🔒📡 Microsoft bekræfter under ed: Amerikanske myndigheder kan få adgang til europæiske data trods EU-cloud

Udgivet den: 21. juli 2025 / Opdateret den: 21. juli 2025 – Forfatter: Konrad Wolfenstein

Microsoft bekræfter under ed: Amerikanske myndigheder kan få adgang til europæiske data trods EU's cloudtjenester – Billede: Xpert.Digital

Under ed: Microsoft kan ikke forhindre amerikansk adgang til EU's cloud – databeskyttelse ser anderledes ud trods tidligere dristige løfter

Hvorfor står Microsoft pludselig igen over for kritik vedrørende databeskyttelse?

Den seneste udvikling omkring Microsoft har bragt spørgsmålet om datasuverænitet tilbage i fokus i Europa. I juni 2025 fremsatte Anton Carniaux, den juridiske direktør for Microsoft Frankrig, en erklæring ved en offentlig høring for det franske senat, der rystede fundamentet for den amerikanske virksomheds tidligere sikkerhedsløfter.

Da ordfører Dany Wattebled direkte spurgte, om han under ed kunne garantere, "at data om franske borgere, der er betroet Microsoft via UGAP, aldrig vil blive videregivet på foranledning af den amerikanske regering uden de franske myndigheders udtrykkelige samtykke", svarede Carniaux utvetydigt: "Nej, det kan jeg ikke garantere, men det er aldrig sket før.".

Denne erklæring har særlig vægt, fordi den blev fremsat under ed, hvilket understreger Microsofts juridiske forpligtelse. UGAP (Union des Groupements d'Achats Publics) er et centralt indkøbsagentur for den franske offentlige sektor, der leverer IT-tjenester til skoler, rådhuse og kommunale forvaltninger. Carniaux forklarede yderligere, at Microsoft kun har mulighed for at afvise anmodninger om information fra den amerikanske regering, hvis de formelt er "grundløse".

Relateret til dette:

Sikker cloud og digital suverænitet i Europa: Er Microsofts investeringer i Europa datasikre?

Hvilket juridisk grundlag forpligter Microsoft til at videregive data?

Den juridiske forpligtelse til at videregive data er baseret på flere amerikanske love, der er bindende for Microsoft som en amerikansk virksomhed. Patriot Act fra 2001 og Cloud Act fra 2018, som bygger videre på den, kræver, at alle amerikanske cloududbydere samarbejder med den amerikanske regering, NSA og andre amerikanske efterretningstjenester – selv i udlandet.

Cloud Act (Clarifying Lawful Overseas Use of Data Act) var resultatet af en årelang juridisk kamp mellem Microsoft og den amerikanske regering. Amerikanske myndigheder krævede adgang til data tilhørende en amerikansk statsborger, som var lagret på Microsofts servere i Irland. Microsoft nægtede i første omgang med henvisning til irsk og EU's databeskyttelseslovgivning, men måtte i sidste ende give efter, da Kongressen vedtog Cloud Act i 2018.

Cloud Act giver amerikanske myndigheder brede beføjelser til at kræve frigivelse af data fra amerikanske virksomheder – uanset hvor disse data fysisk er lagret. Det betyder, at data i europæiske datacentre, der drives af Microsoft, Amazon eller Google, også er underlagt amerikansk lov.

Andreas Mundt, chef for det tyske føderale kartelkontor, advarede om disse afhængigheder allerede i juli 2025: "Der er allerede politiske indgreb i den digitale infrastruktur i USA. Dette demonstrerer magten på den anden side, og hvor afhængige vi er af amerikanske virksomheder." Som eksempel nævnte han en ordre fra den amerikanske præsident Trump til Microsoft om at tilbagekalde adgangen til den Microsoft-e-mailkonto, der tilhører Karim Khan, chefanklager ved Den Internationale Straffedomstol (ICC).

Hvad betyder dette for Microsofts europæiske løfter om databeskyttelse?

Afsløringerne fra høringen i det franske senat sætter spørgsmålstegn ved Microsofts årelange bestræbelser på at opnå europæisk accept. Virksomheden havde foretaget massive investeringer i sin "EU Data Boundary" - et projekt, der varede over to år og blev afsluttet i februar 2025. Dette initiativ havde til formål at sikre, at data fra europæiske kunder udelukkende blev lagret og behandlet i EU's datacentre.

