Europas Daten sind bei Microsoft, Google & Co. nicht sicher.
Ein Microsoft-Anwalt hat es unter Eid zugegeben. Die US-Regierung kann auf europäische Daten zugreifen – auch wenn sie auf Servern in Deutschland oder Frankreich liegen. Was viele schon vermuteten, ist jetzt offiziell bestätigt. Und es ist Zeit, Konsequenzen zu ziehen.
Was ist eigentlich digitale Souveränität?
Digitale Souveränität bedeutet die unabhängige Kontrolle über die eigene digitale Infrastruktur – Kommunikation, Software, Datenspeicherung. Wer digital souverän ist, ist nicht von einem ausländischen Anbieter abhängig und kann selbst bestimmen, wer Zugriff auf seine Daten hat und nach welchem Recht diese behandelt werden.
Klingt vernünftig. Klingt eigentlich selbstverständlich. Ist es aber für europäische Behörden, Unternehmen und Institutionen in den meisten Fällen nicht, da diese sich seit Jahrzehnten abhängig von vermeintliche einfach zu nutzenden und preisgünstigen US-Anbietern gemacht haben.
Der Microsoft-Anwalt und die unbequeme Wahrheit
Am 11. Juni 2025 sagte der Rechtsverantwortliche von Microsoft für Frankreich, M. Anton Carniaux, vor dem französischen Senat aus – und zwar unter Eid. Er musste einräumen, dass er nicht garantieren kann, dass Daten französischer Bürger und Unternehmen vor einem stillen Zugriff durch US-Behörden geschützt sind. Selbst dann nicht, wenn die Daten auf Servern innerhalb Europas liegen.
Das ist kein Versehen, keine Ausnahme, kein technisches Problem. Das ist das Ergebnis amerikanischen Rechts, dem Microsoft als US-amerikanisches Unternehmen unterliegt. Die Gerichtsbarkeit geht der Geografie vor. Wo der Server steht, ist irrelevant. Wem das Unternehmen gehört und welchem Recht es unterworfen ist – das ist die entscheidende Frage, denn der Homeland Security und der Cloud-Act ermöglichen US-Behörden den Zugriff auf Server von US-Firmen, völlig egal in welchem Land diese stehen.
Das ICC-Konto: Als Microsoft zum Vollstrecker wurde
Damit das nicht nur abstrakt bleibt: Im Jahr 2025 stellte Karim Khan, der Chefankläger des Internationalen Strafgerichtshofs (IStGH) in Den Haag, fest, dass er keinen Zugriff mehr auf sein E-Mail-Konto in Outlook hatte. Microsoft hatte es gesperrt – aufgrund einer Durchführungsverordnung von Donald Trump, der den IStGH wegen Haftbefehlen gegen israelische Politiker sanktioniert hatte.
Das Ergebnis: Der Chefankläger eines der wichtigsten internationalen Gerichte Europas konnte keine E-Mails mehr lesen oder schreiben. Seine Bankkonten wurden eingefroren. Die tägliche Arbeit des Gerichts wurde empfindlich gestört.
Und Microsoft hatte in dieser Situation keine Wahl. Nicht unbedingt weil das Unternehmen es so wollte (Microsoft dürfte klar sein, dass man auf diese Weise Kunden sehr schnell los wird) – sondern weil es als US-Unternehmen rechtlich gezwungen war, der Anordnung zu folgen.
Die Open-Source Business Alliance (OSBA) kommentierte diesen Vorfall als beispiellos und zog daraus eine klare Schlussfolgerung: Europa braucht digitale Souveränität. Man könne sich nicht auf Unternehmen verlassen, die nicht der europäischen Gerichtsbarkeit unterstehen.
Sovereign Cloud – ein Marketingbegriff, weiter nichts
Microsoft, Google und Amazon bieten sogenannte „Sovereign Clouds“ an. Die Botschaft: Eure Daten bleiben in Europa, ihr seid sicher. Das ist, freundlich ausgedrückt, irreführend, unfreundlich ausgedrückt: gelogen.
Denn das Problem ist nicht, wo die Daten physisch liegen. Das Problem ist, wer den Schlüssel hat. Solange ein amerikanisches Unternehmen die Infrastruktur betreibt, gilt amerikanisches Recht – und US-Behörden können unter bestimmten Voraussetzungen Zugriff verlangen. Der Microsoft-Anwalt vor dem französischen Senat hat das unter Eid bestätigt.
Das ist die rechtliche Realität.
Und trotzdem nutzen Behörden massenhaft US-Dienste
Was das Ganze noch frustrierender macht: Es mangelt Europa nicht an Alternativen. Es gibt hervorragende europäische Anbieter für E-Mail, Kollaboration, Cloud-Speicherung, Videokonferenzen. Viele davon sind datenschutzfreundlich, Open Source und technisch auf Augenhöhe – oder sogar besser.
Trotzdem nutzen europäische Ministerien, Schulen, Gerichte und Behörden weiterhin massenhaft Microsoft Outlook, Microsoft Teams, Google Workspace, Zoom. Jahrzehnte des Vendor-Lock-Ins haben ihre Spuren hinterlassen. Die Integration ist tief, die Migration aufwändig, und der politische Wille fehlte lange.
Das ändert sich gerade. Frankreich plant, Teams und Zoom bis 2027 durch eine souveräne Lösung zu ersetzen. Die Stadt Lyon stellt die Microsoft-Nutzung ein. Das dänische Ministerium für Digitalisierung will die Abhängigkeit reduzieren. Das deutsche Bundesland Schleswig-Holstein ersetzt Microsoft Office und die gesamte Email-Infrastruktur durch Open-Source-Lösungen.
Das sind keine riesigen Sprünge, aber es sind Schritte in die richtige Richtung.
Was jetzt zu tun wäre
Neue Gesetze braucht es dafür nicht zwingend. Was es braucht, ist politisches Commitment – und konkrete Entscheidungen bei der öffentlichen Beschaffung.
Zwei Punkte wären besonders wirksam:
„Europäisch“ als Voraussetzung bei der Technologiebeschaffung. Wenn öffentliche Einrichtungen bei Neuanschaffungen grundsätzlich europäische Anbieter bevorzugen, fließt Geld in eine europäische Technologiebranche – und kommt über Steuern zum Teil zurück. Gleichzeitig wächst eine Industrie, die kompetitiv ist, nicht nur regional.
Vendor-Lock-In strukturell verhindern. Jede eingesetzte Plattform muss interoperabel und austauschbar sein. Ausstiegsstrategien gehören von Anfang an in den Vertrag. Die aktuelle Situation mit Microsoft ist das Lehrbuchbeispiel dafür, was passiert, wenn man das über Jahrzehnte versäumt.
Fazit
Es gibt eine bekannte Aussage aus der Tech-Branche: Es gibt keine Cloud, nur die Computer anderer Leute. Die Frage ist, wessen Computer es sind – und wessen Recht dort gilt.
Wer seine Daten bei einem amerikanischen Anbieter lagert, hat keine echte Kontrolle darüber. Nicht zwingend wegen schlechter Absichten der Anbieter (auch wenn die Chefs der Big Tech-Konzerne allesamt Trump-Fans sind), sondern schlicht wegen der US-Rechtslage. Das ist keine Theorie mehr, das ist durch eine Aussage unter Eid belegt.
Europa hat die Dienste, die es bräuchte. Was fehlt, ist die Konsequenz, sie auch zu nutzen und die Bereitschaft zum Umstieg.