Brisante Enthüllung: Wie Microsoft europäische Beamte an die USA ausliefert

Gefährliche Abhängigkeit: Wenn US-Gesetze europäischen Datenschutz einfach aushebeln

TikTok vs. Microsoft: Die bittere Doppelmoral bei der Datensouveränität

Ein scheinbar technischer Vorgang entpuppt sich als handfester politischer Skandal: Microsoft hat interne Dokumente mit ungeschwärzten Namen europäischer Beamter an den US-Kongress übergeben. Betroffen sind ausgerechnet jene Regulatoren, die den strengen Digital Services Act (DSA) gegen US-Tech-Giganten durchsetzen sollen. Dieser Vorfall offenbart schonungslos die gefährliche Illusion der sogenannten europäischen „digitalen Souveränität“. Während europäische Regierungen und Behörden weiterhin auf „Sovereign Cloud“-Lösungen amerikanischer Hyperscaler vertrauen, beweist die rechtliche Realität: US-Gesetze wie der Cloud Act und simple parlamentarische Vorladungen hebeln europäische Schutzversprechen jederzeit aus. Der Fall zeigt eindrücklich, wie US-Technologiekonzerne im Zweifel als verlängerter Arm Washingtons agieren müssen – und zwingt Europa zur schmerzhaften Erkenntnis, dass echte Datensouveränität ohne eigene, unabhängige Infrastruktur eine reine Fiktion bleibt.

Europas digitale Souveränität ist kein Versprechen – sie ist eine Illusion

Im Mai 2026 enthüllte das niederländische Nachrichtenmagazin Vrij Nederland einen Vorfall, der zwar technisch nicht neu ist, aber politisch eine Sprengkraft besitzt, die kaum zu überschätzen ist. Microsoft hat interne Dokumente, die E-Mails, Sitzungsprotokolle und Einladungen enthielten, an eine Untersuchungskommission des US-amerikanischen Repräsentantenhauses weitergegeben – ohne dabei die Namen der darin erwähnten niederländischen Beamten zu schwärzen. Betroffen sind Mitarbeiter der niederländischen Behörde für Verbraucher und Märkte (ACM) sowie der niederländischen Datenschutzbehörde (AP), also genau jener Stellen, die mit der Durchsetzung des Digital Services Act (DSA) betraut sind.

Hier ist Präzision entscheidend, um eine vereinfachte Darstellung zu vermeiden: Entgegen erster medialer Einordnungen handelt es sich bei diesem Vorfall nicht um eine klassische Cloud-Act-Anfrage, bei der US-Behörden auf in der Cloud gespeicherte Kundendaten zugreifen. Die rechtliche Grundlage war eine Vorladung (Subpoena) des Repräsentantenhauses, die Microsoft zur Herausgabe seiner eigenen internen Geschäftskorrespondenz – also der Kommunikation von Microsofts eigenem Government-Relations-Team mit europäischen Behörden – verpflichtete. Das Versäumnis, die Namen der Beamten in diesen Dokumenten zu anonymisieren, war nach allem, was bekannt ist, kein expliziter Bestandteil der Anordnung, sondern eine unternehmerische Unterlassung Microsofts.

Diese technische Nuancierung ändert jedoch nichts an der fundamentalen politischen Brisanz des Vorfalls, sondern verschärft sie sogar. Denn die Botschaft lautet: Es braucht nicht einmal den Cloud Act in seiner vollen Wirkungsmacht, damit US-amerikanische politische Institutionen an die Identität europäischer Regulatoren gelangen, die an Gesetzen arbeiten, welche den USA ein politischer Dorn im Auge sind. Eine einfache parlamentarische Vorladung reicht aus.

Die niederländische Staatssekretärin Willemijn Aerdts bezeichnete die Weitergabe der Namen als „unerwünscht“ und suchte das Gespräch mit dem US-Botschafter Joe Popolo. Staatssekretär Eric van der Burg kündigte an, untersuchen zu lassen, auf welchem genauen Weg die Daten weitergegeben wurden. Diese Reaktionen bezeugen das institutionelle Unbehagen – bleiben aber weit hinter dem zurück, was der Ernst der Lage erfordern würde.

