Warum Big Tech das Versprechen auf Datensouveränität in der EU nicht einhalten kann

Souveräne Cloud von Microsoft? Warum Versprechen und Realität weit auseinander liegen

Microsoft-CEO Satya Nadella bemüht sich, EU-Kunden mit neuen „souveränen“ Cloud-Angeboten Sicherheit und Kontrolle zuzusichern. In einem aktuellen LinkedIn-Post betont er, dass Microsoft Wahlfreiheit, Datenschutz und digitale Souveränität für europäische Nutzer gewährleisten wolle.

Die Absicht mag glaubwürdig sein. Microsoft investiert massiv in neue EU-Rechenzentren, exklusive Dienste und regulatorische Partnerschaften. Und dennoch gilt: Diese Versprechen können nicht vollständig eingehalten werden. Nicht von Microsoft – und auch nicht von anderen US-Tech-Konzernen.

Warum das souveräne Cloud-Versprechen wenig Substanz hat

Grund: US-Überwachungsgesetze wie FISA, CLOUD Act und Executive Order 12333 sind extraterritorial anwendbar und verpflichten US-Unternehmen weltweit zur Zusammenarbeit mit US-Behörden. Die physische Speicherung in Europa schützt Daten daher nicht vor Zugriffen.

Anders gesagt: Es ist nicht der Speicherort der Daten entscheidend, sondern die Gerichtsbarkeit.

Die zentralen Gesetze im Überblick:

• FISA §702: Erlaubt US-Geheimdiensten Zugriff auf Kommunikation von „Nicht-US-Personen“ – ohne richterlichen Beschluss.
• CLOUD Act: Verpflichtet US-Unternehmen zur Herausgabe von Daten – selbst wenn sie im Ausland gespeichert sind und ausländisches Recht verletzen.
• Executive Order 12333: Erlaubt Massenerfassung von Kommunikation im Ausland – ohne Aufsicht.

Die Einhaltung dieser Gesetze erfolgt geheim und ohne Mitteilungspflicht an betroffene Kunden. Unternehmen dürfen darüber nicht informieren – auch nicht EU-Regulierungsbehörden oder Kunden.

Die EU-DSGVO hat hier keine abschließende Schutzwirkung

Selbst wenn Daten in europäischen Rechenzentren verarbeitet werden, bleibt Microsoft als US-Unternehmen dem US-Recht unterworfen. Das stellt einen Zielkonflikt dar: US-Recht überstimmt in vielen Fällen europäische Datenschutzgrundverordnung (DSGVO) und NIS2-Vorgaben.

Daher gilt: Kein US-Unternehmen kann vollständige digitale Souveränität in der EU garantieren. Dies wurde zuletzt auch in mehreren Urteilen des Europäischen Gerichtshofs (z. B. Schrems II) bestätigt.

Closed Source + geheime Zugriffsgesetze = völliger Kontrollverlust

Ein weiteres Problem liegt in der Natur proprietärer US-Software:

• US-Regierungsbehörden könnten zur Integration von Zugriffsschnittstellen oder „Hintertüren“ verpflichten
• Closed Source verhindert jegliche unabhängige Prüfung oder Validierung der Sicherheitsmechanismen
• Kein Kunde – auch keine EU-Regierung – kann überprüfen, wie, wann und warum Daten abfließen

Beispiel: Microsoft folgte 2023 politischen Sanktionen der US-Regierung, indem es dem Internationalen Strafgerichtshof Dienste verweigerte – trotz europarechtlicher Verpflichtungen. Ein Präzedenzfall, der zeigt, wie US-Gesetze über europäische Institutionen hinwegregieren können.

Geopolitischer Wandel erhöht das Risiko zusätzlich

Früher stützte sich das transatlantische Vertrauen auch auf politische Allianz-Strukturen. Heute ist das nicht mehr gegeben. Die Deaktivierung des US Privacy and Civil Liberties Oversight Board (PCLOB) war ein entscheidender Schlag.

Das PCLOB war ein zentrales Instrument zur Aufsicht und Rechtskontrolle US-amerikanischer Überwachungspraxis – und gleichzeitig eine der Schutzsäulen im inzwischen beendeten Privacy Shield.

Ohne PCLOB gibt es keine unabhängige Stelle zur Prüfung der Verhältnismäßigkeit, Richtigkeit oder Widerrufsmöglichkeit amerikanischer Überwachungsmaßnahmen – ein Kernproblem für jedes neue transatlantische Datenschutz-Abkommen wie dem Data Privacy Framework.

Digitale Souveränität braucht mehr als Marketing – sie braucht rechtliche Substanz

Die Vermarktung von „European Cloud“ oder „souveräner Infrastruktur“ durch US-Tech-Anbieter bleibt ein Vertrauensversprechen ohne rechtliches Fundament. Doch Vertrauen ist kein Ersatz für Kontrolle.

Für echte Souveränität brauchen EU-Regierungen, -Institutionen und -Unternehmen:

• Technologische Alternativen aus Europa, die nur der EU-Datenschutzrechtsordnung unterliegen
• Open-Source-Transparenz, damit Sicherheitsfunktionen verifiziert statt blind vertraut werden können
• Nachvollziehbare Rechenzentren und sichere Kommunikationsplattformen aus dem EU-Raum

Die gute Nachricht: Diese Lösungen existieren bereits – von sicherer Kommunikation über Collaboration-Tools bis hin zu Infrastrukturplattformen. Sie bieten eine datenschutzkonforme, auditierbare und unabhängige Architektur für echte EU-Alternativen zu Big Tech.

Fazit: Raus aus der Illusion — rein in digitale Eigenverantwortung

Es ist an der Zeit, das magische Denken hinter sich zu lassen: Kein US-Konzern, egal wie vertrauenswürdig der CEO erscheint, kann strukturell gegen US-Gesetze handeln. Daher sind alle Marketingversprechen zu „souveräner Cloud“ von Microsoft oder anderen Unternehmen letztlich nicht tech-proof, policy-proof oder law-proof.

👉 Digitale Souveränität steht und fällt mit Gerichtsbarkeit, Technologieverantwortung und Transparenz. Wenn die EU diese Prinzipien ernst nimmt, muss auch ihr Technologieeinsatz diesen Grundsätzen folgen.

📥 Whitepaper: Wie Sie mit Wire echte Souveränität und Datenschutz erreichen