услуги има много ограничени възможности съгласно законодателството на ЕС за защита на данните, за да направи прехвърлянето на данни към властите на САЩ законосъобразно. Решението на Съда на ЕС по делото Schrems II от 2020 г. затвърди тази оценка, като обяви рамката на Щита за личните данни за невалидност и изясни, че договорните гаранции сами по себе си не могат да отменят правата за достъп на чуждестранни организации.

Публичните обещания на Microsoft и реалността на системната принуда

Microsoft от години следва последователна комуникационна стратегия: ще предприеме правни действия срещу неоправдани искания на правителството на САЩ, което е правила успешно в миналото, и защитава данните на клиентите с всички налични средства. Брад Смит, заместник-председател на Microsoft, заяви пред холандската телевизионна компания NOS: „Заповед на съд в САЩ може да се отнася до информация, съхранявана извън САЩ, но ние бихме завели този въпрос в съда.“

Това уверение звучи успокояващо, но замъглява структурните ограничения на тази позиция. Настоящият инцидент не беше искане, което Microsoft би могла или би оспорила. Компанията просто се съобрази със собствената си парламентарна призовка, без да проявява особена грижа за анонимизирането на трети страни. Освен това Microsoft е признавала в различни международни контексти, че в крайна сметка не може да има абсолютна гаранция за суверенитет на данните за европейските потребители. Пред френския Сенат, юридическият съветник на Microsoft, Антон Карнио, свидетелства под клетва през юни 2025 г., че не може да гарантира, че данните на френски граждани никога няма да бъдат прехвърлени на американски организации без разрешението на френските власти. В писмо до шотландските полицейски власти Microsoft заявява, че компанията „не може да гарантира суверенитета на данните за M365“.

Тези признания не са просто правни гаранции. Те описват структурната реалност, в която се намира една американска технологична компания: тя е подчинена на законодателството на САЩ, независимо къде се намират сървърите ѝ, независимо какво обещават договорите ѝ с европейските клиенти.

Прецедент с дългосрочни последици: Инцидентът с МНС

Случаят с Нидерландия не е изолиран инцидент, а по-скоро част от обезпокоителен модел. Също през 2025 г. Microsoft, действайки от името на администрацията на Тръмп, блокира официалния имейл акаунт на Карим Хан, главния прокурор на Международния наказателен съд (МНС), след като Тръмп наложи санкции срещу него. МНС е със седалище в Хага – по ирония на съдбата, в Нидерландия. Microsoft изпълни заповед на правителството на САЩ, като по този начин лиши международна правна институция от най-висшия си представител от дигитален достъп.

Впоследствие Хан беше принуден да премине към услугата на швейцарския доставчик Proton Mail. Реакцията на европейски политици и международни правни експерти беше ужасена, но моделът е ясен: американска технологична компания се превръща в продължение на външната политика на САЩ веднага щом правителството на САЩ нареди това. Договорите за услуги, ангажиментите за защита на данните и институционалният неутралитет са второстепенни съображения в тази система.

Microsoft заяви, че временното спиране е извършено след консултация с Международния наказателен съд и се прилага единствено към Хан като санкционирано лице, а не към институцията като цяло. Това разграничение обаче пренебрегва практическата реалност: ако оперативната инфраструктура на международна агенция разчита на американски облачни услуги, тази агенция е структурно уязвима към американските санкционни заповеди.

Фокусни области в индустрията: B2B, дигитализация (от AI до XR), машиностроене, логистика, възобновяеми енергийни източници и промишленост

Повече информация тук:

• Експертен бизнес център

Тематичен център, предлагащ анализи и експертиза:

• Платформа за знания, обхващаща глобалните и регионалните икономики, иновациите и специфичните за индустрията тенденции
• Колекция от анализи, прозрения и обща информация от ключовите ни области на фокус
• Място за експертиза и информация за актуалните развития в бизнеса и технологиите
• Център за компании, търсещи информация за пазари, дигитализация и иновации в индустрията

Аргументът за двойните стандарти: TikTok в Америка срещу Microsoft в Европа

В този момент е неизбежно едно съображение, което твърде рядко се изказва изрично в публичния дебат. САЩ забраниха TikTok, или по-скоро принудиха продажбата му, с мотива, че китайска компания майка теоретично би могла да предава потребителски данни на китайското правителство или да цензурира съдържание. Мярката беше оправдана от съображения за национална сигурност, въз основа на рисков сценарий, а не на доказани инциденти.

В същото време Европа приветства това, което е структурно същият модел, който САЩ се стреми да използва с TikTok като „пробив в суверенния облак“: чуждестранна компания, която управлява локална инфраструктура, но остава под юрисдикцията на своята държава. Единствената разлика е, че в европейския случай „чуждестранната“ държава са САЩ – и че на Европа ѝ липсва сравнима стратегическа решителност да идентифицира и прекрати тази зависимост.

Американското законодателство счита Закона за облачните технологии за легитимен инструмент за правоприлагане. Сравнимите възможности на Китай чрез компании като Huawei или ByteDance обаче се разглеждат като риск за националната сигурност. И в двата случая Европа седи на масата за преговори без лостове, защото не е изградила конкурентна, независима цифрова инфраструктура.

Реакцията на Европа: Между политическата проницателност и структурната инерция

Европейските институции признаха сериозността на ситуацията – поне риторично. Още през март 2025 г. мнозинството от холандския парламент призова правителството да спре миграцията на чувствителни правителствени данни към американски облачни услуги и да разработи свои собствени европейски решения. Разследване на холандската сметна палата разкри, че от 1588 правителствени облачни услуги, 700 са базирани на отворени американски платформи.

През април 2026 г. – още преди инцидентът с DSA да стане публично достояние – холандското правителство сключи рамково споразумение с немския доставчик STACKIT (Schwarz Digits, дигиталното подразделение на Lidl Group). Това споразумение гарантира законосъобразно съхранение на данни изключително в рамките на ЕС и включва права за одит за правителството. Договорът съдържаше и клауза за прекратяване, в случай че контролът върху услугите бъде прехвърлен извън Европейското икономическо пространство. Това беше важен сигнал, дори и да приличаше повече на политическо изявление, отколкото на краткосрочно оперативно решение, тъй като съществуващата ИТ инфраструктура на холандските власти засега остава до голяма степен под контрола на САЩ.

На ниво ЕС, Европейската комисия възложи договори на стойност до 180 милиона евро за суверенни облачни услуги на четири европейски доставчика през април 2026 г.: люксембургско-френски консорциум от Post Telecom, OVHcloud и CleverCloud; STACKIT; Scaleway; и Proximus с S3NS, Clarence и Mistral. Тръжният процес следваше специално разработена рамка за облачен суверенитет с осем цели, включително местоживеене на данните, правен имунитет от трети страни и технологична откритост.

Същевременно Европейската комисия подготвя всеобхватен пакет за технологичен суверенитет, който се очаква да забрани на американските доставчици на облачни услуги да използват услугите си за чувствителни данни от публичния сектор в области като здравеопазване, правосъдие и финанси. През май 2026 г. Handelsblatt ексклузивно съобщи за проект на предложение, според което на европейските доставчици на изкуствен интелект и облачни услуги трябва да се дава предимство при обществените поръчки. Въпреки че американските доставчици няма да бъдат категорично изключени, те ще бъдат изключени от разглеждане за най-високите нива на сигурност – защото Законът за облачните услуги прави сертифицирането на абсолютен суверенитет структурно невъзможно.

Илюзията за „Суверенния облак“: Когато договорите не могат да заменят закона

Едно от най-значимите погрешни схващания в европейската дигитална политика през последните години беше убеждението, че физическото съхраняване на данни в европейски центрове за данни на американски доставчик би осигурило достатъчна защита срещу достъп на правителството на САЩ. Microsoft, Amazon и Google култивираха това погрешно схващане със значителни маркетингови усилия: „Граница на данните на ЕС“, „Европейски суверенен облак“, „Суверенен контрол“ – продуктите имат впечатляващи имена, но фундаментален недостатък в дизайна.

Основният проблем: Суверенитетът следва собствеността, а не местоположението на сървъра. Всеки, който използва американски доставчик на облачни услуги, е подчинен на юрисдикцията на САЩ – независимо дали данните се намират във Франкфурт, Амстердам или Сиатъл. Вицепрезидентът на Microsoft Брад Смит изрично потвърди това: „Съдебно решение в Съединените щати може да се прилага за информация, съхранявана извън САЩ.“ Решението на Европейския съд по делото Schrems II от 2020 г. вече поясни, че стандартните договорни клаузи сами по себе си не осигуряват достатъчна защита, ако законът на приемащата държава не гарантира сравнимо ниво на защита.

