Im Zentrum der aktuellen Debatte steht ein grundlegendes Spannungsverhältnis zwischen europäischem Datenschutzrecht und den extraterritorialen Zugriffsbefugnissen US-amerikanischer Behörden. Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass personenbezogene Daten europäischer Bürger nur dann in Drittstaaten übermittelt werden dürfen, wenn dort ein angemessenes Schutzniveau gewährleistet ist (Art. 44 ff. DSGVO). Gleichzeitig verpflichten US-Gesetze wie der CLOUD Act (18 U.S.C. § 2713) oder der erst 2024 um zwei Jahre verlängerte Foreign Intelligence Surveillance Act (50 U.S.C. § 1881a (Section 702 FISA)) amerikanische Unternehmen dazu, auf Anforderung Daten herauszugeben – auch wenn diese auf Servern außerhalb der USA gespeichert sind.
Dieses Spannungsfeld wurde bereits durch die Urteile „Schrems I“ und „Schrems II“ des Europäischen Gerichtshofs (EuGH) deutlich, in denen sowohl das Safe-Harbor- als auch das Privacy-Shield-Abkommen für unzulässig erklärt wurden. Der EuGH stellte klar, dass europäische Daten nicht ausreichend vor dem Zugriff durch US-Behörden geschützt sind. Die Folge: Unternehmen, die personenbezogene Daten in US-Clouds speichern oder verarbeiten lassen, bewegen sich in einer rechtlichen Grauzone – insbesondere, wenn sie öffentliche Aufträge erfüllen oder besonders sensible Daten verarbeiten.
Vor diesem Hintergrund sorgt eine aktuelle Aussage von Anton Carniaux, Chefjustiziar von Microsoft Frankreich, für Aufsehen. In einer Anhörung vor dem französischen Senat räumte er ein, dass Microsoft nicht garantieren könne, dass Daten europäischer Kunden nicht an US-Behörden weitergegeben werden. Zwar sei dies bislang nicht vorgekommen, doch könne Microsoft bei rechtlich zulässigen Anfragen aus den USA nicht ablehnen – und dürfe betroffene Kunden nur mit Genehmigung der US-Behörden informieren. Diese Aussage betrifft insbesondere Daten, die im Rahmen öffentlicher Aufträge über die französische Beschaffungsstelle UGAP verarbeitet werden.
Die Reaktionen auf dieses Eingeständnis sind deutlich: IT-Rechtsexperten wie Dennis-Kenji Kipker und Stefan Hessel kritisieren die Diskrepanz zwischen Microsofts Werbeversprechen zur „digitalen Souveränität“ und der tatsächlichen Rechtslage. Während Microsoft mit lokal installierten Cloud-Lösungen wirbt, bleibt das Unternehmen dennoch US-Recht unterworfen – ein Umstand, der die Glaubwürdigkeit solcher Angebote massiv untergräbt. Die Forderung nach europäischen Alternativen und einer echten digitalen Unabhängigkeit wird dadurch erneut befeuert.
Quellen: