Keine Überraschung: In Microsofts Händen sind Daten nicht automatisch sicher

In den vergangenen zwei Wochen verging kaum ein Tag ohne einen pseudo-erstaunten Blogpost oder Newsletter mit Headlines wie „Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern!“ oder „Microsoft: EU-Daten vor US-Zugriff nicht geschützt“.

Konkret geht es darum, dass der für Microsoft France als Head of Corporate, External & Legal Affairs tätige Anton Carniaux am 10. Juni 2025 im Rahmen einer Befragung zur „Souveränen Microsoft Cloud“ die Frage, ob Microsoft garantieren könne, dass die Daten französischer Bürger nie ohne Zustimmung der französischen Behörden an US-Behörden weitergegeben werden, unter Eid mit „Nein, das kann ich nicht garantieren, aber es ist noch nie zuvor passiert.“ beantwortete.

Dabei ist all das nicht neu und sollte vor allem Datenschutz-Profis nicht überraschen. Die Nutzung von Produkten von Microsoft, Google oder anderen US-Anbietern auf Servern in der EU oder direkt die Datenübertragung in die USA ist in der Regel mit den europäischen Datenschutzanforderungen nicht vereinbar. Dies ist seit Jahren schon so. Kurz: Es geht nicht, zumindest nicht einfach so. Man muss etwas tun (nämlich massive technische und organisatorische Maßnahmen ergreifen) und die Arbeit wird dadurch manchmal weniger komfortabel.

Denn der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet US-amerikanische Unternehmen (wie Microsoft, Google, Amazon etc.), auf Anfrage von US-Behörden Zugriff auf gespeicherte Daten zu gewähren – auch wenn diese Daten außerhalb der USA gespeichert sind (wie eben in Europa). Entscheidend ist einzig und allein, dass der Server, auf dem die Daten gespeichert sind, dem US-Unternehmen zuzurechnen ist. Das Gesetz steht regelmäßig im Widerspruch zum EU-Datenschutzrecht und das eben nicht erst seit dem 10. Juni.

Darüber hinaus erlaubt der FISA Section 702 (Foreign Intelligence Surveillance Act, 1978, Sec. 702) es US-Geheimdiensten (wie der NSA), ohne richterlichen Beschluss die elektronische Kommunikation von Nicht-US-Bürgern außerhalb der USA zu überwachen und zwar auch, wenn diese Daten nur vorübergehend die US-Grenze überqueren, etwa durch Routing oder Verarbeitung in Rechenzentren. Hiervon sind also ebenfalls alle (!) Cloud-Dienste mit US-Hintergrund betroffen, auch wenn Server in Europa stehen sowie mahezu der gesamte Internet-Traffic der Welt, da es in der Natur des Internet liegt, dass konkrete Datenwege nicht festgelegt sind und damit im Grundsatz alle Daten auf ihrer Reise irgendwann die US-Grenze überqueren. Die NSA darf dann diese Daten erfassen, speichern und analysieren. Auch hier gibt es nicht einmal eine Informationspflicht gegenüber den Betroffenen. Der Massenüberwachung der Welt stehen alle Tore weit offen.

Betroffene haben zudem keine effektiven Rechtsmittel oder Klagemöglichkeiten in den USA. Außerdem genügen die viel gelobten Standardvertragsklauseln (SCCs) der EU allein selbstverständlich nicht, Datentransfers in die USA zu legitimieren. Es müssen zwingend zusätzliche Schutzmaßnahmen getroffen werden, z.B. eine echte Ende-zu-Ende-Verschlüsselung OHNE Zugriffsmöglichkeit durch den Anbieter, die den Zugriff durch US-Behörden zwar nicht unterbinden können, die Datennutzung aber wirksam verhindern.

Datentransfers an US-Cloud-Anbieter ohne solche flankierenden Maßnahmen sind (ausdrücklich auch, wenn die Server in der EU stehen) sind somit datenschutzrechtlich immer hochriskant.

Die DSGVO fordert als Voraussetzung für einen Datentransfer in ein Drittland ein angemessenes Datenschutzniveau im Zielland. Aufgrund von CLOUD Act und FISA 702 ist dies in den USA grundsätzlich nicht gegeben. Genau deshalb hat der EuGH das “Privacy Shield”-Abkommen 2020 in der Schrems-II-Entscheidung für ungültig erklärt und gemeinsam mit der Biden-Adminsitration versucht, die gröbsten Probleme im Data Privacy Framework (DPF) neu zu adressieren. Beispielsweise wurde der Data Protection Review Court (DPRC) im Zuge des DPF durch ein Präsidialdekret von US-Präsident Joe Biden eingerichtet. Er soll unabhängig und nicht-öffentlich Beschwerden von EU-Bürgern prüfen, die glauben, dass ihre personenbezogenen Daten durch US-Geheimdienste unrechtmäßig verarbeitet wurden, und kann Maßnahmen zur Löschung oder Korrektur anordnen, falls ein Verstoß festgestellt wird. Der DPRC ist dabei jedoch kein reguläres Gericht, sondern lediglich eine Institution mit geheimdienstlicher Zuständigkeit.

Ergänzt wird das Konstrukt durch das 2004 gegründete Privacy and Civil Liberties Oversight Board (PCLOB), ein unabhängiges US-Aufsichtsgremium, das die Aufgabe hat, sicherzustellen, dass Maßnahmen der US-Regierung zum Schutz der nationalen Sicherheit im Einklang mit den verfassungsmäßigen Rechten und Bürgerfreiheiten stehen, insbesondere in Bezug auf Überwachung und Datenschutz und das im Rahmen des EU-US Data Privacy Framework (DPF) zur Aufsicht über US-Geheimdienste beitragen soll. Das PCLOB war jedoch bereits 2016-2019 faktisch hundlungsunfähig, da es nicht einmal die gesetzlich vorgeschriebene Mindestanzahl von 3 Mitgliedern hatte. Trump besetzte daraufhin in seiner ersten Amtszeit das Gremium mit überwachungsfreundlich gesinnten, regierungsnahen Mitgliedern und reduzierte in seiner zweiten Amtszeit die Besetzung auf nur noch eine Person.

Man darf also davon ausgehen, dass diese eigentlich mitigierenden Maßnahmen weitgehend wirkungslos sind, was das EU-US Data Privacy Framework (DPF) insgesamt in Frage stellt.

Ich würde mich jetzt eigentlich noch gern zu GAIA-X, dem ehrgeizigen Europäischen Cloud-Projekt äußern, von dem mittlerweile kaum noch jemand spricht und bei dem man spätestens ab dem Moment, als im September 2020 bekannt wurde, dass Unternehmen wie Amazon, Microsoft und Google und auch (ausgerechnet!) Palantir eingestiegen waren, trotz aller Versprechen leider nicht von einer besonders datenschutzfreundlichen Vision sprechen konnte. Aber das ist schon wieder eine andere Geschichte.