Die Wahrheit tut manchmal weh. Besonders wenn sie schwarz auf weiß dokumentiert ist und alle bisherigen Beteuerungen als das entlarvt, was sie waren: Schutzbehauptungen. Ein Rechtsgutachten der Universität zu Köln, erstellt im Auftrag des Bundesinnenministeriums und nun durch eine Anfrage nach dem Informationsfreiheitsgesetz öffentlich, räumt mit allen Illusionen auf. Was Heise Online berichtet, ist der juristische Offenbarungseid für die digitale Souveränität Europas: US-Behörden haben weitreichenden, rechtlich abgesicherten Zugriff auf europäische Cloud-Daten – völlig unabhängig davon, wo die Server physisch stehen.

Das Kölner Gutachten: Keine Ausreden mehr möglich

Die Rechtswissenschaftler der Uni Köln sollten eine simple Frage beantworten: Können US-Geheimdienste und Behörden auf Cloud-Daten zugreifen, die außerhalb der USA gespeichert sind? Die Antwort ist ein klares, unmissverständliches Ja. Der Stored Communications Act, erweitert durch den CLOUD Act von 2018, sowie Section 702 des Foreign Intelligence Surveillance Act verschaffen US-Behörden den rechtlichen Zugriff auf sämtliche Daten, die von US-Unternehmen kontrolliert werden.

Der entscheidende Punkt: Die geografische Lage der Server ist völlig irrelevant. Ob die Daten in Frankfurt, Dublin oder Stockholm liegen – wenn ein US-Unternehmen die Verfügungsgewalt darüber hat, unterliegen sie US-Recht. Microsoft kann seine EU Data Boundary noch so oft bewerben – rechtlich ist sie wertlos. Ein Microsoft-Manager bestätigte dies bereits unter Eid vor Gericht: Eine Garantie, Daten nicht an US-Behörden herauszugeben, kann Microsoft nicht abgeben.

Noch brisanter: Auch europäische Unternehmen können betroffen sein, wenn sie substanzielle Geschäftsbeziehungen in die USA unterhalten. Selbst Verschlüsselung bietet keinen ausreichenden Schutz, denn Provider können gezwungen werden, technischen Zugriff zu ermöglichen. Wer sich weigert, riskiert drakonische Strafen oder strafrechtliche Verfolgung in den USA. Netzpolitik.org berichtete bereits 2022 ausführlich über die Tragweite dieser Zugriffsrechte.

Microsoft 365 und Windows 11: Das Aus-Kriterium

Wer bis hierhin gelesen hat, kennt die logische Konsequenz: Jedes IT-System mit Cloud-Anbindung an US-Anbieter ist ein strukturelles Sicherheitsrisiko. Microsoft 365, das mittlerweile in fast jeder Behörde, jeder Schule, jedem Krankenhaus läuft. Windows 11 mit seiner tief integrierten Cloud-Anbindung, die sich kaum noch deaktivieren lässt. Azure-Dienste, AWS, Google Cloud – sie alle fallen unter diese Rechtsprechung.

Dies ist kein hypothetisches Szenario mehr. Es ist dokumentierte, juristische Realität. Die Microsoft EU Data Boundary, mit der Microsoft verspricht, europäische Daten würden Europa nicht verlassen, ist bestenfalls Marketing-Geschwätz, schlimmstenfalls eine bewusste Irreführung. Der Cloud Act gilt unabhängig vom Server-Standort. Die Verfügungsgewalt über die Daten ist entscheidend, nicht deren physischer Speicherort.

Für öffentliche Verwaltungen, Schulen, Universitäten, Krankenhäuser und kritische Infrastrukturen bedeutet dies faktisch: Der Einsatz von Microsoft 365 und vergleichbaren Cloud-Diensten verstößt gegen die Grundprinzipien der DSGVO und ist mit digitaler Souveränität unvereinbar. Wer sensible Bürgerdaten, Patientenakten oder Schülerdaten in solchen Systemen verarbeitet, setzt sie dem potentiellen Zugriff ausländischer Geheimdienste aus – ohne Wissen und ohne Einwilligung der Betroffenen.