Das politische Motiv: DSA als Schlachtfeld zwischen Brüssel und Washington

Um den Vorfall vollständig zu verstehen, muss der geopolitische Kontext in den Blick genommen werden. Der Digital Services Act, der seit August 2023 für die größten Plattformen und seit Februar 2024 für alle digitalen Dienste gilt, verpflichtet Unternehmen wie Google, Meta und Microsoft zu strengeren Anforderungen bei der Inhaltsmoderation, der Transparenz bei Algorithmen und dem Schutz von Nutzern vor illegalen Inhalten. Die Trump-Administration und weite Teile des republikanisch dominierten Repräsentantenhauses betrachten dieses Gesetz als europäischen Zensurversuch, der US-Technologieunternehmen regulatorisch schikaniert und der freien Meinungsäußerung schadet.

Diese Feindseligkeit hatte bereits handfeste Folgen: Die USA verhängten ein Einreiseverbot gegen den ehemaligen EU-Kommissar Thierry Breton, den sie als „Vater“ des DSA bezeichnen. Reuters berichtete, dass Washington erwägt, Sanktionen gegen Individuen zu verhängen, die für die Durchsetzung des DSA verantwortlich sind. Vor diesem Hintergrund sind die nun identifizierten niederländischen Beamten nicht nur abstrakt in ihrer Privatsphäre verletzt worden – sie könnten theoretisch auf Grundlage dieser ungeschwärzten Daten auf eine Sanktionsliste gesetzt oder mit Einreiseverboten in die USA belegt werden.

Das Repräsentantenhaus forderte gezielt von Technologiekonzernen wie Google, Meta und Microsoft interne Korrespondenz über die Umsetzung europäischer Regulierungsvorhaben an, um die eigene Kritik am DSA mit Beweismaterial zu unterfüttern. Microsoft folgte dieser Anordnung – ein US-Konzern, der sich gegenüber dem eigenen Gesetzgeber beugen muss. Dass dabei die Namen europäischer Beamter ungeschwärzt blieben, mag fahrlässig oder bewusst kalkuliert gewesen sein; der Effekt ist derselbe.

Der Cloud Act: Anatomie eines Gesetzes, das Europa bis heute unterschätzt

Auch wenn der konkrete Vorfall in den Niederlanden nicht direkt unter den Cloud Act fällt, ist ein Verständnis dieses Gesetzes unerlässlich, um die strukturelle Gefährdungslage europäischer Institutionen vollständig zu erfassen. Der Clarifying Lawful Overseas Use of Data Act wurde am 23. März 2018 vom US-Kongress verabschiedet. Er erweiterte den Stored Communications Act von 1986 und stellte klar, was bis dahin umstritten war: US-Behörden – darunter FBI, DOJ und andere – können von US-amerikanischen Technologieunternehmen die Herausgabe elektronischer Daten verlangen, die sich in ihrem Besitz, ihrer Verwahrung oder unter ihrer Kontrolle befinden, unabhängig davon, ob diese Daten auf Servern in den USA oder in Europa gespeichert sind.

Der Auslöser für das Gesetz war ironischerweise ein von Microsoft selbst angestrengtes Verfahren. Das Unternehmen hatte sich geweigert, Daten eines Kunden herauszugeben, die auf einem Server in Irland lagen, und argumentiert, dass das damalige US-Recht keine extraterritoriale Wirkung entfalte. Der Supreme Court war kurz davor, in dieser Sache zu urteilen, als der Cloud Act das Verfahren gegenstandslos machte, indem er die extraterritoriale Reichweite explizit gesetzlich festschrieb. Der Versuch Microsofts, eine Rechtsschutzlücke zu nutzen, führte letztlich zur Schließung eben jener Lücke durch den Gesetzgeber.