Microsofts præsident, Brad Smith, havde i april 2025 dristigt annonceret, at virksomheden ville "sagsøge den amerikanske regering, hvis det var nødvendigt for at beskytte europæiske kunders adgang til dens tjenester." Smith, Microsofts næstformand og juridiske chef, udtalte på et møde i Atlantic Council i Bruxelles, at virksomheden ville "juridisk anfægte enhver regeringsordre i USA om at lukke cloud-tjenester for europæiske kunder.".

Disse forsikringer viser sig imidlertid at være værdiløse i lyset af de juridiske realiteter. Selv hvis Microsoft skulle anfægte regeringens ordrer i retten, ville virksomheden stadig skulle implementere dem med det samme, som eksperter påpeger – og i bedste fald ville det blive besluttet måneder eller år senere, at det faktisk var ulovligt. Desuden er det ikke engang garanteret, at Microsoft ville have lov til eller være villig til at informere berørte kunder om den dataadgang, der har fundet sted.

Hvordan har sagen om Den Internationale Straffedomstol belyst problemet?

Sagen om Den Internationale Straffedomstol (ICC) illustrerer dramatisk de praktiske konsekvenser af disse afhængigheder. Efter amerikanske sanktioner mod ICC mistede chefanklager Karim Khan adgangen til sin Microsoft-baserede e-mailkonto. Associated Press rapporterede, at Khan også mistede sine bankkonti i Storbritannien og måtte skifte til den schweiziske e-mailudbyder Proton Mail.

Microsoft benægtede at have "fysisk blokeret" ICC's tjenester, men kunne ikke forklare, hvem der var ansvarlig for blokeringen. Denne forvirring understreger manglen på gennemsigtighed omkring sådanne indgreb. Peter Ganten, formand for Open Source Business Alliance (OSBA), beskrev Microsofts handlinger som "hidtil usete i denne sammenhæng og med dette omfang." Sanktionerne mod ICC, som er beordret af USA og implementeret af Microsoft, bør tjene som "et vækkeur for alle, der er ansvarlige for sikker tilgængelighed af statslige og private IT- og kommunikationsinfrastrukturer.".

Relateret til dette:

Ud af den amerikanske cloud: En oversigt over suveræne SaaS-tilbud + anbefalinger til handling

Hvilke alternativer tilbyder Europa med Gaia-X?

I lyset af disse åbenlyse risici er europæiske alternativer som Gaia-X i fokus. Gaia-X er et initiativ, der blev lanceret i 2019 af Tyskland og Frankrig for at opbygge en "højtydende og konkurrencedygtig datainfrastruktur for Europa." Projektet sigter mod at skabe en samlet, sikker datainfrastruktur, hvor data kan udveksles i overensstemmelse med europæiske værdier om gennemsigtighed, åbenhed, databeskyttelse og sikkerhed.

Kerneprincippet i Gaia-X er bevarelsen af datasuverænitet: Dataejere bør beholde fuld kontrol over deres data og frit kunne bestemme, hvem de deler dem med, eller hvem de vil tilbagekalde adgang. I modsætning til de centraliserede strukturer hos amerikanske hyperscalere er Gaia-X baseret på et decentraliseret, fødereret system af sammenkoblede noder, bygget på åbne standarder.

Med Gaia-X Digital Clearing Houses (GXDCH) er initiativet nu gået ind i en operationel fase. Disse clearinghouses fungerer som kontrolcentre for Gaia-X-tjenester og certificerer overholdelse af Gaia-X-standarder. Fire IT-udbydere har allerede lanceret deres første clearinghouses: Aruba i Italien, T-Systems i Tyskland og Aire Networks og Arsys i Spanien. Andre udbydere, såsom OVH, Exaion, Orange, Proximus, A1.digital, KPN og Pfalzkom, har annonceret planer om at etablere yderligere clearinghouses.

Relateret til dette:

Industri-X: Fremme af europæisk og global logistik- og forsyningskædeudvikling gennem industriinitiativerne Catena-X og Gaia-X

Hvad er Catena-X, og hvorfor er det vigtigt?

Catena-X repræsenterer den første større anvendelse af Gaia-X-principperne og demonstrerer, hvordan europæisk datasuverænitet kan fungere i praksis. Catena-X Automotive Network udvikler et samarbejdsbaseret, decentraliseret data- og serviceøkosystem langs hele bilindustrien.