Das ist keine Verschwörungstheorie. Das ist geltendes US-Recht, bestätigt durch ein wissenschaftliches Gutachten im Auftrag der Bundesregierung.

Das beschämende Versagen der Aufsichtsbehörden

Und was tun die deutschen Datenschutzbehörden? Sie lavieren, sie zögern, sie formulieren „Handreichungen". Die Landesbeauftragten für Datenschutz haben längst erkannt, dass die Standard-Auftragsverarbeitungsvereinbarungen von Microsoft nicht den Anforderungen der DSGVO entsprechen. Sie haben eine Handreichung veröffentlicht, die Verantwortlichen helfen soll, bei Microsoft „datenschutzgerechte vertragliche Änderungen" zu erwirken.

Das ist, als würde man Verkehrsopfern empfehlen, beim Unfallverursacher um Entschuldigung zu bitten. Es ist kapitulatorische Bürokratie, die das eigentliche Problem nicht benennen will: Der Einsatz von Microsoft 365 ist datenschutzrechtlich nicht zu heilen, solange der Cloud Act gilt. Die Datenschutzkonferenz stellte bereits im November 2022 fest, dass ein datenschutzkonformer Einsatz nicht nachgewiesen werden kann. Doch statt klarer Verbote folgen Arbeitsgruppen, Berichte und weitere Verhandlungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) agiert kaum besser. Es gibt technische Empfehlungen zur Deaktivierung von Telemetriedaten, die bestenfalls Symptome behandeln. Die grundsätzliche Problematik wird nicht angesprochen. Man optimiert die Fesseln, statt sie zu sprengen. Das BSI müsste eigentlich die Alarmglocken läuten und einen verbindlichen Ausstiegsplan für die öffentliche Verwaltung vorlegen. Stattdessen gibt es Optimierungsvorschläge für ein System, das strukturell unsicher ist.

Eine rühmliche Ausnahme: Baden-Württemberg

Es gibt Ausnahmen, die zeigen, dass es auch anders geht. Der Landesbeauftragte für Datenschutz Baden-Württemberg führte einen mehrmonatigen Praxistest durch und kam zu einem eindeutigen Ergebnis: Die datenschutzkonforme Konfiguration von Microsoft 365 für den schulischen Einsatz ist nicht möglich. Die Versuche scheiterten systematisch. Telemetriedaten fließen kontinuierlich ab, Microsoft verarbeitet Daten für eigene Zwecke, die Rechtsgrundlagen bleiben unklar, die Verschlüsselung ist nicht Ende-zu-Ende, und Nutzungsordnungen ändern daran nichts.

Doch selbst diese klare Erkenntnis führte nicht zu flächendeckenden Konsequenzen. Stattdessen wird weiter mit Microsoft verhandelt. Seit Jahren. Mit minimalen Bewegungen auf Seiten Microsofts, die den Behörden ausreichen, um den Status quo zu rechtfertigen. Der datenschutzwidrige Zustand bleibt bestehen, die Abhängigkeit verfestigt sich.

Digitale Souveränität: Kein Lippenbekenntnis

Digitale Souveränität ist kein Marketing-Begriff. Sie bedeutet, dass europäisches Recht für europäische Daten gilt – vollständig, ausnahmslos, ohne Hintertüren für fremde Geheimdienste. Das aktuelle System erfüllt diese Anforderung nicht ansatzweise.

Das EU-US Data Privacy Framework, das nach dem gescheiterten Privacy Shield etabliert wurde, ist bereits der dritte Versuch, den transatlantischen Datenverkehr zu legitimieren. Safe Harbor und Privacy Shield wurden vom Europäischen Gerichtshof in den berühmten Schrems-Urteilen kassiert. Die Argumente gegen das aktuelle Framework sind identisch: US-Überwachungsgesetze bieten keinen angemessenen Schutz für EU-Bürger.