Das Gesetz besitzt zwei wesentliche Wirkungsmechanismen. Erstens verpflichtet es US-Anbieter unmittelbar zur Datenherausgabe auf Anfrage der US-Behörden, sofern ein richterlicher Durchsuchungsbefehl vorliegt, der hinreichende Anhaltspunkte für eine Straftat belegt. Zweitens ermöglicht es den USA, bilaterale „Executive Agreements“ mit anderen Staaten zu schließen, um einen wechselseitigen direkten Datenzugriff zu etablieren – ein Rahmen, den die USA bereits mit dem Vereinigten Königreich und Australien umgesetzt haben. Für die EU existiert bislang kein solches Abkommen, was die asymmetrische Lage für europäische Nutzer von US-Cloud-Diensten zementiert.

Besonders problematisch sind die sogenannten Gag Orders: Behörden können Anbieter für bis zu 180 Tage verpflichten, betroffene Kunden nicht über laufende Datenanfragen zu informieren. Dies läuft dem DSGVO-Grundsatz der Transparenz fundamental zuwider und schafft ein strukturelles Compliance-Dilemma für US-Konzerne, die europäische Kunden bedienen.

Der fundamentale Rechtskonflikt zwischen Cloud Act und DSGVO

Die Kollision zwischen dem Cloud Act und der Datenschutz-Grundverordnung ist nicht subtil – sie ist ein offener, ungelöster Rechtskonflikt zwischen zwei konkurrierenden Jurisdiktionen. Die DSGVO, insbesondere Artikel 48, schreibt vor, dass Datenübermittlungen in Drittstaaten nur auf Grundlage eines internationalen Abkommens – wie eines Rechtshilfevertrags (MLAT) – oder eines anderen angemessenen Schutzmechanismus erfolgen dürfen. Der Cloud Act umgeht MLATs vollständig und erlaubt US-Behörden einen unilateralen, direkten Zugriff ohne Einbindung europäischer Gerichte oder Datenschutzbehörden.

Für betroffene Unternehmen entsteht daraus ein klassisches Compliance-Dilemma: Wer einer US-Behördenanordnung folgt, riskiert, gegen die DSGVO zu verstoßen, was Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach sich ziehen kann. Wer die US-Anordnung ablehnt, riskiert Sanktionen nach US-amerikanischem Recht und mögliche juristische Folgen in den USA. US-Cloud-Anbieter sitzen in diesem Widerspruch gefangen, und ihre europäischen Kunden tragen das Risiko, ohne selbst Partei des Verfahrens zu sein.

Das Europäische Datenschutzgremium (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben bereits 2019 in einer gemeinsamen Stellungnahme klargestellt, dass dem Cloud Act im Rahmen des EU-Datenschutzrechts sehr begrenzte Optionen zur Verfügung stehen, um Datenübermittlungen an US-Behörden rechtmäßig zu gestalten. Das Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II von 2020 verstärkte diese Einschätzung, indem es das Privacy-Shield-Rahmenwerk für ungültig erklärte und klarstellte, dass vertragliche Schutzklauseln allein ausländische Zugriffsrechte nicht aufheben können.

Microsofts öffentliche Versprechen und die Realität des Systemzwangs

Microsoft hat über Jahre hinweg eine konsistente Kommunikationsstrategie verfolgt: Man werde sich gegen ungerechtfertigte US-Regierungsanfragen rechtlich wehren, man habe dies in der Vergangenheit erfolgreich getan, und Kundendaten würden mit allen verfügbaren Mitteln geschützt. Brad Smith, Vizevorsitzender von Microsoft, erklärte gegenüber dem niederländischen Rundfunk NOS: „Ein US-Gerichtsbeschluss kann für Informationen gelten, die außerhalb der USA aufbewahrt werden – aber wir würden die Sache vor Gericht bringen.“