Projektet, der er finansieret med over 100 millioner euro af det tyske ministerium for økonomi og klima, løber fra august 2021 til juli 2024. Mere end 80 virksomheder, primært fra den tyske bil- og IT-industri, samarbejder om projektet. Det tyske kartelbureau har godkendt samarbejdet og understreger, at "veludformede initiativer som dette er lovende, da de kan bidrage til at styrke konkurrencen inden for cloud-tjenester i fremtiden.".

Catena-X gør det muligt for virksomheder – fra producenter og mellemstore leverandører til genbrugsvirksomheder – at drage fordel af datadrevet styring, samtidig med at de er beskyttet af europæiske love om datasuverænitet og privatlivsbeskyttelse. Systemet er baseret på Gaia-X-koncepter og -principper og udvider dem efter behov.

Catena-X's kerneværdier omfatter:

Pålidelig digital identitet: Verificerede og unikke virksomhedsidentiteter
Interoperabilitet: Ensartede open source-baserede standarder og KIT'er
Selvsuverænitet: Decentraliseret arkitektur med fuld kontrol over egne data
Branchestyring: En global driftsmodel og ramme

Integration af en uafhængig og tværgående AI-platform til alle forretningsbehov

Integration af en uafhængig og tværgående AI-platform til alle forretningsbehov - Billede: Xpert.Digital

AI Game Changer: Den mest fleksible AI-platform - Skræddersyede løsninger, der reducerer omkostninger, forbedrer dine beslutninger og øger effektiviteten

Uafhængig AI-platform: Integrerer alle relevante virksomhedsdatakilder

Denne AI-platform interagerer med alle specifikke datakilder
- Fra SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox og mange andre datastyringssystemer
Hurtig AI-integration: Skræddersyede AI-løsninger til virksomheder på timer eller dage i stedet for måneder
Fleksibel infrastruktur: Cloudbaseret eller hosting i dit eget datacenter (Tyskland, Europa, frit valg af lokation)

Maksimal datasikkerhed: brugen i advokatfirmaer er et uomtvisteligt bevis
Implementering på tværs af en bred vifte af virksomhedsdatakilder
Valg af egne eller forskellige AI-modeller (Tyskland, EU, USA, Canada)

Udfordringer som vores AI-platform løser

Manglende tilpasning af konventionelle AI-løsninger
Databeskyttelse og sikker håndtering af følsomme data
Høje omkostninger og kompleksitet ved individuel AI-udvikling
Mangel på kvalificerede AI-specialister
Integration af AI i eksisterende IT-systemer

Mere information her:

AI-integration af en uafhængig og tværgående AI-platform til alle forretningsbehov

Amerikanske virksomheders exit: Det store skift til europæiske cloud-alternativer

Hvilke specifikke fordele tilbyder europæiske alternativer?

De europæiske cloud-alternativer tilbyder flere afgørende fordele i forhold til amerikanske hyperscalere:

Retssikkerhed: Europæiske udbydere er udelukkende underlagt europæisk lov og er ikke underlagt ekstraterritoriale love såsom Cloud Act eller Patriot Act. Det betyder, at dataadgang kun kan finde sted på grundlag af europæiske aftaler om gensidig retshjælp.
GDPR-overholdelse: Da dataene ikke forlader EU, opfyldes de strenge krav i den generelle forordning om databeskyttelse (GDPR) automatisk. Dette eliminerer risikoen for GDPR-overtrædelser, som kan resultere i bøder på op til 20 millioner euro eller fire procent af den globale årlige omsætning.
Datasuverænitet: Europæiske løsninger gør det muligt for virksomheder og offentlige myndigheder at bevare fuld kontrol over deres data. Med open source-løsninger kan selv kildekoden gennemgås og justeres efter behov.
Økonomisk uafhængighed: Brug af europæiske alternativer reducerer afhængigheden af et par dominerende amerikanske virksomheder og styrker den europæiske økonomi. Penge flyder ikke ud, men forbliver inden for den europæiske økonomiske cyklus.

Hvorfor er tidligere forsøg på at opnå digital suverænitet mislykkedes?

Trods årelange politiske forpligtelser til digital suverænitet halter Europa betydeligt bagud i den praktiske implementering. Årsagerne til dette er mange:

Manglende politisk beslutsomhed: Selvom den tyske regering har erklæret digital suverænitet som et strategisk mål, mangler der et "konsekvent og strategisk fokus på open source-software", kritiserer Open Source Business Alliance. I stedet fortsætter der med at blive indgået massive kontrakter med amerikanske udbydere.
Organisatoriske mangler: Det franske senat fandt, at "staten ikke var i stand til at imødegå udfordringerne med at garantere national suverænitet." Tre store statslige aktører – Direction des Achats de l'État (DAE), Direction des Affaires Juridiques (DAJ) og Commissariat Général au Développement Durable (CGDD) – formåede alle ikke at implementere en sammenhængende forvaltningsstrategi.
Eksisterende afhængigheder: Microsoft har en markedsandel på næsten 70 procent i Tyskland for operativsystemer og kontorsoftware. Disse historisk voksende afhængigheder komplicerer overgangen til europæiske alternativer betydeligt.
Manglende kendskab til europæiske løsninger: Selvom der findes europæiske alternativer af høj kvalitet, er de "mindre kendte" og ofte ikke så overkommelige eller brugervenlige som de etablerede amerikanske tilbud.

Relateret til dette:

Europas digitale afhængighed af USA: Cloud-dominans, forvrængede handelsbalancer og fastlåsningseffekter

Hvilke europæiske alternativer findes allerede?

I modsætning til hvad mange tror, findes der allerede adskillige konkurrencedygtige europæiske alternativer til de dominerende amerikanske tjenester. Hjemmesiden European-Alternatives.eu tilbyder et omfattende overblik over europæiske alternativer til Microsoft Office, Google, Gmail, Microsoft Teams, Dropbox og andre tjenester.

E-mail og kommunikation: ProtonMail fra Schweiz, Posteo fra Tyskland og Tutanota tilbyder overbevisende alternativer til Gmail og Outlook. Disse tilbyder ofte endda bedre sikkerhedsfunktioner såsom end-to-end-kryptering.
Cloud-lagring: Europæiske udbydere som Proton Drive, pCloud fra Schweiz, Internxt fra Italien og OVHcloud fra Frankrig konkurrerer med succes med amerikanske løsninger.
Kontorsoftware: Tyske virksomheder som Nextcloud og Ionos udvikler i fællesskab et kontorsoftwarealternativ til Microsoft Office, baseret på open source-teknologi. LibreOffice er allerede etableret som et alternativ til Microsoft Office.
Beskeder og samarbejde: Threema fra Schweiz tilbyder et sikkert alternativ til WhatsApp, som oplever et konstant stigende antal brugere.
Cloud-infrastruktur: Tyske udbydere som IONOS, OVHcloud fra Frankrig og andre europæiske udbydere tilbyder Cloud Infrastructure as a Service-løsninger, der kan konkurrere med AWS, Azure og Google Cloud.

Hvad kan Slesvig-Holsten og andre pionerer lære os?

Slesvig-Holsten er den første tyske delstat, der demonstrerer, hvordan man praktisk talt kan bryde fri af Microsoft-afhængigheden. Digitaliseringsminister Dirk Schröder annoncerede, at delstaten er "godt på vej til at have taget et stort skridt mod uafhængighed med hensyn til Office-applikationer inden september 2025.".

Specifikt betyder dette:

Udskiftning af Microsoft Office med LibreOffice
Udskiftning af Outlook med open source-løsninger som Thunderbird
Udskiftning af Microsoft Exchange med Open Exchange
Opbygning af vores egen, offentligt kontrollerede IT-infrastruktur

Slesvig-Holsten er ikke alene: Holland, Schweiz og Frankrig arbejder også på at mindske deres afhængighed af Microsoft. Holland, Tyskland og Frankrig samarbejder endda officielt om udviklingen af gratis kontorsoftware.

Schweiz tester allerede den tyske openDesk-løsning, mens Danmark har en intensiveret debat om sin afhængighed af Microsoft efter Trumps trusler mod Grønland.

Hvilken rolle spiller open source i digital suverænitet?

Open source-software danner grundlaget for ægte digital suverænitet. Open Source Business Alliance (OSBA) definerer digital suverænitet som "evnen til at kontrollere, designe, tilpasse og om nødvendigt erstatte og skifte fra én udbyder til en anden digitale systemer og infrastrukturer." Dette er kun muligt med open source-software.

