US-Behörden und europäische Cloud-Daten: Ein Offenbarungseid für die digitale Souveränität -

Cloud Security

Es gibt Momente in der Politik, da bricht die Wahrheit durch die Fassade höflicher Diplomatie. Ein solcher Moment ist dieser Tage eingetreten. Ein Rechtsgutachten der Universität zu Köln, das im Auftrag des Bundesinnenministeriums erstellt wurde, liegt nun durch eine Anfrage nach dem Informationsfreiheitsgesetz öffentlich vor. Was Heise berichtet, ist im Grunde nichts Neues – aber nun schwarz auf weiß dokumentiert: US-Behörden haben weitreichenden Zugriff auf europäische Cloud-Daten, selbst wenn diese in EU-Rechenzentren gespeichert sind.

Die brutale Wahrheit aus Köln

Die Rechtswissenschaftler der Universität zu Köln sollten klären, ob und in welchem Umfang US-Geheimdienste und staatliche Stellen rechtlichen Zugriff auf Cloud-Daten besitzen, die außerhalb der USA gespeichert sind. Das Ergebnis ist eindeutig: Der Stored Communications Act, erweitert durch den Cloud Act, sowie Abschnitt 702 des Foreign Intelligence Surveillance Act ermöglichen US-Behörden den Zugriff auf Daten, die von US-Unternehmen verarbeitet werden – völlig unabhängig vom Speicherort.

Besonders brisant: Auch europäische Unternehmen können betroffen sein, sofern sie signifikante Geschäftsbeziehungen in die USA unterhalten. Die geografische Lage der Server ist praktisch irrelevant. Entscheidend ist allein die Verfügungsgewalt des US-Unternehmens über die Daten. Selbst Verschlüsselung bietet keinen ausreichenden Schutz, denn im Zweifel müssen Provider den technischen Zugriff ermöglichen – andernfalls drohen empfindliche Strafen oder strafrechtliche Konsequenzen.

Microsoft 365 und Windows 11: Das K.O.-Kriterium

Wer die Implikationen verstanden hat, muss zu einem unbequemen Schluss kommen: Jedes System mit Cloud-Anbindung an US-Anbieter ist ein Sicherheitsrisiko. Microsoft 365, Windows 11 mit seiner tief integrierten Cloud-Anbindung, Azure, AWS – sie alle fallen unter diese Rechtsprechung. Es ist kein hypothetisches Szenario mehr, sondern dokumentierte Realität.

Die sogenannte EU Data Boundary von Microsoft, die verspricht, dass europäische Daten in Europa bleiben, ist bestenfalls eine Marketing-Maßnahme. Ein Microsoft-Manager bestätigte unter Eid, dass eine Garantie gegen Datenherausgabe an US-Behörden nicht möglich ist. Der Cloud Act gilt unabhängig von Server-Standorten. Die digitale Souveränität, die uns versprochen wird, ist eine Illusion.

Für öffentliche Verwaltungen, Schulen, Krankenhäuser und kritische Infrastrukturen bedeutet dies: Der Einsatz von Microsoft 365 und vergleichbaren Cloud-Diensten ist mit den Grundprinzipien des Datenschutzes und der digitalen Souveränität nicht vereinbar. Wer sensible Daten von Bürgern, Patienten oder Schülern in solchen Systemen verarbeitet, setzt sie dem potentiellen Zugriff ausländischer Geheimdienste aus – ohne dass die Betroffenen je davon erfahren würden.

Das Versagen der Aufsichtsbehörden

Und was tun die deutschen Datenschutzbehörden? Sie lavieren. Die Landesbeauftragten für Datenschutz haben zwar erkannt, dass die Standard-Auftragsverarbeitungsvereinbarung von Microsoft nicht den Anforderungen der DSGVO entspricht. Sie haben sogar eine Handreichung veröffentlicht, die Verantwortlichen helfen soll, „datenschutzgerechte vertragliche Änderungen" bei Microsoft zu erwirken.

Das ist, als würde man einem Autofahrer raten, beim Hersteller um Airbags zu bitten, die dieser aus Kostengründen nicht einbauen will. Es ist eine Kapitulation, verpackt in bürokratische Prosa. Die Datenschutzkonferenz stellte bereits im November 2022 fest, dass ein datenschutzkonformer Einsatz von Microsoft 365 nicht nachgewiesen werden kann. Doch statt klare Verbote auszusprechen, gibt es Handreichungen und Empfehlungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verhält sich kaum besser. Zwar gibt es technische Empfehlungen zur Deaktivierung von Telemetriedaten, doch die grundsätzliche Problematik wird nicht angegangen. Man optimiert die Ketten, statt sie zu sprengen.

Der LDI Baden-Württemberg macht es vor

Es gibt Ausnahmen. Der Landesbeauftragte für Datenschutz Baden-Württemberg führte einen mehrmonatigen Praxistest durch und kam zu einem vernichtenden Urteil: Die Konfiguration von Microsoft 365 für den schulischen Einsatz ist datenschutzrechtlich nicht möglich. Die Versuche scheiterten. Telemetriedaten fließen ab, Microsoft verarbeitet Daten für eigene Zwecke, die Rechtsgrundlagen bleiben unklar, die Verschlüsselung ist nicht Ende-zu-Ende, und Nutzungsordnungen helfen nicht.

Doch selbst diese Erkenntnis führte nicht zu flächendeckenden Verboten. Stattdessen wird mit Microsoft verhandelt, werden Arbeitsgruppen gebildet, werden Berichte geschrieben. Seit Jahren. Das Ergebnis: Microsoft bewegt sich minimal, die Behörden geben sich damit zufrieden, und der datenschutzwidrige Zustand bleibt bestehen.