Diese Zusicherung klingt beruhigend, verschleiert jedoch die strukturellen Grenzen dieser Position. Beim aktuellen Vorfall handelte es sich nicht um eine Anfrage, gegen die Microsoft hätte vorgehen können und wollen. Das Unternehmen hat schlicht seiner eigenen parlamentarischen Vorladepflicht entsprochen und dabei keine besondere Sorgfalt bei der Anonymisierung von Drittparteien walten lassen. Zudem hat Microsoft in verschiedenen internationalen Kontexten eingeräumt, dass es letztlich keine absolute Garantie für die Datensouveränität europäischer Nutzer geben kann. Vor dem französischen Senat bestätigte Microsofts Rechtsberater Anton Carniaux unter Eid im Juni 2025: Er könne nicht garantieren, dass die Daten französischer Bürger niemals ohne Genehmigung der französischen Behörden an US-Stellen weitergeleitet würden. In einem Brief an schottische Polizeibehörden erklärte Microsoft, das Unternehmen „könne keine Datensouveränität für M365 garantieren“.

Diese Eingestehungen sind keine bloßen juristischen Absicherungsformeln. Sie beschreiben die strukturelle Realität, in der sich ein US-amerikanisches Technologieunternehmen befindet: Es unterliegt dem US-Recht, ganz gleich, wo seine Server stehen, ganz gleich, was seine Verträge mit europäischen Kunden versprechen.

Ein Präzedenzfall mit weitreichenden Konsequenzen: Der ICC-Vorfall

Der Niederländefall ist kein Einzelfall, sondern reiht sich in ein Muster ein, das beunruhigend ist. Ebenfalls im Jahr 2025 sperrte Microsoft im Auftrag der Trump-Administration das dienstliche E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshofs (IStGH/ICC), Karim Khan, nachdem Trump Sanktionen gegen ihn verhängt hatte. Der IStGH hat seinen Sitz in Den Haag – ausgerechnet in den Niederlanden. Microsoft setzte eine US-Regierungsanordnung um und entzog damit einer internationalen Rechtsinstitution die digitale Arbeitsfähigkeit ihres höchsten Repräsentanten.

Khan war danach gezwungen, auf den Dienst des Schweizer Anbieters Proton Mail umzusteigen. Die Reaktion europäischer Politiker und internationaler Rechtsexperten war entsetzt – aber das Muster ist klar: Ein US-amerikanischer Technologiekonzern ist ein verlängerter Arm der US-Außenpolitik, sobald die US-Regierung dies anordnet. Dienstleistungsverträge, Datenschutzzusagen und institutionelle Neutralität sind in diesem System sekundäre Erwägungen.

Microsoft erklärte, die Sperrung sei in Absprache mit dem ICC erfolgt und beziehe sich ausschließlich auf Khan als sanktionierter Einzelperson, nicht auf die Institution als Ganzes. Doch diese Differenzierung ignoriert die praktische Realität: Wenn die dienstliche Infrastruktur einer internationalen Behörde auf US-amerikanischen Cloud-Diensten basiert, ist diese Behörde gegenüber US-amerikanischen Sanktionsanordnungen strukturell schutzlos.

Unsere EU- und Deutschland-Expertise in Business Development, Vertrieb und Marketing - Bild: Xpert.Digital

Branchenschwerpunkte: B2B, Digitalisierung (von KI bis XR), Maschinenbau, Logistik, Erneuerbare Energien und Industrie

Mehr dazu hier:

• Xpert Wirtschaft Hub

Ein Themenhub mit Einblicken und Fachwissen:

• Wissensplattform rund um die globale wie regionale Wirtschaft, Innovation und branchenspezifische Trends
• Sammlung von Analysen, Impulsen und Hintergründen aus unseren Schwerpunktbereichen
• Ein Ort für Expertise und Informationen zu aktuellen Entwicklungen in Wirtschaft und Technologie
• Themenhub für Unternehmen, die sich zu Märkten, Digitalisierung und Brancheninnovationen informieren möchten

Das Doppelstandard-Argument: TikTok in Amerika vs. Microsoft in Europa

An dieser Stelle ist eine Betrachtung unausweichlich, die in der öffentlichen Debatte zu selten explizit gemacht wird. Die USA haben TikTok mit der Begründung verboten bzw. zu einem Zwangsverkauf gezwungen, dass ein chinesischer Mutterkonzern theoretisch in der Lage sein könnte, Nutzerdaten an die chinesische Regierung weiterzuleiten oder Inhalte zu zensieren. Die Maßnahme wurde mit nationaler Sicherheit begründet, und zwar auf Grundlage eines Risikoszenarios, nicht nachgewiesener Vorfälle.

Gleichzeitig zelebriert Europa als „Sovereign-Cloud-Durchbruch“, was strukturell dasselbe Modell ist, gegen das die USA bei TikTok vorgehen: ein ausländischer Konzern, der lokale Infrastruktur betreibt, aber der Gerichtsbarkeit seines Heimatlandes unterworfen bleibt. Der Unterschied ist nur, dass im europäischen Fall das „Ausland“ die USA sind – und dass Europa über keine vergleichbare strategische Konsequenz verfügt, diese Abhängigkeit zu benennen und zu beenden.

Die US-amerikanische Gesetzgebung betrachtet den Cloud Act als legitimes Strafverfolgungsinstrument. Chinas vergleichbare Möglichkeiten über Unternehmen wie Huawei oder ByteDance gelten indes als nationales Sicherheitsrisiko. Europa sitzt in beiden Fällen ohne eigene Hebelwirkung am Verhandlungstisch, weil es keine wettbewerbsfähige, eigenständige digitale Infrastruktur aufgebaut hat.

Europas Reaktion: Zwischen politischer Erkenntnis und struktureller Trägheit

Die europäischen Institutionen haben die Schwere der Lage erkannt – zumindest rhetorisch. Bereits im März 2025 forderte eine Mehrheit des niederländischen Parlaments die Regierung auf, die Migration sensibler Regierungsdaten auf US-Cloud-Dienste zu stoppen und eigene europäische Lösungen zu entwickeln. Eine Untersuchung des niederländischen Rechnungshofs zeigte, dass von 1.588 behördlichen Cloud-Diensten 700 auf offenen US-amerikanischen Plattformen basieren.

Im April 2026 – also noch vor dem Bekanntwerden des DSA-Beamten-Vorfalls – schloss die niederländische Regierung ein Rahmenabkommen mit dem deutschen Anbieter STACKIT (Schwarz Digits, der Digitalsparte des Lidl-Konzerns), das eine rechtlich konforme Datenspeicherung ausschließlich innerhalb der EU garantiert und Auditrechte für die Regierung umfasst. Der Vertrag enthält zudem eine Kündigungsklausel, falls die Kontrolle über die Dienste außerhalb des Europäischen Wirtschaftsraums übertragen wird. Dies war ein bedeutendes Signal, auch wenn es eher einem politischen Statement als einer kurzfristigen operativen Lösung ähnelt, denn die bestehende IT-Infrastruktur der niederländischen Behörden bleibt vorerst weitgehend in US-amerikanischer Hand.

Auf EU-Ebene vergab die Europäische Kommission im April 2026 Aufträge über bis zu 180 Millionen Euro für souveräne Cloud-Dienste an vier europäische Anbieter: ein luxemburgisch-französisches Konsortium aus Post Telecom, OVHcloud und CleverCloud, STACKIT, Scaleway sowie Proximus mit S3NS, Clarence und Mistral. Das Vergabeverfahren folgte einem eigens entwickelten Cloud-Souveränitäts-Rahmen mit acht Zielvorgaben, darunter Datenansiedelung, rechtliche Immunität gegenüber Drittstaaten und technologische Offenheit.

Gleichzeitig bereitet die EU-Kommission ein umfassendes Tech-Sovereignty-Paket vor, das voraussichtlich US-Cloud-Anbietern die Nutzung für sensible Daten des öffentlichen Sektors in Bereichen wie Gesundheitswesen, Justiz und Finanzen untersagen soll. Das Handelsblatt berichtete im Mai 2026 exklusiv über einen Entwurf, demzufolge bei der öffentlichen Auftragsvergabe künftig europäische KI- und Cloud-Anbieter bevorzugt werden sollen. US-Anbieter werden dabei nicht grundsätzlich ausgeschlossen, müssen aber für die höchsten Sicherheitsstufen außerhalb der Betrachtung bleiben – denn der Cloud Act macht eine absolute Souveränitätszertifizierung strukturell unmöglich.

Die „Sovereign Cloud“-Illusion: Wenn Verträge das Recht nicht ersetzen können

Eine der folgenreichsten Fehlannahmen in der europäischen Digitalpolitik der vergangenen Jahre war der Glaube, dass die physische Ansiedlung von Daten in europäischen Rechenzentren eines US-amerikanischen Anbieters einen ausreichenden Schutz vor US-Behördenzugriffen darstellt. Microsoft, Amazon und Google haben diese Fehlannahme mit erheblichem Marketingaufwand kultiviert: „EU Data Boundary“, „European Sovereign Cloud“, „Sovereign Controls“ – die Produkte haben klangvolle Namen, aber einen strukturellen Konstruktionsfehler.

Das grundlegende Problem: Souveränität folgt der Eigentümerschaft, nicht dem Serverstandort. Wer einen US-amerikanischen Cloud-Anbieter nutzt, unterliegt US-amerikanischer Gerichtsbarkeit – unabhängig davon, ob die Daten in Frankfurt, Amsterdam oder Seattle liegen. Microsoft-Vizechef Brad Smith bestätigte dies explizit: „A court order in the United States can apply to information held outside the US.“ Das Schrems-II-Urteil des EuGH hatte bereits 2020 klargestellt, dass Standardvertragsklauseln allein keine ausreichende Garantie bieten, wenn das Recht des Ziellandes ein vergleichbares Schutzniveau nicht gewährleistet.

Die von US-Hyperscalern angebotenen „Sovereign Cloud“-Lösungen adressieren teils legitime Bedürfnisse wie nationale Datenlokalisierung oder Compliance-Reporting, aber sie können das strukturelle Problem der US-Rechtszuständigkeit nicht beseitigen. External Key Management, Data-Residency-Policies und EU-Betriebsmodelle sind technische Maßnahmen, die das Zugriffsrisiko reduzieren, aber nicht auf null bringen können – wie die zitierten Gerichts- und Parlamentsaussagen von Microsoft selbst bestätigen.

Ökonomische Dimension: Was digitale Abhängigkeit kostet

Jenseits der datenschutzrechtlichen und politischen Dimension hat die strukturelle Cloud-Abhängigkeit Europas von US-Anbietern eine erhebliche ökonomische Komponente, die selten explizit beziffert wird. US-Anbieter beherrschen nach Schätzungen der EU-Kommission rund 70 Prozent des europäischen Cloud-Marktes, angeführt von Amazon und Microsoft. Diese Marktdominanz bedeutet nicht nur eine Abhängigkeit von Unternehmen, die fremdem Recht unterliegen, sondern auch einen massiven Kapitalabfluss aus Europa in die USA sowie eine strukturelle Unterentwicklung des europäischen Technologieökosystems.

Wer seine Daten einem US-Konzern anvertraut, finanziert dessen Forschungs- und Entwicklungsbudgets, liefert Trainingsdaten für KI-Systeme und stärkt die Marktmacht von Unternehmen, die als Hebel der US-Außenpolitik fungieren können. Die in europäischen Budgets eingeplanten Milliardenbeträge für Microsoft 365, Azure, AWS oder Google Cloud fließen in ein Wirtschaftssystem, das die Interessen Europas im Zweifelsfall nachrangig behandelt. Hinzu kommt, dass 44 Prozent europäischer Unternehmen fehlende Souveränitätsgarantien der Anbieter als zentrales Hindernis für die Cloud-Nutzung nennen, und 32 Prozent berichteten im vergangenen Jahr von einem „Souveränitätsvorfall“ – am häufigsten unerlaubte grenzüberschreitende Datenweitergaben.

