Microsoft, Trump und Cloud-Souveränität: der Faktencheck
Die Diskussionen um Microsoft 365, Donald Trump und die digitale Souveränität europäischer Unternehmen verlaufen in sozialen Medien meist nach demselben Schema. Sobald die Sprache auf Sicherheitsrisiken in der Cloud fällt, beherrschen vorgefertigte Meinungen und emotionale Argumente die Threads. Namen wie Karim Khan, das Kürzel FISA oder der CLOUD Act werden als absolute Totschlagargumente genutzt.
Für IT-Entscheider und Administratoren ist diese emotionale Ebene unbrauchbar. Wir benötigen eine präzise Risikoanalyse, die auf verifizierbaren Fakten und der aktuellen Rechtslage basiert. Eine sachliche Bestandsaufnahme zeigt, wo reale Architekturschwächen liegen und welche Szenarien in den Bereich der Mythen gehören.
Der Fall Khan: Die Unterhaus-Korrektur und der IStGH-Exit
Der Vorwurf wiegt schwer: US-Präsident Donald Trump friert per Dekret die IT-Infrastruktur einer internationalen Organisation ein. Im Februar 2025 sanktionierte die US-Regierung den Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan. Anlass waren die vom Gericht erlassenen Haftbefehle gegen israelische Regierungsmitglieder. Kurz nach den Sanktionen verlor Khan den Zugriff auf sein Microsoft-Postfach. Er wich auf den Schweizer verschlüsselten Maildienst Proton aus.
In der ersten Kommunikationsphase wiegelte Microsoft ab. Das Unternehmen erklärte, die Dienste für den IStGH liefen normal weiter. Microsoft-Präsident Brad Smith betonte im Juni 2025, man habe die Services zu keinem Zeitpunkt ausgesetzt. Diese Darstellung hielt einer parlamentarischen Überprüfung nicht stand. Im Februar 2026 musste der Konzern seine Aussagen vor dem britischen Unterhaus korrigieren. Berichte machten öffentlich, dass Microsoft dem Gericht eine klare Grenze gesetzt hatte: Entweder der IStGH sperrt Khans Zugang, oder Microsoft deaktiviert die gesamte Mail-Infrastruktur des Gerichts, um eigene Verstöße gegen US-Sanktionsrecht zu verhindern. Der IStGH sperrte das Konto daraufhin selbst, um betriebsbereit zu bleiben.
Diese Episode verdeutlicht das reale Klumpenrisiko einer einseitigen Cloud-Abhängigkeit. Die Konsequenz folgte prompt: Der IStGH leitete die vollständige Migration seiner IT ein und ersetzt seine Microsoft-Dienste durch openDesk. Diese Open-Source-Bürosuite des deutschen Zentrums für Digitale Souveränität (ZenDiS) wird bereits in deutschen Behörden eingesetzt. Der Fall beweist: US-Konzerne agieren im Ernstfall als verlängerter Arm ihrer nationalen Gesetzgebung, selbst wenn Verträge mit internationalen Institutionen bestehen.
China-Sperren: Compliance-Vorauseilung bei 21Vianet
Ein ähnliches Muster zeigte sich in China. Im Frühjahr 2025 sperrte Microsoft kurzfristig die M365-Dienste der Sun-Yat-sen-Universität in Guangzhou sowie der BGI Group, einem großen Genomik-Unternehmen. Die BGI Group wechselte gezwungenermaßen zur chinesischen WPS Office Suite.
Das Besondere an diesem Vorfall liegt in der technischen Betriebskonstruktion: Microsoft 365 wird auf dem chinesischen Festland nicht von Microsoft betrieben. Der Betrieb liegt in den Händen von 21Vianet, einem unabhängigen chinesischen Rechenzentrumsbetreiber. Eine direkte rechtliche Anordnung der US-Regierung an ein chinesisches Unternehmen ist rechtlich unmöglich. Dennoch erfolgte die Sperre. Analysten sehen hier ein klassisches Beispiel für Compliance-Vorauseilung: US-Konzerne kappen Verbindungen vorsorglich, wenn das regulatorische Risiko durch US-Behörden den wirtschaftlichen Wert des Kunden übersteigt. Die Sun-Yat-sen-Universität betreibt das National Supercomputing Center Guangzhou, welches auf der US-Verbotsliste steht. Das reichte aus, um die IT-Infrastruktur der gesamten Hochschule lahmzulegen.
