Microsoft-CEO Satya Nadella bemüht sich, EU-Kunden mit neuen „souveränen“ Cloud-Angeboten Sicherheit und Kontrolle zuzusichern. In einem aktuellen LinkedIn-Post betont er, dass Microsoft Wahlfreiheit, Datenschutz und digitale Souveränität für europäische Nutzer gewährleisten wolle.
Die Absicht mag glaubwürdig sein. Microsoft investiert massiv in neue EU-Rechenzentren, exklusive Dienste und regulatorische Partnerschaften. Und dennoch gilt: Diese Versprechen können nicht vollständig eingehalten werden. Nicht von Microsoft – und auch nicht von anderen US-Tech-Konzernen.
Grund: US-Überwachungsgesetze wie FISA, CLOUD Act und Executive Order 12333 sind extraterritorial anwendbar und verpflichten US-Unternehmen weltweit zur Zusammenarbeit mit US-Behörden. Die physische Speicherung in Europa schützt Daten daher nicht vor Zugriffen.
Anders gesagt: Es ist nicht der Speicherort der Daten entscheidend, sondern die Gerichtsbarkeit.
Die Einhaltung dieser Gesetze erfolgt geheim und ohne Mitteilungspflicht an betroffene Kunden. Unternehmen dürfen darüber nicht informieren – auch nicht EU-Regulierungsbehörden oder Kunden.
Selbst wenn Daten in europäischen Rechenzentren verarbeitet werden, bleibt Microsoft als US-Unternehmen dem US-Recht unterworfen. Das stellt einen Zielkonflikt dar: US-Recht überstimmt in vielen Fällen europäische Datenschutzgrundverordnung (DSGVO) und NIS2-Vorgaben.
Daher gilt: Kein US-Unternehmen kann vollständige digitale Souveränität in der EU garantieren. Dies wurde zuletzt auch in mehreren Urteilen des Europäischen Gerichtshofs (z. B. Schrems II) bestätigt.
Ein weiteres Problem liegt in der Natur proprietärer US-Software:
Beispiel: Microsoft folgte 2023 politischen Sanktionen der US-Regierung, indem es dem Internationalen Strafgerichtshof Dienste verweigerte – trotz europarechtlicher Verpflichtungen. Ein Präzedenzfall, der zeigt, wie US-Gesetze über europäische Institutionen hinwegregieren können.
Früher stützte sich das transatlantische Vertrauen auch auf politische Allianz-Strukturen. Heute ist das nicht mehr gegeben. Die Deaktivierung des US Privacy and Civil Liberties Oversight Board (PCLOB) war ein entscheidender Schlag.
Das PCLOB war ein zentrales Instrument zur Aufsicht und Rechtskontrolle US-amerikanischer Überwachungspraxis – und gleichzeitig eine der Schutzsäulen im inzwischen beendeten Privacy Shield.
Ohne PCLOB gibt es keine unabhängige Stelle zur Prüfung der Verhältnismäßigkeit, Richtigkeit oder Widerrufsmöglichkeit amerikanischer Überwachungsmaßnahmen – ein Kernproblem für jedes neue transatlantische Datenschutz-Abkommen wie dem Data Privacy Framework.
Die Vermarktung von „European Cloud“ oder „souveräner Infrastruktur“ durch US-Tech-Anbieter bleibt ein Vertrauensversprechen ohne rechtliches Fundament. Doch Vertrauen ist kein Ersatz für Kontrolle.
Für echte Souveränität brauchen EU-Regierungen, -Institutionen und -Unternehmen:
Die gute Nachricht: Diese Lösungen existieren bereits – von sicherer Kommunikation über Collaboration-Tools bis hin zu Infrastrukturplattformen. Sie bieten eine datenschutzkonforme, auditierbare und unabhängige Architektur für echte EU-Alternativen zu Big Tech.
Es ist an der Zeit, das magische Denken hinter sich zu lassen: Kein US-Konzern, egal wie vertrauenswürdig der CEO erscheint, kann strukturell gegen US-Gesetze handeln. Daher sind alle Marketingversprechen zu „souveräner Cloud“ von Microsoft oder anderen Unternehmen letztlich nicht tech-proof, policy-proof oder law-proof.
👉 Digitale Souveränität steht und fällt mit Gerichtsbarkeit, Technologieverantwortung und Transparenz. Wenn die EU diese Prinzipien ernst nimmt, muss auch ihr Technologieeinsatz diesen Grundsätzen folgen.
📥 Whitepaper: Wie Sie mit Wire echte Souveränität und Datenschutz erreichen