Die europäische Digitalwirtschaft steht vor einem strukturellen Dilemma: Kurzfristig bieten US-Hyperscaler überlegene technologische Leistung, tiefere Integration und niedrigere Kosten als europäische Alternativen. Langfristig zementieren sie eine Abhängigkeit, die mit zunehmender geopolitischer Spannung zwischen der EU und den USA zu einem existenziellen Governance-Risiko für öffentliche Institutionen wird. Der Umstieg auf europäische Alternativen ist kein politischer Luxus, sondern eine Frage der institutionellen Integrität.

Technische und rechtliche Handlungsoptionen für europäische Institutionen

Für öffentliche Institutionen und Unternehmen, die tatsächlich Datensouveränität anstreben, statt sie nur zu simulieren, ergibt sich aus der Analyse ein klares Anforderungsprofil. Erstens ist die Nutzung von Cloud-Diensten europäischer Anbieter ohne US-Muttergesellschaft die einzige Möglichkeit, die Cloud-Act-Jurisdiktion strukturell auszuschließen. Anbieter wie STACKIT, OVHcloud, Scaleway, Hetzner oder IONOS (1&1) bieten in unterschiedlichem Umfang DSGVO-konforme Dienste an, die nicht dem US-Recht unterliegen.

Zweitens ermöglicht clientseitige Verschlüsselung mit europäisch verwalteten Schlüsseln eine zusätzliche Schutzschicht, die auch bei US-Anbietern theoretisch angewendet werden kann. Wenn Daten vor der Übertragung in die Cloud verschlüsselt werden und der Anbieter keinen Zugriff auf den Schlüssel hat, sind die Rohdaten für US-Behörden nicht lesbar – auch wenn der Anbieter die verschlüsselten Dateien herausgeben müsste. Drittens sollte jede Beschaffungsentscheidung eine vollständige Datenschutz-Folgenabschätzung (DSFA) beinhalten, die explizit das Cloud-Act-Risiko bewertet und dokumentiert.

Die technologische Entwicklung ermöglicht es zunehmend, Souveränität nicht durch Isolation, sondern durch Architektur zu realisieren: föderierte Systeme, Open-Source-Plattformen und Zero-Trust-Architekturen, die Kontrollmechanismen technisch durchsetzen, statt sie vertraglich zu versprechen.

Eine nüchterne Einschätzung: Was dieser Fall bedeutet und was er nicht bedeutet

Der Niederländefall ist ein wichtiger, aber in seiner spezifischen Mechanik oft falsch eingeordneter Vorfall. Es handelt sich nicht um eine klassische Cloud-Act-Anwendung, bei der Kundendaten aus einer Cloud herausgegeben werden. Es handelt sich um einen Fall, in dem ein US-Konzern seiner eigenen parlamentarischen Auskunftspflicht nachgekommen ist und dabei die Anonymisierung von Drittparteien versäumt hat. Das ist zunächst weniger dramatisch – und dann doch dramatischer, weil es zeigt, wie viele rechtliche Mechanismen der USA europäische Beamtendaten gefährden können, nicht nur der Cloud Act allein.

Was der Fall jedoch zweifelsfrei belegt: Microsoft operiert als US-amerikanisches Unternehmen unter US-amerikanischem Recht und wird es im Zweifel anwenden. Keine vertragliche Konstruktion, kein Serverstandort und keine souveräne Cloud-Marketingkampagne ändert daran etwas. Wer die Integrität von Behördendaten, sensiblen Unternehmensgeheimnissen oder personenbezogenen Daten wirklich schützen will, kann dies auf US-amerikanischen Infrastrukturen nicht mit absoluter Sicherheit tun.