Die Anhörung im französischen Senat: Die Grenzen des Schutzes
Am 10. Juni 2025 wurden Anton Carniaux, Chefjustiziar von Microsoft Frankreich, und Pierre Lagarde, technischer Direktor für den öffentlichen Sektor, vor einem Untersuchungsausschuss des französischen Senats zu öffentlichen Aufträgen befragt. Auf die Frage von Ausschussvorsitzendem Simon Uzenat, ob er unter Eid garantieren könne, dass Daten französischer Bürger niemals ohne Zustimmung der französischen Behörden an die US-Regierung übermittelt würden, antwortete Carniaux: „Non, je ne peux pas le garantir." Nein, das könne er nicht garantieren, aber es sei bislang noch nie vorgekommen.
Der Grund dafür ist der CLOUD Act (Clarifying Lawful Overseas Use of Data Act), ein US-Gesetz vom März 2018. Er entstand aus einem Rechtsstreit zwischen Microsoft und dem US-Justizministerium um Mails eines US-Bürgers, die auf Servern in Irland lagen. Microsoft argumentierte, das bestehende Recht erfasse keine im Ausland gespeicherten Daten, verlor die erste Instanz, gewann die zweite. Noch bevor der Fall vor den Supreme Court kam, verabschiedete der Kongress den CLOUD Act. Er stellt klar, dass US-Provider Daten herausgeben müssen, die in ihrem Besitz, Gewahrsam oder ihrer Kontrolle liegen, unabhängig vom Speicherort. Zusätzliche Zugriffsrechte gibt der CLOUD Act den Behörden nicht, er beseitigt nur die Unklarheit, ob bestehende Gesetze auch im Ausland gespeicherte Daten erfassen.
Dabei lohnt sich die Unterscheidung, über welchen Weg US-Behörden Daten überhaupt anfordern können. Der erste ist der ordentliche Gerichtsweg mit Durchsuchungsbefehl oder Gerichtsbeschluss, den Regierungen weltweit nutzen und den Microsoft in seinem halbjährlichen Transparenzbericht dokumentiert. Der zweite läuft über FISA und National Security Letters (NSL), zwei US-spezifische Verfahren für die nationale Sicherheit. NSL erlauben nur die Anforderung von Verbindungsdaten, FISA auch von Inhaltsdaten, und FISA ist als Verfahren für Einzelfälle definiert: Jede Anfrage muss begründet und vom Foreign Intelligence Surveillance Court (FISC) in einem mehrstufigen Verfahren geprüft werden. Ein pauschales Massenzugriffsprogramm ist das nicht.
Carniaux beschrieb vor dem Ausschuss einen internen Prüfprozess: Microsoft analysiere jede behördliche Anfrage auf Gültigkeit, weise unbegründete Anfragen zurück und verlange, den betroffenen Kunden benachrichtigen zu dürfen, sofern eine Herausgabe rechtlich zwingend sei. Der Behauptung, im Ernstfall würde die Cloud binnen Tagen oder Wochen abgeschaltet, widersprach Lagarde deutlich: Ein Rechenzentrum läuft weiter, solange es mit Strom versorgt wird. Eine technische Notwendigkeit zur kurzfristigen Abschaltung gibt es nicht.
Die Aussage deckt sich mit dem, was in der Fachwelt seit Jahrzehnten bekannt ist. FISA, den Foreign Intelligence Surveillance Act, gibt es seit 1979, den CLOUD Act seit 2018. Für wen sich mit dem Thema beschäftigt hat, ist Carniaux' Eingeständnis keine neue Erkenntnis, sondern die Bestätigung einer seit Jahren bekannten Rechtslage.
Das statistische Risiko: FISA und der Transparenzbericht
Um das Risiko für ein normales mitteleuropäisches Unternehmen zu bewerten, hilft ein Blick in den offiziellen Microsoft-Transparenzbericht für das zweite Halbjahr 2025. In diesem Zeitraum gingen weltweit 190 Behördenanfragen bezüglich Enterprise-Kunden ein. In 96 Fällen wies Microsoft die Anfrage ab, zog sie zurück oder leitete sie an den Kunden weiter. In den übrigen 94 Fällen kam es zur Datenherausgabe, davon in 45 Fällen zur Offenlegung von Inhaltsdaten. Keine einzige dieser Herausgaben betraf Azure-Inhaltsdaten von kommerziellen Kunden oder Bildungseinrichtungen.
Bei weltweit über 382 Millionen aktiven M365-Konten ist die rein statistische Wahrscheinlichkeit, dass ein unbescholtenes europäisches Unternehmen ins Visier von FISA (Foreign Intelligence Surveillance Act) gerät, minimal. FISA zielt auf die Aufklärung ausländischer Geheimdienstaktivitäten und Terrorabwehr. Die Wahrscheinlichkeit eines Datenschadens durch unzureichende lokale Sicherheitskonzepte ist um ein Vielfaches höher.
Der Fall Storm-0558: Wenn die Cloud-Architektur versagt
Das Vertrauen in die absolute Unangreifbarkeit der Hyperscaler erlitt durch den Hack der chinesischen Gruppe Storm-0558 einen schweren Dämpfer. Die Angreifer fälschten Zugriffstoken für Exchange Online und drangen in Postfächer von US-Behörden ein. Der Untersuchungsbericht des US Cyber Safety Review Board (CSRB) kritisierte Microsofts Sicherheitskultur scharf.
Der Vorfall passierte durch eine Verkettung technischer Fehler: Ein Absturz in der Consumer-Signierungsumgebung erzeugte einen fehlerhaften Speicherabzug (Crash-Dump), der den geheimen Signaturschlüssel enthielt. Ein kompromittierter Admin-Account im Debugging-Netzwerk ermöglichte den Abfluss dieses Dumps. Da eine Validierungslücke im Enterprise-System existierte, akzeptierte die Cloud die gefälschten Consumer-Token auch für Business-Postfächer.
Microsoft reagierte mit der Ausweitung seiner Secure Future Initiative: Die Schlüsselrotation wurde automatisiert, Signierungsprozesse in isolierte Azure Confidential VMs verlagert und ein neues Identity-SDK ausgerollt, welches heute fast alle Entra-ID-Token prüft. Die Lehre daraus: Auch die Cloud ist Software und besitzt Schwachstellen. IT-Sicherheit funktioniert wie das Prinzip der Redundanz beim Tauchen: Erst wenn mehrere Fehler gleichzeitig auftreten, kommt es zur Katastrophe.
Technische Schutzwälle: Die EU Data Boundary und ihre Grenzen
Microsoft versucht, den europäischen Markt durch technische Isolationsschichten zu beruhigen. Seit Februar 2025 ist die EU Data Boundary vollständig umgesetzt. Das bedeutet: Daten von M365, Dynamics 365 und Azure werden ausschließlich innerhalb der EU gespeichert und verarbeitet.
Zusätzlich vereinbarte Microsoft ein digitales Resilienz-Versprechen mit der EU-Kommission. Der Konzern verpflichtet sich vertraglich, jede US-Anordnung zur Betriebseinstellung in Europa gerichtlich anzufechten. Über das sogenannte Data-Guardian-Verfahren muss jeder administrative Fernzugriff von US-Mitarbeitern auf europäische Systeme durch Personal in der EU freigegeben und dokumentiert werden.
Kritiker bemängeln diese Konstruktion als Fassade. Die Einhaltung rechtmäßiger US-Anordnungen ist in den Verträgen der EU Data Boundary explizit als Ausnahme verankert. Ein Rechenzentrum in Frankfurt schützt rechtlich nicht vor dem Zugriff der US-Muttergesellschaft, solange diese die Kontrolle über die Software-Verteilung besitzt. Das wirtschaftliche Argument wiegt hier schwerer als Verträge: Ein US-Anbieter, der auf politischen Druck hin die europäische Cloud abschaltet, zerstört sein weltweites Geschäftsmodell innerhalb von Minuten.
Das wackelnde Fundament: Das EU-US Data Privacy Framework vor Gericht
Die rechtliche Grundlage für den Datenaustausch mit den USA ist das EU-US Data Privacy Framework (DPF). Diese Angemessenheitsentscheidung wurde im September 2025 vom Gericht der Europäischen Union gegen eine Klage des französischen Abgeordneten Philippe Latombe verteidigt. Das Verfahren liegt nun beim Europäischen Gerichtshof (EuGH) unter dem Aktenzeichen C-703/25 P. Ein Termin zur Verhandlung steht noch aus.
Gleichzeitig erlebte die US-Aufsichtsstruktur politische Erschütterungen. Die US-Regierung entließ Mitglieder des Kontrollgremiums PCLOB. Im Juni 2026 fällte der US Supreme Court zudem ein wegweisendes Urteil (Trump v. Slaughter). Die Richter kippten den Kündigungsschutz für Mitglieder der Federal Trade Commission (FTC). Der US-Präsident kann die FTC-Führung nun ohne Angabe von Gründen entlassen und neu besetzen. Da die EU-Kommission ihre Angemessenheitsentscheidung maßgeblich auf die Unabhängigkeit der FTC stützte, gerät das DPF juristisch ins Wanken. Rechtsberater empfehlen Unternehmen dringend, Standardvertragsklauseln (SCCs) als technische und rechtliche Rückfallebene aktiv in den Verträgen zu halten.
DSGVO-Konformität: EDPS und der hessische Weg
Häufig wird behauptet, Microsoft 365 sei per se illegal. Die Historie zeigt ein differenzierteres Bild. Der Europäische Datenschutzbeauftragte (EDPS) rügte die EU-Kommission 2024 wegen Datenschutzverstößen bei der internen M365-Nutzung. Nach massiven vertraglichen Nachbesserungen und einem Compliance-Bericht der Kommission schloss der EDPS das Verfahren am 11. Juli 2025 erfolgreich ab.
Auf regionaler Ebene bestätigt der Hessische Beauftragte für Datenschutz (HBDI), dass ein datenschutzkonformer Betrieb von Microsoft 365 möglich ist. Die Verantwortung liegt beim Betreiber: Die Konformität ist kein Automatismus, sondern das Ergebnis einer sauberen Konfiguration, der Aktivierung von Verschlüsselungsfeatures und einer lückenlosen Dokumentation.
Der Aufstieg europäischer Alternativen
Der Markt für souveräne Plattformen wächst. Das Bundesland Schleswig-Holstein migrierte bereits rund 44.000 Mailkonten auf quelloffene Software und plant den langfristigen Wechsel von Windows zu Linux. Die Delos Cloud, die Microsoft-Dienste unter deutschem Recht und BSI-Kontrolle betreibt, nahm Anfang 2026 ihr zweites Betriebszentrum in Leipzig in Betrieb. Konsortien wie EuroStack bündeln die Kräfte von Open-Source-Anbietern und europäischen Hostern.
Gartner-Umfragen zeigen, dass über die Hälfte der europäischen CIOs planen, kritische Workloads zu regionalen Anbietern zu verlagern. Das Problem bleibt die Skalierung. Microsoft investiert seit über 15 Jahren jährliche R&D-Budgets im zweistelligen Milliardenbereich in seine Cloud-Infrastruktur. Wer echte europäische Souveränität will, muss diese Investitionsbereitschaft und das unternehmerische Risiko teilen, statt nur politische Forderungen zu stellen.
Fazit
Die detaillierte Betrachtung zeigt: Das Schreckgespenst einer plötzlichen, politisch motivierten Abschaltung von Microsoft 365 durch ein US-Dekret hält einer wirtschaftlichen Prüfung nicht stand. Die Mechanismen der EU Data Boundary und des Data Guardian bieten funktionale Kontrollen gegen unbefugte administrative Zugriffe. Dennoch ist das rechtliche Fundament durch die US-Gerichtsurteile zur FTC und das schwebende EuGH-Verfahren zum Data Privacy Framework fragil.
Für IT-Verantwortliche ist die pauschale Ablehnung der Cloud der falsche Weg. Relevanter ist der Blick auf die eigenen, sofort beeinflussbaren Sicherheitsrisiken im Unternehmen. Wer Cloud-Souveränität vorschiebt, aber gleichzeitig lokale Systeme unzureichend patcht, administrative Zugriffe nicht mit einer Multi-Faktor-Authentifizierung schützt oder die unkontrollierte Nutzung von privaten Endgeräten erlaubt, baut ein reales Sicherheitsrisiko im eigenen Haus auf. Souveränität erfordert kein blindes Aussteigen, sondern eine durchdachte Architektur, die Nutzung von Verschlüsselung und die permanente Aufrechterhaltung der eigenen Migrationsfähigkeit.
weitere Links
| Quelle | Thema | URL |
| Sénat (Frankreich) | Offizielles Protokoll der Anhörung Carniaux/Lagarde vom 10.6.2025 | senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html |
| The Register | Microsoft korrigiert Aussage zum IStGH vor dem UK-Parlament | theregister.com/2026/02/18/microsoft_asks_uk_parliament_to_correct_record |
| Cybernews | IStGH ersetzt Microsoft durch openDesk | cybernews.com/tech/icc-replacing-microsoft-workplace-software-opendesk |
| The Register | Carniaux zu Cloud Act und Datensouveränität | theregister.com/off-prem/2025/07/25/microsoft-exec-admits-it-cannot-guarantee-data-sovereignty/458553 |
| Microsoft | Government Requests for Customer Data Report H2/2025 | microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data |
| Microsoft Security Blog | Analyse der Storm-0558-Angriffstechnik | microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access |
| DarkReading | Secure Future Initiative nach Storm-0558 | darkreading.com/cloud-security/microsoft-millions-cloud-tenants-storm-0558 |
| Microsoft On the Issues | EU Data Boundary und Digital Resilience Commitment | blogs.microsoft.com/on-the-issues/2026/04/29/one-year-on-progress-on-our-european-digital-commitments |
| IAPP | Latombe-Urteil zum EU-US Data Privacy Framework | iapp.org/news/a/european-general-court-dismisses-latombe-challenge-upholds-eu-us-data-privacy-framework |
| SCOTUSblog | Trump v. Slaughter und das Ende von Humphrey's Executor | scotusblog.com/2026/06/court-allows-trump-to-fire-ftc-commissioner-and-overturns-major-restraint-on-presidential-power |
| EDPS | Abschluss des Verfahrens gegen die EU-Kommission zu M365 | edps.europa.eu/press-publications/press-news/press-releases/2025/european-commission-brings-use-microsoft-365-compliance-data-protection-rules-eu-institutions-and-bodies_en |
| ZDFheute | Schleswig-Holstein migriert von Microsoft | zdfheute.de/politik/deutschland/usa-trump-microsoft-deutschland-technik-abhaengigkeit-100.html |
| cloudmagazin.com | Marktzahlen zur europäischen Cloud-Souveränität 2026 | cloudmagazin.com/2025/10/15/cloud-souveraenitaet-2026-gaia-x-sovereign-cloud-standort |
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.