De fire essentielle friheder ved open source-software gør dette muligt:

Forståelse af softwaren (indsigt i kildekoden)
At bruge disse uden begrænsning
At ændre dem
At omfordele dem i modificeret eller umodificeret form

Open source sikrer, at de anvendte systemer er uafhængigt verificerbare, tilpasselige og udskiftelige. I tider med geopolitisk uro er dette også "et spørgsmål om modstandsdygtighed og intern og ekstern sikkerhed for at forhindre kritiske fejl i økonomien og den offentlige forvaltning.".

Hvordan kan virksomheder og myndigheder agere?

Overgangen til europæiske, suveræne IT-løsninger kræver strategisk planlægning og politisk vilje. Forskellige tiltag er mulige:

På kort sigt: Virksomheder kan i det mindste stole på EU-servere, når de bruger eksisterende amerikanske cloududbydere, selvom der stadig er en restrisiko på grund af Cloud Act. Samtidig bør der indgås standardkontraktklausuler (SCC'er) med konsekvensanalyser af overførsler.
På mellemlang sigt: Den gradvise overgang til europæiske alternativer bør iværksættes. Mindre kritiske systemer kan migreres i første omgang for at indhente erfaringer.
På lang sigt: Målet bør være at opbygge en fuldt europæisk IT-infrastruktur ved hjælp af Gaia-X-principper og open source-software.
Udvikl exitstrategier: Virksomheder bør være forberedte, hvis EU's og USA's databeskyttelsesramme suspenderes, eller der opstår andre geopolitiske forstyrrelser.

Relateret til dette:

Europas cloud-fremtid: Mellem amerikansk dominans og suveræn innovation

Hvad betyder dette for Europas fremtid?

De seneste afsløringer om Microsofts manglende evne til at beskytte europæiske data mod amerikansk adgang markerer et vendepunkt i debatten om digital suverænitet. Europa står over for et valg: enten accepterer det permanent digital afhængighed af geopolitisk motiverede amerikanske virksomheder, eller også investerer det konsekvent i sine egne suveræne alternativer.

Infrastrukturen for europæisk datasuverænitet findes allerede med Gaia-X og dets praktiske anvendelser såsom Catena-X. De digitale clearinghuse er operationelle, europæiske cloududbydere er klar, og open source-alternativer til proprietær software er tilgængelige og modne.

Det, der mangler, er den politiske vilje til en konsekvent implementering. Så længe myndigheder og virksomheder fortsat er afhængige af amerikanske udbydere af bekvemmelighed eller opfattede omkostningsfordele, vil Europa forblive digitalt sårbart. Erkendelsen af, at Microsoft ikke kan garantere beskyttelsen af europæiske data, bør være det sidste vækkeur.

Europa må handle nu – ikke af anti-amerikansk vrede, men af rationel bekymring for sin egen digitale fremtid. Alternativet til Gaia-X og Catena-X er ikke status quo, men øget digital underkastelse af udenlandske love og interesser. Valget er vores.

Vejen til digital uafhængighed

Microsoft Frances erklæring under ed om, at virksomheden ikke kan garantere beskyttelsen af europæiske data mod amerikanske myndigheder, afslutter årelang falsk sikkerhed. Cloud Act og Patriot Act gør enhver teknisk sikkerhedsforanstaltning ineffektiv, hvis amerikanske myndigheder kræver adgang til data.

Gaia-X og Catena-X er ikke blot teoretiske koncepter, men operationelle realiteter, der tilbyder reelle alternativer til amerikansk cloud-dominans. Med digitale clearinghuse, over 200 medlemsvirksomheder i europæiske foreninger og voksende investeringer i suveræne infrastrukturer er det teknologiske fundament for digital uafhængighed lagt.

Overgangen til digital suverænitet er ikke længere en utopisk vision, men en praktisk nødvendighed. Europa har et valg: digital selvbestemmelse gennem egne løsninger eller permanent afhængighed af virksomheder, der i sidste ende er underlagt udenlandske love og interesser. Tiden for halvhjertede kompromiser er forbi – Europa må beslutte.

Din globale marketing- og forretningsudviklingspartner

☑️ Vores forretningssprog er engelsk eller tysk

☑️ NYT: Korrespondance på dit modersmål!

Konrad Wolfenstein

Jeg og mit team er glade for at stå til rådighed for dig som din personlige rådgiver.

Du kan kontakte mig ved at udfylde kontaktformularen her eller blot ringe til mig på +49 89 89 674 804 ( München) . Min e-mailadresse er: [email protected]

Jeg glæder mig til vores fælles projekt.