Die Initiative Digitale Freiheit Bayern, Xpert.Digital und andere Stimmen, die seit Jahren auf diese Systemfragen hinweisen, haben mit ihrer Analyse strukturell recht behalten: Die Debatte wurde zu lange in die Komfortzone der Beschwichtigungen und Vertragsversprechen verschoben. Dieser Fall macht das strukturelle Dilemma sichtbar – und die politischen Konsequenzen, die aus echter digitaler Souveränität folgen müssten, unausweichlich.

Die Antwort auf die Frage, ob Microsoft damit eine „Spionage-Software“ darstellt, ist nuancierter: Das Unternehmen ist kein aktiver Spionageagent, der eigeninitiativ europäische Behörden überwacht. Es ist jedoch ein Unternehmen, das strukturell nicht in der Lage und möglicherweise auch nicht willens ist, europäische Datensouveränität gegen US-Regierungsanordnungen vollständig zu verteidigen. Das macht US-Cloud-Dienste für sensible öffentliche und staatliche Daten strukturell ungeeignet – unabhängig davon, wie man die Vokabel „Spionage“ juristisch oder moralisch definiert.

Perspektive: Europas digitale Souveränität als strategische Kernfrage

Europas digitale Abhängigkeit ist das Ergebnis von zwei Jahrzehnten politischer Kurzfristigkeit, mangelnder Investitionen in eigene Technologieökosysteme und einer ökonomischen Logik, die Effizienzgewinne über Souveränitätsrisiken stellte. Die Kommissionsvergabe von 180 Millionen Euro für souveräne Cloud-Dienste, das STACKIT-Rahmenabkommen der Niederlande und das angekündigte Tech-Sovereignty-Paket sind erste Schritte in die richtige Richtung – aber sie sind gemessen an der Größe des Problems und der Geschwindigkeit der geopolitischen Eskalation noch immer bescheiden.

Digitale Souveränität ist keine Forderung nach digitalem Nationalismus oder einer Abschottung von globalen Technologiemärkten. Sie ist die elementare Forderung, dass demokratische Institutionen die tatsächliche Kontrolle über die Systeme behalten, auf denen ihre Arbeit beruht – und dass diese Kontrolle nicht durch extraterritoriale Gesetzgebung eines Drittstaates unterlaufen werden kann. Solange Europa keine wettbewerbsfähigen Alternativen in kritischer Masse aufgebaut hat und öffentliche Stellen noch auf Tausenden von US-Cloud-abhängigen Systemen operieren, ist jede Zusicherung über Datensouveränität eine politische Fiktion – freundlich verpackt in Serverstandort-Marketingsprache.

Der Vorfall in den Niederlanden ist ein Weckruf. Ob Europa aufwacht, bleibt die entscheidende Frage.

Die Quasi-Inhouse-Lösung: Wie Xpert.Digital operative Lücken in B2B-Marketing und Vertrieb schließt – Smart Content-Driven Business - Bild: Xpert.Digital

Xpert.Digital ist ein von Konrad Wolfenstein geführter, datengetriebener B2B-Industry-Hub. Das Unternehmen agiert als externe Quasi-Inhouse-Lösung für Industriepartner und schließt operative Lücken in Marketing, Content und Vertrieb – ohne zusätzlichen Ressourcenaufbau auf Kundenseite.

Mehr dazu hier:

• Die Quasi-Inhouse-Lösung: Wie Xpert.Digital operative Lücken in B2B-Marketing und Vertrieb schließt – Smart Content-Driven Business

☑️ Unsere Geschäftssprache ist Englisch oder Deutsch

☑️ NEU: Schriftverkehr in Ihrer Landessprache!

Konrad Wolfenstein

Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 7348 4088 965 an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital

Ich freue mich auf unser gemeinsames Projekt.

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der Digitalstrategie und Digitalisierung

☑️ Ausbau und Optimierung der internationalen Vertriebsprozesse

☑️ Globale & Digitale B2B-Handelsplattformen

☑️ Pioneer Business Development / Marketing / PR / Messen