Предлаганите от американските хиперскалери решения за „суверенен облак“ отговарят на някои легитимни нужди, като например локализиране на данни на национално ниво или отчитане на съответствието, но не могат да елиминират структурния проблем на юрисдикцията на САЩ. Външното управление на ключове, политиките за местожителство на данни и оперативните модели на ЕС са технически мерки, които намаляват рисковете за достъп, но не могат да ги елиминират напълно – както е потвърдено от собствените съдебни и парламентарни показания на Microsoft.

Икономическо измерение: Цената на дигиталната зависимост

Отвъд защитата на данните и политическите измерения, структурната зависимост на Европа от американските доставчици на облачни услуги има значителен икономически компонент, който рядко се определя количествено изрично. Според оценки на Европейската комисия, американските доставчици контролират около 70 процента от европейския пазар на облачни услуги, водени от Amazon и Microsoft. Това пазарно господство означава не само зависимост от компании, подчинени на чуждестранно законодателство, но и масивен отлив на капитали от Европа към САЩ и структурна неразвитост на европейската технологична екосистема.

Поверяването на вашите данни на американска корпорация финансира нейните бюджети за научноизследователска и развойна дейност, предоставя данни за обучение за системи с изкуствен интелект и засилва пазарната мощ на компаниите, които могат да действат като лост във външната политика на САЩ. Милиардите евро, предназначени в европейските бюджети за Microsoft 365, Azure, AWS или Google Cloud, се вливат в икономическа система, която, когато се стигне до критичен момент, дава приоритет на европейските интереси пред другите. Освен това, 44% от европейските компании посочват липсата на гаранции за суверенитет от доставчиците като ключова пречка за приемането на облачните технологии, а 32% съобщават за „инциденти, свързани със суверенитета“ миналата година – най-често неоторизиран трансграничен трансфер на данни.

Европейската дигитална икономика е изправена пред структурна дилема: В краткосрочен план американските хипермащабируеми компании предлагат превъзходна технологична производителност, по-дълбока интеграция и по-ниски разходи от европейските алтернативи. В дългосрочен план обаче те затвърждават зависимост, която, с нарастващото геополитическо напрежение между ЕС и САЩ, представлява екзистенциален риск за управлението на публичните институции. Преходът към европейски алтернативи не е политически лукс, а въпрос на институционална цялост.

Технически и правни възможности за европейските институции

За публичните институции и компаниите, които наистина се стремят към суверенитет на данните, а не просто да го симулират, анализът разкрива ясен набор от изисквания. Първо, използването на облачни услуги от европейски доставчици без компания майка в САЩ е единственият начин за структурно изключване на юрисдикцията на Закона за облачните услуги. Доставчици като STACKIT, OVHcloud, Scaleway, Hetzner и IONOS (1&1) предлагат съвместими с GDPR услуги в различна степен, които не са предмет на законодателството на САЩ.

Второ, криптирането от страна на клиента с управлявани от Европа ключове осигурява допълнителен слой защита, който теоретично може да се приложи и при американски доставчици. Ако данните са криптирани, преди да бъдат прехвърлени в облака и доставчикът няма достъп до ключа, суровите данни са нечетливи за американските власти – дори ако доставчикът е задължен да предаде криптираните файлове. Трето, всяко решение за обществена поръчка трябва да включва пълна оценка на въздействието върху защитата на данните (DPIA), която изрично оценява и документира риска от Закона за облачните услуги.

Технологичното развитие все повече прави възможно постигането на суверенитет не чрез изолация, а чрез архитектура: федеративни системи, платформи с отворен код и архитектури с нулево доверие, които налагат механизми за контрол технически, вместо да ги обещават договорно.

Трезва оценка: Какво означава този случай и какво не означава

Случаят с Нидерландия е важен инцидент, но специфичните му механизми често са неразбрани. Това не е класически случай на нарушение на Закона за облачните услуги, при който клиентски данни се предоставят от облак. Това е случай, в който американска корпорация е изпълнила собственото си парламентарно задължение да предостави информация, но не е анонимизирала трети страни. Това първоначално е по-малко драматично, а след това по-драматично, защото показва как много американски правни механизми, не само Законът за облачните услуги, могат да застрашат данните на европейските правителства.

Това, което този случай несъмнено доказва обаче, е, че Microsoft, като американска компания, работи съгласно американското законодателство и ще го прилага, ако е необходимо. Никакво договорно споразумение, никакво местоположение на сървъра и никаква маркетингова кампания за суверенни облачни услуги не могат да променят това. Всеки, който наистина иска да защити целостта на правителствените данни, чувствителните търговски тайни или личните данни, не може да го направи с абсолютна сигурност в американските инфраструктури.

Инициативата „Дигитална свобода Бавария“, Xpert.Digital, и други гласове, които от години сочат тези системни проблеми, са структурно доказали правотата си в анализа си: дебатът е бил сведен до комфортната зона на умилостивения и договорни обещания твърде дълго. Този случай прави структурната дилема видима – и политическите последици, които неизбежно биха произтекли от истинския дигитален суверенитет, неизбежни.

Отговорът на въпроса дали софтуерът на Microsoft представлява „шпионски софтуер“ е по-нюансиран: компанията не е активен шпионски агент, който проактивно наблюдава европейските власти. Тя обаче е компания, която структурно е неспособна и вероятно не желае да защити напълно европейския суверенитет на данните срещу директивите на правителството на САЩ. Това прави американските облачни услуги структурно неподходящи за чувствителни обществени и правителствени данни – независимо как се дефинира терминът „шпионаж“ от правна или морална гледна точка.

Перспектива: Дигиталният суверенитет на Европа като ключов стратегически въпрос

Цифровата зависимост на Европа е резултат от две десетилетия политическа късогледство, липса на инвестиции в собствените технологични екосистеми и икономическа логика, която дава приоритет на повишаването на ефективността пред рисковете за суверенитета. Отпускането на 180 милиона евро от Комисията за суверенни облачни услуги, рамковото споразумение STACKIT на Нидерландия и обявения пакет за технологичен суверенитет са първите стъпки в правилната посока, но те остават скромни предвид мащаба на проблема и скоростта на геополитическата ескалация.

Дигиталният суверенитет не е искане за дигитален национализъм или за изолиране на глобалните технологични пазари. Това е фундаментално изискване демократичните институции да запазят действителен контрол върху системите, на които се основава тяхната работа – и този контрол да не може да бъде подкопан от екстериториално законодателство от трета държава. Докато Европа не е изградила конкурентни алтернативи върху критична маса и публичните органи все още работят на хиляди американски облачно-зависими системи, всяка гаранция за суверенитет на данните е политическа фикция – добре опакована в маркетингов език, свързан с местоположението на сървърите.

Инцидентът в Холандия е зов за събуждане. Дали Европа ще се събуди, остава ключовият въпрос.

Xpert.Digital е индустриален център за B2B, базиран на данни, ръководен от Konrad Wolfenstein . Компанията действа като външно, квази-вътрешно решение за индустриални партньори, запълвайки оперативните пропуски в маркетинга, съдържанието и продажбите – без да се изискват допълнителни ресурси от страна на клиента.

Повече информация тук:

• Квази-вътрешно решение: Как Xpert.Digital запълва оперативните пропуски в B2B маркетинга и продажбите – Smart Content-Driven Business

☑️ Нашият бизнес език е английски или немски

☑️ НОВО: Кореспонденция на родния ви език!

 

Аз и моят екип с удоволствие ще бъдем на ваше разположение като ваш личен съветник.

Можете да се свържете с мен, като попълните формата за контакт тук wolfenstein@xpert.digital:или просто ми се обадите на +49 7348 4088 965. Моят имейл адрес е

Очаквам с нетърпение нашия съвместен проект.

 

 

☑️ Подкрепа за МСП в стратегията, консултирането, планирането и внедряването

☑️ Създаване или пренасочване на дигиталната стратегия и дигитализация

☑️ Разширяване и оптимизиране на международните процеси на продажби

☑️ Глобални и дигитални B2B търговски платформи

☑️ Pioneer Развитие на бизнеса / Маркетинг / PR / Търговски панаири