In einer Anhörung vor der französischen Senatskommission am 10. Juni 2025 räumte Microsoft unter Eid ein, dass US-Behörden Zugriff auf EU-Daten erhalten könnten. Anton Carniaux, Justiziar von Microsoft France, wurde direkt gefragt, ob er unter Eid garantieren könne, dass die Daten französischer Bürger:innen in Microsofts Cloud niemals ohne Zustimmung der französischen Behörden an US-Behörden übermittelt würden. Carniaux antwortete klar: „Non, je ne peux pas le garantir“ – „Nein, ich kann es nicht garantieren“ (senat.fr).
Diese Aussage unterstreicht, dass trotz Speicherung in EU-Rechenzentren kein absoluter Schutz vor US-Zugriff besteht. Hintergrund der Frage war der US CLOUD Act, der es amerikanischen Behörden ermöglicht, von US-Unternehmen die Herausgabe von Daten zu verlangen, selbst wenn diese Daten sich auf Servern in Europa befinden. Carniaux bestätigte in der Anhörung, dass Microsoft im Falle einer rechtmässig begründeten US-Anordnung letztlich verpflichtet ist, die angeforderten Daten herauszugeben (senat.fr). Diese Offenheit markiert einen Wendepunkt in der Diskussion um digitale Souveränität Europas, da Microsoft hier offiziell die Grenzen seiner Datenschutz-Zusagen aufzeigte.
Microsoft-Zugriff auf EU-Daten bestätigt sich in weiteren offiziellen Quellen
Ähnlich deutliche Eingeständnisse finden sich in anderen offiziellen Quellen. So geht aus freigegebenen Behördendokumenten in Grossbritannien hervor, dass Microsoft selbst gegenüber Behörden einräumt, die vollständige Datensouveränität nicht garantieren zu können. In einem Schreiben an schottische Polizeibehörden wurde bestätigt: “Microsoft have advised that they cannot guarantee data sovereignty for M365” – Microsoft hat mitgeteilt, dass es keine Garantie für die Datensouveränität bei Microsoft 365 übernehmen kann (whatdotheyknow.com).
Dies bedeutet praktisch, dass Daten trotz lokalem Hosting nicht absolut vor ausländischem Zugriff geschützt werden können. Solche Eingeständnisse erschienen im Zuge einer Freedom of Information-Anfrage, welche die Korrespondenz zwischen Microsoft und Behörden offenlegte. Dieser Aspekt verdeutlicht, dass internationale Datenabfragen eine konstitutive Komponente der Cloud-Architektur amerikanischer Anbieter:innen darstellen (computerweekly.com). Microsofts Jurist:innen gestanden demnach in Gesprächen zu, dass selbst bei vertraglichen und technischen Vorkehrungen ein Restrisiko durch globale Support- und Backup-Prozesse bleibt, bei denen EU-Daten ausserhalb des vorgesehenen Gebiets verarbeitet werden (computerweekly.com). Diese offiziellen Schriftstücke untermauern Microsofts Aussage, dass eine hundertprozentige Garantie gegen ausländischen (insb. US-)Zugriff nicht gegeben werden kann.
US CLOUD Act: Rechtsgrundlage für extraterritorialen Datenzugriff
Die rechtliche Grundlage für diese Zugriffsmöglichkeiten ist der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz von 2018 verpflichtet US-Dienstleister:innen, auf Anordnung auch Daten herauszugeben, die ausserhalb der USA gespeichert sind.
Laut einem Whitepaper des US-Justizministeriums besagt das Gesetz ausdrücklich, dass Unternehmen unter US-Gerichtsbarkeit unabhängig vom Speicherort der Daten zur Herausgabe verpflichtet werden können (justice.gov). Wörtlich heisst es, Firmen könnten per US-Gerichtsbeschluss gezwungen werden, Daten offenzulegen, „unabhängig davon, ob sich diese Daten innerhalb oder ausserhalb der Vereinigten Staaten befinden“. Diese extraterritoriale Reichweite des US-Rechts wurde auch im französischen Senat hervorgehoben – dort wurde klar festgestellt, dass Microsoft als US-Unternehmen dem CLOUD Act unterliegt, der US-Behörden den Zugriff auf in Europa gespeicherte Daten erlaubt (senat.fr).
Microsoft betont zwar, man habe robuste Prüfprozesse und wehre unbegründete Anfragen ab, doch bei rechtlich gültigen, präzisen US-Anordnungen muss das Unternehmen Daten herausgeben (senat.fr). Selbst fortgeschrittene Massnahmen wie Datenverschlüsselung und regionale Speicherung bieten letztlich keinen absoluten Schutz, da US-Gesetze im Zweifel Vorrang haben – ein Umstand, den Microsoft nun öffentlich anerkennen musste. Dies zeigt exemplarisch, wie real der Microsoft US-Zugriff auf EU-Daten ist – und warum Unternehmen ihre Cloud-Strategie jetzt überdenken sollten.
Mit dem richtigen Partner Risiken massiv begrenzen
Absolute Sicherheit vor Zugriffen aus dem Ausland kann derzeit niemand garantieren – doch Unternehmen sind nicht machtlos. Mit der richtigen Cloud-Architektur und einem starken Partner lassen sich Risiken massiv begrenzen, ohne auf die Vorteile moderner Cloud-Plattformen zu verzichten.
CONVOTIS hat als erfahrener IT-Dienstleister bereits zahlreiche Projekte im Bereich sichere, souveräne Cloud-Lösungen umgesetzt. Unsere Rechenzentren befinden sich ausschliesslich in der Schweiz, Deutschland und innerhalb der EU – wir kombinieren höchste Sicherheitsstandards mit der Skalierbarkeit und Performance, die Sie von den grossen Hyperscalern gewohnt sind.
Wir entwickeln mit Ihnen eine Cloud-Strategie, die Ihre Datenhoheit stärkt – ohne Abstriche bei Sicherheit oder Performance. Kontaktieren Sie uns jetzt für eine persönliche Beratung und erfahren Sie, wie wir Ihre Cloud-Zukunft souverän und sicher gestalten können.