Thought Leadership
Brisante Aussage vor dem französischem Senat: Microsoft kann nicht garantieren, dass europäische Nutzerdaten trotz EU-Hosting vor US-Behörden sicher sind.
Microsoft kann europäische Nutzerdaten nicht vor dem Zugriff US-amerikanischer Behörden schützen – selbst wenn diese in EU-Rechenzentren gespeichert sind. Das räumte der Rechtsdirektor von Microsoft Frankreich, Anton Carniaux, bei einer Anhörung vor dem französischen Senat am 10. Juni 2025 unter Eid ein.
“Nein, das kann ich nicht garantieren”
Auf die direkte Frage, ob er garantieren könne, dass französische Bürgerdaten niemals ohne explizite Genehmigung an US-Behörden übermittelt würden, antwortete Carniaux unmissverständlich: “Nein, das kann ich nicht garantieren.” Diese Aussage hat erhebliche Tragweite für alle EU-Staaten, die auf Microsoft-Dienste setzen.
Der Cloud Act gewährt US-Behörden weitreichende Befugnisse, amerikanische Unternehmen zur Herausgabe von Daten zu zwingen – unabhängig vom Speicherort. Microsofts technische Schutzmaßnahmen und EU-Hosting können diese rechtliche Realität nicht überwinden.
Europäische Infrastruktur unter US-Kontrolle
Die Senatsanhörung, die ursprünglich die umstrittene Nutzung von Microsoft Azure durch Frankreichs Health Data Hub untersuchte, offenbarte ein EU-weites Problem: Europäische Regierungen und Unternehmen sind massiv von US-Technologieanbietern abhängig, deren Daten letztendlich US-Gesetzen unterliegen.
Pierre Lagarde, Microsofts technischer Direktor, versicherte zwar, dass seit Januar 2025 “die Daten unserer europäischen Kunden die EU nicht verlassen”. Doch diese technische Garantie wird von der rechtlichen Realität des Cloud Act ausgehebelt.
Das Eingeständnis betrifft nicht nur Microsoft: Amazon Web Services, Google Cloud und andere US-Hyperscaler unterliegen denselben rechtlichen Rahmenbedingungen.
Was ist der Cloud Act?
Der Clarifying Lawful Overseas Use of Data Act (Cloud Act) von 2018 erweitert die Befugnisse US-amerikanischer Strafverfolgungsbehörden erheblich. Das Gesetz verpflichtet US-Unternehmen, auf Anfrage von FBI, NSA und anderen Behörden Nutzerdaten herauszugeben – unabhängig davon, wo diese physisch gespeichert sind.
Entscheidend: Der Cloud Act gilt für alle US-Unternehmen und ihre Tochtergesellschaften weltweit. Auch wenn Microsoft die Daten in deutschen oder französischen Rechenzentren speichert, kann das Unternehmen sich nicht auf lokale Datenschutzgesetze berufen, wenn US-Behörden Zugriff fordern.
Das Gesetz sieht zwar Verfahren vor, um “unbegründete” Anfragen anzufechten, die finale Entscheidung liegt jedoch bei US-Gerichten. Für europäische Nutzer bedeutet das: Ihre Daten unterliegen letztendlich immer US-amerikanischem Recht.
