Microsoft bestätigt unter Eid: US-Behörden können trotz EU-Cloud auf europäische Daten zugreifen

Warum steht Microsoft plötzlich wieder in der Kritik bezüglich des Datenschutzes?

Die jüngsten Entwicklungen rund um Microsoft haben das Thema Datensouveränität in Europa wieder in den Fokus gerückt. Im Juni 2025 gab Anton Carniaux, der Chefjustiziar von Microsoft France, in einer öffentlichen Anhörung vor dem französischen Senat eine Erklärung ab, die das Fundament der bisherigen Sicherheitsversprechen des US-Konzerns erschütterte.

Auf die direkte Frage des Berichterstatters Dany Wattebled, ob er unter Eid garantieren könne, “dass die Daten französischer Bürger, die Microsoft über UGAP anvertraut wurden, niemals auf Anordnung der amerikanischen Regierung, ohne die ausdrückliche Zustimmung der französischen Behörden, weitergegeben werden”, antwortete Carniaux unmissverständlich: “Nein, das kann ich nicht garantieren, aber es ist noch nie zuvor passiert”.

Diese Aussage wiegt besonders schwer, da sie unter Eid erfolgte und damit die rechtliche Bindung für Microsoft verdeutlicht. Die UGAP (Union des Groupements d’Achats Publics) ist eine zentrale Beschaffungsstelle für den französischen öffentlichen Sektor, die Schulen, Rathäuser und kommunale Verwaltungen mit IT-Diensten versorgt. Carniaux erklärte weiter, dass Microsoft nur die Möglichkeit habe, Informationsanfragen der US-Regierung abzulehnen, wenn diese formal “unbegründet” seien.

Passend dazu:

• Sichere Cloud und digitale Souveränität in Europa: Sind Microsofts Investitionen in Europa datensicher?

Welche rechtlichen Grundlagen zwingen Microsoft zur Datenherausgabe?

Die rechtliche Verpflichtung zur Datenherausgabe basiert auf mehreren US-amerikanischen Gesetzen, die Microsoft als US-Unternehmen binden. Der Patriot Act von 2001 und der darauf aufbauende Cloud Act von 2018 verpflichten alle US-Cloudanbieter zur Zusammenarbeit mit der US-Regierung, der NSA und anderen US-Geheimdiensten – auch im Ausland.

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) entstand nach einem jahrelangen Rechtsstreit zwischen Microsoft und der US-Regierung. Die US-Behörden forderten Zugang zu Daten eines US-Bürgers, die auf Microsoft-Servern in Irland gespeichert waren. Microsoft weigerte sich zunächst unter Berufung auf irisches und EU-Datenschutzrecht, musste aber letztendlich kapitulieren, als der Kongress 2018 den Cloud Act verabschiedete.

Der Cloud Act gewährt US-Behörden weitreichende Befugnisse, von US-Unternehmen die Herausgabe von Daten zu verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind. Dies bedeutet, dass auch Daten in europäischen Rechenzentren von Microsoft, Amazon oder Google den US-Gesetzen unterliegen.

Andreas Mundt, Chef des Bundeskartellamts, warnte bereits im Juli 2025 vor diesen Abhängigkeiten: “Es gibt bereits politische Eingriffe in die digitale Infrastruktur in den USA. Das demonstriert, welche Macht auf der anderen Seite steht und wie abhängig wir von US-Unternehmen sind”. Als Beispiel nannte er eine Anweisung von US-Präsident Trump an Microsoft, dem Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan, den Zugang zu seinem Microsoft-Mailkonto zu entziehen.

Was bedeutet dies für Microsofts europäische Datenschutzversprechen?

Die Enthüllungen der französischen Senatsanhörung stellen Microsofts jahrelange Bemühungen um europäische Akzeptanz in Frage. Das Unternehmen hatte massive Investitionen in seine “EU Data Boundary” getätigt – ein Projekt, das über zwei Jahre dauerte und im Februar 2025 abgeschlossen wurde. Diese Initiative sollte sicherstellen, dass Daten europäischer Kunden ausschließlich in EU-Rechenzentren gespeichert und verarbeitet werden.

Microsoft-Präsident Brad Smith hatte noch im April 2025 vollmundig verkündet, man werde “die US-Regierung notfalls verklagen, um den Zugang europäischer Kunden zu seinen Diensten zu schützen”. Smith, der stellvertretende Vorsitzende und oberste Justiziar von Microsoft, erklärte auf einem Treffen des Atlantic Council in Brüssel, der Anbieter werde “jede behördliche Anordnung in den USA zur Einstellung von Clouddiensten für europäische Kunden gerichtlich anfechten”.

Diese Zusicherungen erweisen sich jedoch als wertlos angesichts der rechtlichen Realitäten. Selbst wenn Microsoft gegen behördliche Anordnungen klagen würde, müsste das Unternehmen diese “im Zweifel trotzdem sofort umsetzen – im besten Falle wird dann nach Monaten oder Jahren entschieden, dass es doch unrechtmäßig war”, wie Experten kritisieren. Zudem ist nicht einmal garantiert, dass Microsoft betroffene Kunden über erfolgte Datenzugriffe informieren darf oder will.

Wie hat der Fall des Internationalen Strafgerichtshofs die Problematik verdeutlicht?

Der Fall des Internationalen Strafgerichtshofs (ICC) illustriert die praktischen Auswirkungen dieser Abhängigkeiten drastisch. Nach US-Sanktionen gegen den ICC verlor Chefankläger Karim Khan den Zugriff auf sein Microsoft-basiertes E-Mail-Konto. Die Associated Press berichtete, dass Khan auch seine Bankkonten in Großbritannien verloren habe und zum Schweizer E-Mail-Anbieter Proton Mail wechseln musste.

Microsoft bestritt zwar, die Dienste für den ICC “physisch gesperrt” zu haben, konnte aber nicht erklären, wer dann für die Sperrung verantwortlich war. Diese Verwirrung verdeutlicht die Intransparenz bei derartigen Eingriffen. Peter Ganten, Vorsitzender der Open-Source Business Alliance (OSBA), bezeichnete Microsofts Handlungen als “beispiellos in diesem Kontext und mit dieser Tragweite”. Die Sanktionen gegen den ICC, die von den USA angeordnet und von Microsoft umgesetzt wurden, müssten “ein Weckruf für alle Verantwortlichen für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen” sein.

Passend dazu:

• Raus aus der US-Cloud: Souveräne SaaS-Angebote im Überblick + Handlungsempfehlungen

Welche Alternativen bietet Europa mit Gaia-X?

Angesichts dieser offenkundigen Risiken rücken europäische Alternativen wie Gaia-X in den Fokus. Gaia-X ist eine 2019 von Deutschland und Frankreich initiierte Initiative zum Aufbau einer “leistungs- und wettbewerbsfähigen Dateninfrastruktur für Europa”. Das Projekt zielt darauf ab, eine föderierte, sichere Dateninfrastruktur zu schaffen, in der Daten gemäß europäischen Werten von Transparenz, Offenheit, Datenschutz und Sicherheit ausgetauscht werden können.

Das Kernprinzip von Gaia-X ist die Bewahrung der Datensouveränität: Dateninhaber sollen die volle Kontrolle über ihre Daten behalten und frei entscheiden können, mit wem sie diese teilen oder den Zugriff entziehen. Im Gegensatz zu den zentralisierten Strukturen der US-Hyperscaler basiert Gaia-X auf einem dezentralen, föderierten System aus vernetzten Knoten, das auf offenen Standards beruht.

