{"id":313754,"date":"2025-07-22T06:54:27","date_gmt":"2025-07-22T04:54:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313754"},"modified":"2025-07-26T06:54:59","modified_gmt":"2025-07-26T04:54:59","slug":"souveraene-eu-cloud-debakel-microsoft-kann-us-zugriff-nicht-verhindern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/22\/souveraene-eu-cloud-debakel-microsoft-kann-us-zugriff-nicht-verhindern\/","title":{"rendered":"Souver\u00e4ne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern"},"content":{"rendered":"

[English<\/a>]Da hat Microsoft einen riesigen Luftballon in Bezug auf europ\u00e4ische Cloud-Angebote aufgeblasen. Rechenzentren in Europa, eine \"europ\u00e4ische Microsoft-Cloud\" f\u00fcr digitale Souver\u00e4nit\u00e4t. Und dann musste ein Microsoft Manager unter Eid eingestehen, dass dies nicht vor dem Zugriff der US-Beh\u00f6rden sch\u00fctzt.<\/p>\n

<\/p>\n

\"\"Seit US-Pr\u00e4sident Trump die Welt aufmischt, sehen sich auch gro\u00dfe Cloud-Anbieter wie Microsoft st\u00fcrmischem Fahrwasser ausgesetzt. In Europa ist seit einigen Monaten eine Diskussion \u00fcber die digitale Souver\u00e4nit\u00e4t entbrannt. Speziell Beh\u00f6rden m\u00fcssen einen Exit von Microsoft 365 und der Azure-Cloud andenken bzw. wollen diesen sogar umsetzen. Ich hatte beispielsweise im Beitrag Digitale Souver\u00e4nit\u00e4t: EU-Cloud; Microsoft Exit in d\u00e4nischem Digitalministerium; wahre Kosten von Windows 11<\/a>\u00a0dar\u00fcber berichtet. Die digitale Abh\u00e4ngigkeit von Microsoft soll reduziert werden.<\/p>\n

Getriggert wurde diese Entwicklung in Europa auch durch die schon lange schwelende Diskussion um Datenschutz und Datensicherheit. Das EU-US-Abkommen Transatlantic Data Transfer Privacy Agreement, von Ex-US-Pr\u00e4sident Biden per Erlass aufgestellt, steht ja unter Pr\u00e4sident Donald Trump unter Beschuss und k\u00f6nnte durch den EuGH fallen. Dann w\u00e4re der Datentransfer in die US-Cloud durch EU-Organisationen und -Firmen unzul\u00e4ssig.<\/p>\n

Schalmeien-Kl\u00e4nge zur EU-Cloud<\/h2>\n

Mitte Juni 2025 hatte ich dann im Beitrag Microsofts \"souver\u00e4ne\" Cloud angek\u00fcndigt \u2013 \"wei\u00dfe Salbe\"?<\/a> \u00fcber die von Microsoft propagierte souver\u00e4ne Microsoft Sovereign Cloud berichtet. Dazu hatte Microsoft nachfolgendes sch\u00f6ne Bildchen ver\u00f6ffentlicht.<\/p>\n

\"Microsoft<\/p>\n

Es soll eine Sovereign Public Cloud und eine Sovereign Private Cloud, sowie nationale Souveign Clouds (z.B. Delos von der SAP-Tochter) geben. Europ\u00e4ischen Kunden werden Unternehmensdienste wie Microsoft Azure, Microsoft 365, Microsoft Security und Power Platform, gehostet in\u00a0allen bestehenden europ\u00e4ischen Rechenzentrumsregionen\u00a0angeboten.<\/p>\n

Die Sovereign Public Cloud stellt laut Microsoft sicher, dass die Daten der Kunden in Europa bleiben, dem europ\u00e4ischen Recht unterliegen, der Betrieb und der Zugriff durch europ\u00e4isches Personal kontrolliert werden und die Verschl\u00fcsselung unter der vollen Kontrolle der Kunden steht.<\/p>\n

Microsoft kann US-Zugriff nicht verhindern<\/h2>\n

Wer n\u00fcchtern auf die Rechtslage schaut, dem muss klar sein, dass Daten, die irgendwie von US-Firmen verarbeitet werden, im Zweifelsfall durch den US Cloud-Act<\/a> (Clarifying Lawful Overseas Use of Data Act) im Zugriff der US-Beh\u00f6rden stehen. Sp\u00e4testens wenn es hart auf hart kommt, m\u00fcsste Microsoft die Daten herausgeben.<\/p>\n

\"Offenbarungseid\" ist der veraltete Begriff f\u00fcr die Verm\u00f6gensauskunft eines Schuldners,\u00a0 der vor der Zahlungsunf\u00e4higkeit steht und seine Schulden nicht begleichen kann. Genau diese Metapher kam mir bei nachfolgendem Vorgang in den Sinn.<\/p><\/blockquote>\n

Im franz\u00f6sischen Senat wurde Anton Carniaux, Head of Corporate, External & Legal Affairs bei\u00a0Microsoft France, am 10. Juni 2025 unter Eid zur Souver\u00e4nen Microsoft Cloud befragt. Das Protokoll l\u00e4sst sich unter\u00a0Audition de MM. Anton Carniaux, directeur des affaires publiques et juridiques, et Pierre Lagarde, directeur technique du secteur public, de Microsoft France<\/a> nachlesen.<\/p>\n

Carniaux versucht erst einmal die tollen Microsoft-Leistungen darzustellen, um jedem Einzelnen die Mittel f\u00fcr die Digitale Transformation mittels Cloud-Computing mit der Azure-Plattform, k\u00fcnstliche Intelligenz (KI) mit Copilot, Cybersicherheit, IT-Hardware oder auch Tools f\u00fcr die Zusammenarbeit wie Office an die Hand zu geben. Alles sei auf die Bed\u00fcrfnisse der Kunden zugeschnitten und entspreche den franz\u00f6sischen regulatorischen Anforderungen.<\/p>\n

Der Berichterstatter des franz\u00f6sischen Senats, Dany Wattebled, wollte den Microsoft Mann aber nicht davon kommen lassen und hat konkret nachgehakt. Er verweist darauf, dass Microsoft dem US Cloud Act unterliegt, der den US-Beh\u00f6rden den Zugriff auf in Europa gespeicherte Daten erm\u00f6glicht. Wie k\u00f6nne Microsoft mit konkreten Beweisen garantieren, dass die Daten der franz\u00f6sischen \u00f6ffentlichen Verwaltungen, die \u00fcber die Vertr\u00e4ge der Union des groupements d'achats publics (Ugap) verwaltet werden, niemals an die US-Regierung weitergeleitet werden? Der Berichterstatter solle ausf\u00fchren, welche genauen technischen und rechtlichen Mechanismen diesen Zugriff verhindern?<\/p>\n

Und genau da musste Microsofts Anton Carniaux seinen \"Offenbarungseid\" leisten: Er versucht es zwar noch im Ungef\u00e4hren, und f\u00fchrt aus, dass man sich aus rechtlicher Sicht gegen\u00fcber den Kunden, auch aus dem \u00f6ffentlichen Sektor, vertraglich verpflichtet, sich den Forderungen der US-Regierung zu widersetzen, wenn sie unbegr\u00fcndet sind. Wenn\u00a0sich dies als unm\u00f6glich erweist, antworte Microsoft in \u00e4u\u00dferst pr\u00e4zisen und begrenzten F\u00e4llen. Aber es w\u00e4re noch nie passiert, wie man den Transparenzberichten entnehmen k\u00f6nne.<\/p>\n

Der Berichterstatter lie\u00df Anton Carniaux so nicht davon kommen und fragte, ob er unter Eid vor dem Ausschuss versichern k\u00f6nne, dass die Daten franz\u00f6sischer B\u00fcrger, die Microsoft \u00fcber die Ugap anvertraut wurden, aufgrund einer Anordnung der US-Regierung niemals ohne die ausdr\u00fcckliche Zustimmung der franz\u00f6sischen Beh\u00f6rden weitergegeben werden?<\/p>\n

Die Antwort von Anton Carniaux lautete \"Nein, das kann ich nicht garantieren, aber auch hier gilt, dass dies noch nie vorgekommen ist.\" Damit sind wir genau wieder am Start bzw. bei dem, was kleine Lichter wie meine Wenigkeit, schon immer vertreten haben: Im Zweifelsfall wird Microsoft die Daten an die US-Regierung herausgeben m\u00fcssen, egal, wo diese Daten liegen. Und die US-Regierung kann Microsoft zu Stillschweigen verdonnern, so dass der Betroffene nicht einmal informiert werden darf. Microsoft k\u00f6nnte h\u00f6chsten zum Modell des Kanarienvogels greifen und in seinen Transparenzberichten schreiben \"es wurden keine Daten nach dem Cloud-Act herausgegeben\". Bleibt diese Mitteilung aus, lie\u00dfe dies den Schluss zu, dass die Datenherausgabe durch die US-Regierung erzwungen wurde.<\/p>\n

