News

DSGVO-Albtraum: Microsoft unter Druck

Microsofts Eingeständnis zum Datenzugriff durch US-Behörden stellt KRITIS vor ein massives Problem.

Michael Meister

3 min read
DSGVO-Albtraum: Microsoft unter Druck

🔊Zum Podcast

Es wird offenbart, dass Microsofts Versprechen zum Schutz der Privatsphäre möglicherweise nicht mit der Realität übereinstimmen. Jüngste Eingeständnisse deuten darauf hin, dass US-Behörden auf in der EU gespeicherte Daten zugreifen können. Dies stellt insbesondere für kritische Infrastrukturen (KRITIS) und Behörden in Deutschland ein erhebliches Sicherheitsrisiko und ein rechtliches Dilemma dar.

Der Elefant im Raum: Microsofts widersprüchliche Zusicherungen

Auf der einen Seite präsentiert Microsoft in seiner offiziellen Datenschutzerklärung ein Bild von Sicherheit und Kontrolle für den Nutzer. Auf der anderen Seite stehen jedoch Aussagen, die dieses Bild empfindlich stören. Wie unter anderem bei Heise Online und in weiteren Berichten, die sich auf Aussagen von Microsoft-Vertretern beziehen, bestätigt wird, kann der Zugriff auf Daten in europäischen Rechenzentren durch US-Behörden nicht ausgeschlossen werden.

Diese Diskrepanz zwischen öffentlichem Versprechen und der rechtlichen Realität ist der Kern des Problems. Es geht nicht um die Frage, ob ein Zugriff möglich ist, sondern um die Bestätigung, dass er möglich ist, was die Grundlage für die Nutzung von Microsoft-Diensten in sensiblen Bereichen fundamental infrage stellt.

Die rechtliche Krux: CLOUD Act und das Ende der digitalen Souveränität

Um die Brisanz der Lage zu verstehen, muss man einen Blick auf die US-Gesetzgebung werfen. Der entscheidende Faktor ist hier der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz verpflichtet US-amerikanische Unternehmen – und damit auch deren Tochtergesellschaften weltweit –, Daten an US-Behörden herauszugeben, unabhängig vom Speicherort der Daten. Steht ein Server also in Frankfurt oder Dublin, unterliegt das betreibende US-Unternehmen dennoch den Anweisungen aus den USA.

Versuche, einen rechtssicheren Rahmen für den Datentransfer zwischen der EU und den USA zu schaffen, sind in der Vergangenheit mehrfach gescheitert. Sowohl das "Safe Harbor"-Abkommen als auch der Nachfolger "Privacy Shield" wurden vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Das aktuelle EU-U.S. Data Privacy Framework wird von Datenschützern wie Max Schrems und seiner Organisation noyb als unzureichend kritisiert, da es das Kernproblem nicht löst: US-Überwachungsgesetze wie FISA 702, die eine anlasslose Überwachung von Nicht-US-Bürgern erlauben, bleiben unangetastet. Für EU-Bürger existiert somit in den USA kein effektiver Rechtsschutz gegen eine solche Überwachung.

Warum das für KRITIS und Behörden ein Problem ist

Für Kritische Infrastrukturen (KRITIS) – dazu zählen Sektoren wie Energie, Transport (z.B. Flugsicherung oder Schiebenverkehr), Wasser, Gesundheit, Finanzen und staatliche Verwaltung – ist die Integrität und Vertraulichkeit ihrer Daten von nationaler Bedeutung. Werden sensible Informationen über die Steuerung von Kraftwerken, Patientendaten oder Verwaltungsgeheimnisse auf einer Plattform gespeichert, die dem Zugriff ausländischer Behörden unterliegt, entsteht ein unkalkulierbares Risiko.

Die digitale Souveränität ist hier kein abstraktes Konzept, sondern eine strategische Notwendigkeit. Die Kontrolle über die eigene IT-Infrastruktur und die darauf verarbeiteten Daten ist essenziell für die Aufrechterhaltung der staatlichen Handlungsfähigkeit und der öffentlichen Sicherheit. Ein Vertrauensverhältnis zu einem Cloud-Anbieter, der diese Kontrolle nicht garantieren kann, ist daher per se problematisch.

Gibt es einen Ausweg? Europäische und deutsche Alternativen

Die Situation ist heikel, aber nicht hoffnungslos. Es existieren europäische und deutsche Cloud-Anbieter, die nicht der US-Gesetzgebung unterliegen und somit eine höhere Datensouveränität versprechen können. Ein wichtiger Punkt ist hierbei, dass es nicht ausreicht, wenn ein US-Anbieter lediglich ein Rechenzentrum in Europa betreibt – der Hauptsitz des Unternehmens ist entscheidend.

Folgende Anbieter bieten echte Alternativen:

  • Bundescloud: Eine exklusive, private Cloud für die Bundesverwaltung
  • IONOS Cloud: Als deutsches Unternehmen unterliegt IONOS der DSGVO und ist nicht vom CLOUD Act betroffen.
  • Open Telekom Cloud: Ein Angebot der Deutschen Telekom, das ebenfalls auf Datensicherheit und DSGVO-Konformität in europäischen Rechenzentren setzt.
  • regiocom SE: Dieser Anbieter wirbt explizit mit einer BSI-zertifizierten und CLOUD-Act-resistenten Infrastruktur für KRITIS-Betreiber und den öffentlichen Sektor.

Diese und weitere europäische Anbieter ermöglichen es, die Vorteile der Cloud zu nutzen, ohne die Kontrolle über die eigenen Daten an eine ausländische Rechtsordnung abzugeben.

Fazit

Die Bestätigung, dass US-Behörden auf Daten in Microsofts EU-Rechenzentren zugreifen können, ist mehr als nur eine beunruhigende Nachricht; sie ist eine direkte Bedrohung für die digitale Souveränität Deutschlands. Für Betreiber kritischer Infrastrukturen und Behörden muss dies ein Weckruf sein, die Abhängigkeit von US-Hyperscalern kritisch zu hinterfragen und strategisch auf europäische Alternativen zu setzen. Wahre Datensicherheit erfordert rechtliche und technische Kontrolle, die unter der aktuellen Konstellation nicht mehr gewährleistet ist.