Mit den Gaia-X Digital Clearing Houses (GXDCH) ist die Initiative mittlerweile in eine operative Phase eingetreten. Diese Clearing Houses fungieren als Kontrollzentren für Gaia-X-Dienste und zertifizieren die Einhaltung der Gaia-X-Standards. Bereits vier IT-Anbieter haben ihre ersten Clearing Houses gestartet: Aruba in Italien, T-Systems in Deutschland sowie Aire Networks und Arsys in Spanien. Weitere Anbieter wie OVH, Exaion, Orange, Proximus, A1.digital, KPN und Pfalzkom haben die Einrichtung zusätzlicher Clearing Houses angekündigt.

Passend dazu:

• Industry-X: Förderung der europäischen wie globalen Logistik und Supply Chain durch Industrie-Initiativen Catena-X und Gaia-X

Was ist Catena-X und warum ist es wichtig?

Catena-X stellt die erste große Anwendung der Gaia-X-Prinzipien dar und zeigt, wie europäische Datensouveränität in der Praxis funktionieren kann. Das Catena-X Automotive Network entwickelt ein kollaboratives, dezentrales Daten- und Service-Ökosystem entlang der gesamten Automobil-Wertschöpfungskette.

Das Projekt wurde mit über 100 Millionen Euro vom Bundesministerium für Wirtschaft und Klimaschutz gefördert und läuft von August 2021 bis Juli 2024. Mehr als 80 Unternehmen, hauptsächlich aus der deutschen Automobil- und IT-Industrie, arbeiten in diesem Projekt zusammen. Das Bundeskartellamt hat grünes Licht für diese Kooperation gegeben und betonte, dass “richtig aufgesetzte Initiativen wie die vorliegende vielversprechend sind, da sie helfen können, den Wettbewerb bei Cloud-Services in Zukunft zu stärken”.

Catena-X ermöglicht es Unternehmen – von Herstellern über mittelständische Zulieferer bis hin zu Recycling-Betrieben -, von den Vorteilen datenbasierter Verwaltung zu profitieren, während sie gleichzeitig durch europäisches Recht in Bezug auf Datensouveränität und Datenschutz geschützt werden. Das System basiert auf den Gaia-X-Konzepten und -Prinzipien und erweitert diese je nach Bedarf.

Zu den Kernwerten von Catena-X gehören:

• Vertrauensvolle digitale Identität: Verifizierte und einzigartige Unternehmensidentitäten
• Interoperabilität: Einheitliche Open-Source-basierte Standards und KITs
• Selbstsouveränität: Dezentrale Architektur mit voller Kontrolle über die eigenen Daten
• Branchengovernance: Ein globales Betriebsmodell und Framework

KI-Gamechanger: Die flexibelste KI-Plattform - Maßgeschneiderte Lösungen, die Kosten senken, Ihre Entscheidungen verbessern und die Effizienz steigern

Unabhängige KI-Plattform: Integriert alle relevanten Unternehmensdatenquellen

• Diese KI-Plattform interagiert mit allen spezifischen Datenquellen
  • Von SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox und vielen andere Daten-Management-Systmen
• Schnelle KI-Integration: Maßgeschneiderte KI-Lösungen für Unternehmen in Stunden oder Tagen, anstatt Monaten
• Flexible Infrastruktur: Cloud-basiert oder Hosting im eigenen Rechenzentrum (Deutschland, Europa, freie Standortwahl)

• Höchste Datensicherheit: Einsatz in Anwaltskanzleien ist der sichere Beweis
• Einsatz über die unterschiedlichsten Unternehmensdatenquellen hinweg
• Wahl der eigenen bzw. verschiedenen KI-Modelle (DE,EU,USA,CN)

Herausforderungen, die unsere KI-Plattform löst

• Mangelnde Passgenauigkeit herkömmlicher KI-Lösungen
• Datenschutz und sichere Verwaltung sensibler Daten
• Hohe Kosten und Komplexität individueller KI-Entwicklung
• Mangel an qualifizierten KI-Fachkräften
• Integration von KI in bestehende IT-Systeme

Mehr dazu hier:

• KI-Integration einer unabhängigen und Datenquellen-übergreifenden KI-Plattform für alle Unternehmensbelange

Welche konkreten Vorteile bieten europäische Alternativen?

Die europäischen Cloud-Alternativen bieten mehrere entscheidende Vorteile gegenüber den US-Hyperscalern:

• Rechtliche Sicherheit: Europäische Anbieter unterliegen ausschließlich europäischem Recht und sind nicht den extraterritorialen Gesetzen wie dem Cloud Act oder Patriot Act unterworfen. Dies bedeutet, dass Datenzugriffe nur auf Basis europäischer Rechtshilfeabkommen erfolgen können.
• DSGVO-Konformität: Da die Daten nicht die EU verlassen, sind die strengen Anforderungen der Datenschutz-Grundverordnung automatisch erfüllt. Dies eliminiert das Risiko von DSGVO-Verstößen, die Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes zur Folge haben können.
• Datensouveränität: Europäische Lösungen ermöglichen es Unternehmen und Behörden, die vollständige Kontrolle über ihre Daten zu behalten. Bei Open-Source-basierten Lösungen können sogar der Quellcode überprüft und bei Bedarf Anpassungen vorgenommen werden.
• Wirtschaftliche Unabhängigkeit: Die Nutzung europäischer Alternativen reduziert die Abhängigkeit von wenigen marktbeherrschenden US-Konzernen und stärkt die europäische Wirtschaft. Geld fließt nicht ab, sondern blverbleibt im europäischen Wirtschaftskreislauf.

Warum scheitern bisherige Bemühungen um digitale Souveränität?

Trotz jahrelanger politischer Bekenntnisse zur digitalen Souveränität hinkt Europa bei der praktischen Umsetzung deutlich hinterher. Die Gründe dafür sind vielfältig:

• Fehlende politische Konsequenz: Obwohl die Bundesregierung digitale Souveränität zum strategischen Ziel erklärt hat, fehlt eine “konsequente und strategische Ausrichtung auf Open Source Software”, kritisiert die Open Source Business Alliance. Stattdessen werden weiterhin massive Verträge mit US-Anbietern abgeschlossen.
• Organisatorische Defizite: Der französische Senat stellte fest, dass “der Staat nicht in der Lage war, sich auf die Höhe der Herausforderungen zu begeben, wenn es darum ging, die nationale Souveränität zu gewährleisten”. Drei große staatliche Akteure – die Direction des Achats de l’État (DAE), die Direction des Affaires Juridiques (DAJ) und das Commissariat Général au Développement Durable (CGDD) – hätten alle versagt, eine kohärente Steuerungsstrategie durchzusetzen.
• Bestehende Abhängigkeiten: Microsoft hält in Deutschland einen Marktanteil von knapp 70 Prozent bei Betriebssystemen und Office-Software. Diese historisch gewachsenen Abhängigkeiten erschweren den Wechsel zu europäischen Alternativen erheblich.
• Mangelnde Bekanntheit europäischer Lösungen: Obwohl qualitativ hochwertige europäische Alternativen existieren, sind diese “weniger bekannt” und oft nicht so preisgünstig oder nutzerfreundlich wie die etablierten US-Angebote.

Passend dazu:

• Die digitale Abhängigkeit Europas von den USA: Cloud-Dominanz, verzerrte Handelsbilanzen und Lock-in-Effekte

Welche europäischen Alternativen gibt es bereits?

Entgegen weit verbreiteter Annahmen existieren bereits heute zahlreiche konkurrenzfähige europäische Alternativen zu den dominierenden US-Diensten. Die Website European-Alternatives.eu bietet eine umfassende Übersicht über europäische Pendants zu Microsoft Office, Google, Gmail, Microsoft Teams, Dropbox und weiteren Diensten.

• E-Mail und Kommunikation: Mit ProtonMail aus der Schweiz, Posteo aus Deutschland und Tutanota gibt es überzeugende Alternativen zu Gmail und Outlook. Diese bieten oft sogar bessere Sicherheitsfeatures wie End-zu-End-Verschlüsselung.
• Cloud-Speicher: Europäische Anbieter wie Proton Drive, pCloud aus der Schweiz, Internxt aus Italien und OVHcloud aus Frankreich konkurrieren erfolgreich mit amerikanischen Lösungen.
• Bürosoftware: Deutsche Unternehmen wie Nextcloud und Ionos entwickeln gemeinsam eine Bürosoftware-Alternative zu Microsoft Office, die auf Open-Source-Technologie basiert. Bereits etabliert ist LibreOffice als Alternative zu Microsoft Office.
• Messaging und Kollaboration: Mit Threema aus der Schweiz gibt es eine sichere Alternative zu WhatsApp, die kontinuierlich steigende Nutzerzahlen verzeichnet.
• Cloud-Infrastruktur: Deutsche Anbieter wie IONOS, OVHcloud aus Frankreich und weitere europäische Provider bieten Cloud-Infrastructure-as-a-Service-Lösungen an, die mit AWS, Azure und Google Cloud konkurrieren können.

Was können Schleswig-Holstein und andere Vorreiter lehren?

Schleswig-Holstein zeigt als erstes deutsches Bundesland, wie der Ausstieg aus der Microsoft-Abhängigkeit praktisch umsetzbar ist. Digitalisierungsminister Dirk Schrödter kündigte an, dass das Bundesland “auf dem besten Weg ist, in Bezug auf die Office-Anwendung bis zum September 2025 einen großen Schritt in die Unabhängigkeit gemacht zu haben”.

Konkret bedeutet dies:

• Ersatz von Microsoft Office durch LibreOffice
• Ersatz von Outlook durch Open-Source-Lösungen wie Thunderbird
• Ersatz von Microsoft Exchange durch Open Exchange
• Aufbau eigener, öffentlich kontrollierter IT-Infrastruktur

Schleswig-Holstein ist nicht allein: Auch die Niederlande, die Schweiz und Frankreich arbeiten an der Reduzierung ihrer Microsoft-Abhängigkeit. Die Niederlande, Deutschland und Frankreich kooperieren sogar offiziell bei der Entwicklung freier Office-Software.

Die Schweiz testet bereits die deutsche openDesk-Lösung, während Dänemark nach Trumps Grönland-Drohungen eine verstärkte Debatte über die Microsoft-Abhängigkeit führt.

Welche Rolle spielt Open Source für die digitale Souveränität?

Open Source Software bildet das Fundament echter digitaler Souveränität. Die Open Source Business Alliance (OSBA) definiert digitale Souveränität als “die Fähigkeit, Kontrolle über die eigenen digitalen Systeme und Infrastrukturen ausüben zu können, diese gestalten, anpassen und im Zweifel auch austauschen und von einem Anbieter zu einem anderen wechseln zu können”. Dies sei nur mit Open Source Software möglich.

Die vier essentiellen Freiheiten von Open Source Software ermöglichen es:

• Die Software zu verstehen (Einblick in den Quellcode)
• Diese uneingeschränkt zu verwenden
• Sie zu verändern
• Sie in veränderter oder unveränderter Form weiterzuverbreiten

Open Source gewährleistet, dass verwendete Systeme unabhängig überprüfbar, gestaltbar und austauschbar sind. In Zeiten geopolitischer Turbulenzen ist dies auch “eine Frage der Resilienz und der inneren und äußeren Sicherheit, um kritische Ausfälle in Wirtschaft und Verwaltung zu verhindern”.

Wie können Unternehmen und Behörden handeln?

Der Umstieg auf europäische, souveräne IT-Lösungen erfordert strategische Planung und politischen Willen. Verschiedene Maßnahmen sind möglich:

• Kurzfristig: Unternehmen können bei bestehenden US-Cloud-Providern zumindest auf EU-Server setzen, auch wenn ein Restrisiko durch den Cloud Act bestehen bleibt. Gleichzeitig sollten Standard Contractual Clauses (SCCs) mit Transfer Impact Assessments abgeschlossen werden.
• Mittelfristig: Der schrittweise Wechsel zu europäischen Alternativen sollte eingeleitet werden. Dabei können zunächst weniger kritische Systeme migriert werden, um Erfahrungen zu sammeln.
• Langfristig: Der Aufbau einer vollständig europäischen IT-Infrastruktur unter Nutzung von Gaia-X-Prinzipien und Open-Source-Software sollte angestrebt werden.
• Exit-Strategien entwickeln: Unternehmen sollten für den Fall vorbereitet sein, dass das EU-US Data Privacy Framework suspendiert wird oder andere geopolitische Verwerfungen auftreten.

Passend dazu:

• Europas Cloud-Zukunft: Zwischen US-Dominanz und souveräner Innovation

Was bedeutet dies für die Zukunft Europas?

Die jüngsten Enthüllungen über Microsofts Unfähigkeit, europäische Daten vor US-Zugriff zu schützen, markieren einen Wendepunkt in der Debatte um digitale Souveränität. Europa steht vor der Wahl: Entweder es akzeptiert eine dauerhafte digitale Abhängigkeit von geopolitisch motivierten US-Konzernen, oder es investiert konsequent in eigene, souveräne Alternativen.

Die Infrastruktur für europäische Datensouveränität existiert bereits mit Gaia-X und deren praktischen Anwendungen wie Catena-X. Die Digital Clearing Houses sind operational, europäische Cloud-Anbieter stehen bereit, und Open-Source-Alternativen zu proprietärer Software sind verfügbar und ausgereift.

Was fehlt, ist der politische Wille zur konsequenten Umsetzung. Solange Behörden und Unternehmen aus Bequemlichkeit oder vermeintlichen Kostenvorteilen weiterhin auf US-Anbieter setzen, bleibt Europa digital verwundbar. Die Erkenntnis, dass Microsoft keine Garantien für den Schutz europäischer Daten geben kann, sollte der finale Weckruf sein.

Europa muss jetzt handeln – nicht aus anti-amerikanischem Ressentiment, sondern aus rationaler Sorge um die eigene digitale Zukunft. Die Alternative zu Gaia-X und Catena-X ist nicht der Status quo, sondern eine zunehmende digitale Unterwerfung unter fremde Gesetze und Interessen. Die Wahl liegt bei uns.

Der Weg zur digitalen Unabhängigkeit

Die unter Eid abgegebene Erklärung von Microsoft France, dass der Konzern keinen Schutz europäischer Daten vor US-Behörden garantieren kann, beendet Jahre der Scheinsicherheit. Der Cloud Act und der Patriot Act machen jede technische Sicherheitsmaßnahme zunichte, wenn US-Behörden Datenzugriff fordern.

Gaia-X und Catena-X sind nicht nur theoretische Konzepte, sondern operative Realitäten, die echte Alternativen zur US-amerikanischen Cloud-Dominanz bieten. Mit den Digital Clearing Houses, über 200 Mitgliedsunternehmen in europäischen Verbänden und wachsenden Investitionen in souveräne Infrastrukturen ist die technische Grundlage für digitale Unabhängigkeit gelegt.

Der Übergang zur digitalen Souveränität ist keine utopische Vision mehr, sondern eine praktische Notwendigkeit. Europa hat die Wahl: digitale Selbstbestimmung durch eigene Lösungen oder dauerhafte Abhängigkeit von Unternehmen, die letztendlich fremden Gesetzen und Interessen unterworfen sind. Die Zeit für halbherzige Kompromisse ist vorbei – Europa muss sich entscheiden.

☑️ Unsere Geschäftssprache ist Englisch oder Deutsch

☑️ NEU: Schriftverkehr in Ihrer Landessprache!

 

Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital

Ich freue mich auf unser gemeinsames Projekt.

 

 

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der Digitalstrategie und Digitalisierung

☑️ Ausbau und Optimierung der internationalen Vertriebsprozesse

☑️ Globale & Digitale B2B-Handelsplattformen

☑️ Pioneer Business Development / Marketing / PR / Messen