Die souver\u00e4ne EU-Cloud mit US-Firmen ist juristisch tot<\/h2>\n

Mit diesem Eingest\u00e4ndnis des Microsoft Managers ist die \"Souver\u00e4ne EU-Cloud\" unter Einbeziehung von US-Firmen wie Microsoft aus juristischer Sicht tot (war es eigentlich immer schon), sofern der Anspruch, dass Daten von EU-B\u00fcrgern niemals ohne Zustimmung an die US-Regierung gehen d\u00fcrfen, Bestand haben soll (eigentlich die Basis f\u00fcr Souver\u00e4nit\u00e4t).<\/p>\n

heise spricht von einem\u00a0Souver\u00e4nit\u00e4ts-Debakel: Zwischen \"blumiger Werbung\" und \"keine Panik\"<\/a> und l\u00e4sst sowohl Dennis Kipker (Professor f\u00fcr IT-Sicherheitsrecht an der Hochschule Bremen) als auch Stefan Hessel (Rechtsanwalt von reuschlaw, die den Einsatz von Microsoft 365 oder Azure begr\u00fcnden) mit Einsch\u00e4tzungen zu Wort kommen. In diesem Artikel<\/a> zeichnet man die Versuche von AWS und Microsoft nach, zu retten, was eigentlich nicht mehr zu retten ist.<\/p>\n

Legt man die obigen Erkenntnisse zugrunde, sind auch die europ\u00e4ischer Cloud-L\u00f6sungen wie die Delos-Cloud der gleichnamigen SAP-Tochter Delos, die auf der Microsoft Cloud basiert, gestorben. Genau diese Delos-Cloud soll ja bei deutschen Beh\u00f6rden und Regierungen breit als \"souver\u00e4ne Cloud\" eingesetzt werden, um pers\u00f6nliche Daten von deutschen B\u00fcrgern zu verarbeiten.<\/p>\n

Und auch die EU-spezifische Cloud der CISPE ist ist abseits der technischen Probleme (siehe Microsoft rei\u00dft Termin f\u00fcr EU-spezifische Cloud-Version<\/a>) so gut wie tot, wenn man auf Souver\u00e4nit\u00e4t der Daten besteht. Auch die neuesten Zuckungen zu Gaia-X (siehe hier<\/a>) d\u00fcrften nichts an der Situation \u00e4ndern. Es bliebt spannend, speziell, wenn demn\u00e4chst die angedrohten US-Z\u00f6lle auf europ\u00e4ische Handelsg\u00fcter erhoben werden und die EU mit Gegenma\u00dfnahmen reagieren muss.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosofts \"souver\u00e4ne\" Cloud angek\u00fcndigt \u2013 \"wei\u00dfe Salbe\"?<\/a>
\nMicrosoft startet \"European Security Program\"<\/a>
\nMicrosoft rollt \"EU Data Boundary\" f\u00fcr die Europa-Cloud ab 2023 aus<\/a>
\nDigitale Souver\u00e4nit\u00e4t: Microsoft sperrt Zugriffe auf E-Mail\/Cloud willk\u00fcrlich (Ankl\u00e4ger Strafgerichtshof, chinesische Uni-Einrichtung)<\/a>
\nKrass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a>
\nMicrosoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a><\/p>\n

IT-Planungsrat: Sondersitzung soll Weg f\u00fcr Delos-Cloud-Vertr\u00e4ge frei machen<\/a>
\nDelos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesl\u00e4ndern<\/a>
\nEnkel-f\u00e4hige \"Digitale Souver\u00e4nit\u00e4t\" statt Abh\u00e4ngigkeit von der Delos-Cloud<\/a>
\nEuropas und Deutschlands fatale digitale Abh\u00e4ngigkeit von den USA r\u00e4cht sich<\/a>
\nMicrosoft rei\u00dft Termin f\u00fcr EU-spezifische Cloud-Version<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Da hat Microsoft einen riesigen Luftballon in Bezug auf europ\u00e4ische Cloud-Angebote aufgeblasen. Rechenzentren in Europa, eine \"europ\u00e4ische Microsoft-Cloud\" f\u00fcr digitale Souver\u00e4nit\u00e4t. Und dann musste ein Microsoft Manager unter Eid eingestehen, dass dies nicht vor dem Zugriff der US-Beh\u00f6rden sch\u00fctzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-313754","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313754"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313754\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}