Max Schrems, der österreichische Datenschutzaktivist, hat bereits angekündigt, auch gegen das aktuelle Abkommen vorzugehen. Die Chancen stehen gut, dass auch dieser dritte Anlauf scheitern wird. Denn die rechtliche Grundlage hat sich nicht geändert: Cloud Act und FISA 702 gelten weiter, unverändert, mit denselben weitreichenden Zugriffsrechten.

Die Alternativen existieren längst

Die gute Nachricht: Europa hat funktionierende Alternativen. Cloud-Anbieter wie OVHcloud, Hetzner, Scaleway, IONOS, die Open Telekom Cloud, StackIT oder Exoscale betreiben ihre Infrastruktur vollständig in Europa und unterliegen ausschließlich europäischem Recht. Sie sind technisch ausgereift, DSGVO-konform und bieten vergleichbare Leistungen zu konkurrenzfähigen Preisen.

Das Projekt Gaia-X sollte eine föderierte europäische Cloud-Infrastruktur schaffen. Doch auch hier zeigte sich das Kernproblem europäischer IT-Politik: Durch die Beteiligung amerikanischer Konzerne wurde das Projekt verwässert und seiner ursprünglichen Intention beraubt. Echte digitale Souveränität entsteht nicht durch Kompromisse mit denen, vor deren Zugriffsrechten man sich eigentlich schützen will.

Die Open Telekom Cloud wird in Marktberichten als führende europäische Public Cloud genannt. OVHcloud, IONOS und Scaleway bieten eine souveräne und datenschutzorientierte Alternative zu den US-Hyperscalern. Eine Foundry-Studie zeigt: 25 Prozent der befragten Unternehmen setzen bereits auf souveräne Cloud-Lösungen – und 88 Prozent sind damit zufrieden.

Für Office-Anwendungen existieren ebenfalls ausgereifte Alternativen: OpenDesk, Nextcloud mit integrierter Office-Suite, LibreOffice und OnlyOffice. Für Betriebssysteme gibt es Linux-Distributionen, die nicht nur Open Source sind, sondern auch frei von den Telemetrie-Mechanismen proprietärer Systeme.

Die Technologie ist da. Die Anbieter sind da. Was fehlt, ist der politische Wille.

Die Kosten der Untätigkeit steigen täglich

Der Wechsel ist zweifellos aufwendig. Jahrzehntelang wurden Behörden, Schulen und Unternehmen systematisch in die Microsoft-Ökosysteme getrieben. Schulungen, etablierte Prozesse, gewachsene Schnittstellen – alles basiert auf dieser Infrastruktur. Die Migration erfordert Investitionen, Zeit und vor allem politischen Willen.

Genau dieser Wille fehlt. Statt die strategische Abhängigkeit aktiv zu reduzieren, wird sie verwaltet und perpetuiert. Man hofft auf bessere Verträge, auf Einsicht bei Microsoft, auf eine Lösung, die niemandem weh tut und keine unangenehmen Entscheidungen erfordert. Doch diese Lösung existiert nicht. Microsoft ist ein US-Unternehmen, dem US-amerikanischen Recht verpflichtet und muss diesem Folge leisten. Punkt.

Das Gutachten aus Köln macht eines kristallklar: Jeder Tag, an dem kritische Daten in Systemen verarbeitet werden, die dem Cloud Act unterliegen, ist ein Tag zu viel. Jede Behörde, jede Schule, jedes Krankenhaus, das weiterhin auf Microsoft 365 setzt, verstößt wissentlich gegen die Grundprinzipien der DSGVO. Die Wissenschaftlichen Dienste des Bundestags haben dies bereits detailliert aufgearbeitet.

Die Datenschutzbehörden müssen endlich ihrer Verantwortung gerecht werden. Nicht durch weitere Handreichungen und Arbeitsgruppen, sondern durch klare, durchsetzbare Verbote. Das BSI muss aufhören, Symptome zu behandeln, und die Ursache benennen: Die Nutzung von Cloud-Diensten unter US-Jurisdiktion ist mit digitaler Souveränität fundamental unvereinbar.

Der Moment der Wahrheit

Europa steht an einem Scheideweg. Entweder nehmen wir digitale Souveränität ernst – mit allen Konsequenzen, allen Investitionen, allen Unbequemlichkeiten – oder wir geben sie endgültig auf und akzeptieren, dass europäische Daten unter US-Kontrolle stehen. Ein Mittelweg, ein Kompromiss, eine „pragmatische Lösung" existiert nicht. Das Kölner Gutachten hat die Scheinheiligkeit der aktuellen Praxis juristisch sauber offengelegt.

Die Bundesregierung muss einen verbindlichen, zeitlich festgelegten Ausstiegsplan für US-Cloud-Dienste in der öffentlichen Verwaltung vorlegen. Die Datenschutzbehörden müssen ihre lähmende Zurückhaltung überwinden und regulatorisch durchgreifen. Das BSI muss europäische Alternativen nicht nur empfehlen, sondern aktiv fördern, zertifizieren und bei der Migration unterstützen.

Und wir als Gesellschaft müssen eine unbequeme Wahrheit akzeptieren: Bequemlichkeit hat ihren Preis. Der Preis für die fortgesetzte Nutzung von Microsoft 365, Windows 11 und anderen US-Cloud-Diensten ist unsere digitale Souveränität, die Kontrolle über unsere Daten, das Vertrauen unserer Bürger in den Datenschutz. Die Frage lautet nicht mehr ob, sondern wann wir bereit sind, diesen Preis als zu hoch anzuerkennen.

Das Gutachten aus Köln hat die Fakten geliefert. Es liegt nun an uns, die notwendigen Konsequenzen zu ziehen. Die Zeit der Ausreden ist vorbei.

Quellen und weiterführende Informationen:

• Heise Online: Gutachten zu US-Behördenzugriff auf europäische Cloud-Daten
• FragDenStaat: Rechtsgutachten US-Rechtslage Cloud-Zugriff (vollständiges Dokument)
• IT Magazine: Cloud-Standort Europa schützt nicht vor US-Zugriff
• Netzpolitik.org: Wie US-Geheimdienste Daten aus der EU abgreifen können
• LDI NRW: Handreichung zur Nutzung von Microsoft 365
• LDI NRW: Vollständige Handreichung als PDF
• Bundestag Wissenschaftliche Dienste: US-Herausgabepflichten für Cloud-Daten
• Dr. Datenschutz: Microsoft 365 und DSGVO-Konformität
• Stiftung Datenschutz: Datenschutz und Microsoft 365
• Cloud Computing Insider: Europäischer Datenschutz gegen US-Behörden
• Wire: Digitale Souveränität 2025 für europäische Unternehmen
• Open Telekom Cloud: Europäische Cloud-Alternativen zu US-Hyperscalern
• IT Business: Europäische Cloud-Souveränität ist möglich
• t3n: Umsteigen auf souveräne Cloud – Europas Anbieter im Technikcheck
• Informatik Aktuell: Europäische Alternativen zu Cloud-Diensten
• US Congress: CLOUD Act – Vollständiger Gesetzestext
• Cornell Law School: Stored Communications Act
• Cornell Law School: FISA Section 702
• EU-Kommission: EU-US Data Privacy Framework
• noyb: Schrems-Urteile und EU-US Datentransfers
• BSI: Telemetrie in Windows 10 – Technische Empfehlungen
• LfDI Baden-Württemberg: Datenschutz in der digitalen Welt
• Datenschutz-Schule: Empfehlung des LfDI BW zu Office 365

Siehe auch

• Executive Order 12333: Die unterschätzte Bedrohung digitaler Souveränität
• 15 Millionen Euro gespart: Schleswig-Holsteins Rechnung geht auf – und macht Microsoft überflüssig
• Logineo NRW und Amazon AWS: Zwischen technischer Analyse und digitaler Souveränität
• Digitale Souveränität: Nur mit Open Source
• Wenn Behördenbriefe an falsche Adressen gehen: Datenschutzpannen und ihre Folgen