Digitale Souveränität: Mehr als ein Schlagwort

Digitale Souveränität bedeutet nicht, dass europäische Server in europäischen Rechenzentren stehen. Sie bedeutet, dass europäisches Recht für europäische Daten gilt – vollständig und ohne Hintertüren. Das aktuelle System erfüllt diese Anforderung nicht.

Das EU-US Data Privacy Framework, das nach dem gescheiterten Privacy Shield als Angemessenheitsbeschluss etabliert wurde, ist bereits der dritte Versuch, den transatlantischen Datenverkehr zu legitimieren. Die ersten beiden – Safe Harbor und Privacy Shield – wurden vom Europäischen Gerichtshof in den Schrems-Urteilen für ungültig erklärt. Die Argumente gegen das aktuelle Framework sind dieselben: US-Überwachungsgesetze bieten keinen angemessenen Schutz für EU-Bürger.

Max Schrems, der österreichische Datenschutzaktivist, dessen Klagen die vorherigen Abkommen zu Fall brachten, hat bereits angekündigt, auch gegen das aktuelle Framework vorzugehen. Die Chancen stehen gut, dass auch dieser dritte Anlauf scheitern wird. Denn die Rechtsgrundlage hat sich nicht geändert: Der Cloud Act und FISA 702 gelten weiter.

Die Alternativen existieren

Die gute Nachricht: Europa hat Alternativen. Anbieter wie OVHcloud, Hetzner, Scaleway, IONOS, die Open Telekom Cloud, StackIT oder Exoscale bieten Cloud-Dienste an, die vollständig in Europa betrieben werden und europäischem Recht unterliegen. Sie sind technisch ausgereift, DSGVO-konform und bieten vergleichbare Leistungen.

Projekte wie Gaia-X sollten eine föderierte europäische Cloud-Infrastruktur schaffen. Doch auch hier zeigt sich das Problem: Durch die Beteiligung amerikanischer Konzerne wurde das Projekt verwässert. Echte digitale Souveränität entsteht nicht durch Kompromisse mit denen, vor deren Zugriffsrechten man sich eigentlich schützen will.

Die Open Telekom Cloud überzeugt in aktuellen Marktberichten als führende europäische Public Cloud. OVHcloud, IONOS Cloud und Scaleway stehen für eine neue, souveräne und datenschutzorientierte Cloud-Infrastruktur aus Europa. Eine Foundry-Studie zeigt: 25 Prozent der befragten Unternehmen setzen bereits auf souveräne Cloud-Lösungen – und 88 Prozent davon sind zufrieden.

Für Office-Anwendungen gibt es OpenDesk, Nextcloud, LibreOffice und OnlyOffice. Für Betriebssysteme gibt es Linux-Distributionen, die nicht nur Open Source, sondern auch frei von den Telemetrie-Mechanismen proprietärer Systeme sind.

Die Kosten der Untätigkeit

Doch die Migration ist aufwendig. Jahrzehntelang wurden Behörden, Schulen und Unternehmen in die Microsoft-Ökosysteme getrieben. Schulungen, Prozesse, Schnittstellen – alles basiert auf dieser Infrastruktur. Der Wechsel erfordert Investitionen, Zeit und politischen Willen.

Genau dieser Wille fehlt. Statt die Abhängigkeit strategisch zu reduzieren, wird sie verwaltet. Man hofft auf bessere Verträge, auf Einsicht bei Microsoft, auf eine Lösung, die niemanden weh tut. Doch diese Lösung wird es nicht geben. Microsoft ist ein US-Unternehmen und dem US-Recht verpflichtet. Punkt.

Das Gutachten aus Köln macht eines überdeutlich: Jeder Tag, an dem kritische Daten in Systemen verarbeitet werden, die dem Cloud Act unterliegen, ist ein Tag zu viel. Jede Behörde, jede Schule, jedes Krankenhaus, das weiterhin auf Microsoft 365 setzt, verstößt gegen die Grundprinzipien der DSGVO.

Die Datenschutzbehörden müssen endlich ihrer Verantwortung gerecht werden. Nicht durch Handreichungen und Arbeitsgruppen, sondern durch klare Verbote. Das BSI muss aufhören, die Symptome zu behandeln, und die Ursache benennen: Die Nutzung von Cloud-Diensten unter US-Jurisdiktion ist mit digitaler Souveränität unvereinbar.

Der Weg nach vorn

Europa steht an einem Scheideweg. Entweder wir nehmen digitale Souveränität ernst – mit allen Konsequenzen – oder wir geben sie endgültig auf. Ein Mittelweg existiert nicht. Das Kölner Gutachten hat die Scheinheiligkeit der aktuellen Praxis offengelegt.

Die Bundesregierung muss einen verbindlichen Zeitplan für den Ausstieg aus US-Cloud-Diensten in der öffentlichen Verwaltung vorlegen. Die Datenschutzbehörden müssen ihre Zurückhaltung aufgeben und durchgreifen. Das BSI muss europäische Alternativen nicht nur empfehlen, sondern aktiv fördern.

Und wir als Gesellschaft müssen akzeptieren, dass Bequemlichkeit ihren Preis hat. Der Preis für die Nutzung von Microsoft 365 und Windows 11 ist unsere digitale Souveränität. Die Frage ist: Sind wir bereit, diesen Preis zu zahlen?

Das Gutachten aus Köln gibt die Antwort vor. Es liegt nun an uns, die Konsequenzen zu ziehen.

Quellen: