In der öffentlichen Debatte über transatlantische Datentransfers geht es selten so direkt zu wie kürzlich im französischen Senat. Auf die Frage, ob Microsoft garantieren könne, dass keine personenbezogenen Daten französischer Behörden an US-Behörden weitergegeben würden, musste der Chefjustiziar von Microsoft France passen. Laut seiner Aussage in der Anhörung vom 10.06.2025 gebe es keine Gewähr, dass die USA keine Daten von Microsoft erhalten, bzw. dass die Daten vor einer entsprechenden Weitergabe geschützt sind. Unter Eid soll er erklärte haben, dass eine solche Zusicherung nicht möglich sei und räumte damit ein, was Datenschützer schon lange vermuten. Der Zugriff US-amerikanischer Behörden auf Daten europäischer Nutzer bleibt ein Risiko, das sich mit den bisherigen Mitteln nicht vollständig ausschließen lässt.
Weiterlesen: Keine Gewähr, dass die USA keine Daten von Microsoft erhaltenAnhörung vor dem französischen Senat des Parlaments
Anlass der Befragung war ein konkreter Fall, bei dem es um die Datenverarbeitung im Rahmen eines Vertrags zwischen Microsoft und der französischen Zentralbeschaffungsstelle (Union des Groupements d’Achats Publics (UGAP)) ging. Die Anhörung von Chefjustiziar von Microsoft France, Anton Carniaux, fand vor dem französischen Senat des Parlaments statt. Die gesuchte Antwort hat eine weit über den Einzelfall hinausgehende Bedeutung. Denn sie trifft den Kern der Kontroverse, wie belastbar vertragliche, technische oder organisatorische Zusicherungen von US-Tech-Anbietern sind, wenn es um den Schutz europäischer Daten vor dem Zugriff US-amerikanischer Behörden geht.
Drittlands-Datentransfer in die USA
Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass für die Übertragung von personenbezogenen Daten von der EU in einen Drittstaat ein im Vergleich mit den europäischen Vorgaben angemessenes Datenschutzniveau gewährleistet sein muss. Die EU-Kommission kann hierfür einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen. Dann ist der internationale Datentransfer unter erleichterten Bedingungen möglich ist. Zurzeit gibt es solche Vereinbarungen mit 16 Ländern, darunter auch die USA.
Der Europäische Gerichtshof (EuGH) hat in den vergangenen Jahren wiederholt Angemessenheitsbeschlüsse für die USA gekippt. So erklärte er 2015 Safe-Harbour und 2020 Privacy-Shield für ungültig. Das seit 2023 geltende transatlantische Datenabkommen, offiziell bekannt als EU-US Data Privacy Framework (DPF), soll nun eine stabile Grundlage für den Austausch personenbezogener Daten zwischen der EU und den USA schaffen.
Bedenken gegenüber US-Cloud-Anbietern
Doch die Kritik besteht weiter. Ein zentraler Grund dafür ist das aus europäischer Sicht unzureichende Datenschutzniveau in den Vereinigten Staaten. Kritik bestand insbesondere im Hinblick auf die weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von Nicht-US-Bürgern. Gerade beim Einsatz von Cloud-Diensten wie Microsoft, wird eine Fülle an personenbezogenen Daten verarbeitet, die teilweise einen hohen Schutz erfordern. Problematisch ist insbesondere, dass die breite Masse von Unternehmen das in den USA sitzende Unternehmen in seine Prozesse eingebunden hat. Oft können in solchen Fällen auch technische Mittel wie Confidential Cloud Computing nicht helfen. Konkret ermöglichen etwa der CLOUD Act sowie der Patriot Act, dem Staat Auskunftsrechte gegenüber Cloud-Betreibern. Zuletzt haben auch neue Erlässe vom Präsidenten die Situation aus Sicht von Datenschützern verschlechtert.
Kein Verlass auf isolierte Cloud-Infrastrukturen
Die Antwort von Microsofts Chefjustiziar auf die Frage der Sicherheit von US-Cloud-Diensten soll nun eindeutig ausgefallen sein. Man werde zwar jede Anfrage auf ihre formale Korrektheit prüfen und kein vages oder unbegründetes Auskunftsersuchen akzeptieren, aber sobald eine formell korrekte Anfrage vorliegt, bestehe keine Möglichkeit zur Ablehnung. Die Daten müssten dann herausgegeben werden. Eine vorherige Zustimmung französischer Behörden könne Microsoft nicht garantieren. Die Betroffenen wolle man zwar grundsätzlich informieren, müsse dafür aber erst die Freigabe durch die US-Behörden abwarten. Eine gegensätzliche Garantie unter Eid könne er nicht abgeben. Jedoch habe Carniaux auch erklärt, dass es zu einer solchen Situation bislang noch nicht gekommen sei.
Souveränitätsversprechen der Alternativen
Um das Vertrauen europäischer Kunden zu gewinnen, werben verschiedene Cloud-Anbieter mit Konzepten für „digitale Souveränität“. Microsoft etwa bietet Sovereign Clouds an, bei denen die Infrastruktur beim Kunden selbst betrieben wird. Die Kontrolle der Systeme verbleibe dabei beim Kunden, während Wartung und Support weiterhin über lokale Microsoft Mitarbeitende abgewickelt werden.
Auch Amazon AWS möchte eine Alternative liefern. Sie setzen auf technische Isolierung und den Aufbau unabhängiger Tochtergesellschaften in Europa. Ob diese Maßnahmen im Ernstfall vor Datenzugriffen durch US-Behörden schützen, ist bislang fraglich.
Das zeigt auch ein wachsendes Interesse an europäischen Anbietern, die vollständig außerhalb der US-Rechtsordnung operieren. Insbesondere Cloud-Dienste wie Nextcloud, die ihre Infrastruktur in Europa betreiben und auf maximale Transparenz setzen, verzeichnen eine steigende Nachfrage.
Fazit
Das Eingeständnis von Microsoft France, keine Gewähr dafür liefern zu können, dass die USA keine Daten von Microsoft erhalten, markiert eine wichtige Bestätigung. US-Anbieter sind nicht in der Lage, europäischen Unternehmen rechtsverbindlich zu garantieren, dass ihre Daten vor Zugriff durch US-Behörden geschützt sind. Unternehmen, die personenbezogene Daten in der Cloud verarbeiten sollten sich nicht auf Marketingversprechen verlassen. Hier braucht es einer fachkundigen Beratung durch Externe Datenschutzbeauftragte, um eine maßgeschneiderte und datenschutzkonforme Lösung zu finde.
