Daten auf Servern in der EU zu speichern, bedeutet nicht, dass sensible Daten damit allein schon gegen den potenziellen Zugriff aus Drittstaaten gesichert sind. Unternehmen begeben sich damit in puncto DSGVO auf dünnes Eis – insbesondere, wenn es um Cloud-Anbieter aus den USA geht.

Microsoft etwa hatte schon im Juni 2025 vor dem französischen Senat einräumen müssen, dass die Souveränität europäischer Daten nicht gesichert werden könne, wie Forbes berichtete. Dabei ging es vor allem um den Zugriff von US-Behörden auf EU-Daten. Jetzt zeigt ein neuer Fall die Grenzen der regionalen Bereiche von Microsofts Cloud-Diensten noch einmal deutlich auf.

Einem Bericht von Computer Weekly zufolge sollen Daten der schottischen Polizei, die in der Cloud-Infrastruktur von Microsoft gespeichert wurden, aus über 100 Ländern abrufbar gewesen sein. Darunter sollen sich auch Länder wie China befinden, die von den britischen Behörden als „feindlich“ eingestuft werden.

Behörden drohen Schadenersatzforderungen

Damit verstößt die Polizei in Schottland gegen die eigenen Datenschutzbestimmungen, laut denen der Übertragung von Polizeidaten außerhalb des Vereinigten Königreichs enge Grenzen gesetzt sind. Das bedeutet, dass Menschen, die befürchten, dass ihre Daten unrechtmäßig ins Ausland gelangt sein könnten, Schadenersatzansprüche geltend machen könnten.

Einer entsprechenden Analyse des Sicherheitsberaters Owen Sayers nach sollen Microsoft-Mitarbeiter:innen oder Subunternehmer:innen aus 105 Staaten über 148 Auftragsfirmen theoretisch Zugriff auf die Daten haben können. Die Informationen dazu seien allerdings schwer zu finden. Sayers spricht davon, dass Microsoft sie „in aller Öffentlichkeit“ verstecke.

Die Behörden selbst dürften über das Ausmaß des möglichen Zugriffs auf Daten von außen nicht ausreichend informiert gewesen sein. Das Problem entstand übrigens dadurch, dass die betroffenen Behörden die Office-Suite Microsoft 365 einsetzten. Entsprechend sollen auch die britische Regierung und der öffentliche Sektor betroffen sein.

Freilich könnte das auch für andere europäische Behörden und Unternehmen, die etwa über die DSGVO an strikte Datenschutzregeln gebunden sind. Microsoft hat sich zu den konkreten Vorwürfen nicht geäußert. Gegenüber Computer Weekly hieß es lediglich, dass der Konzern sich „an alle Gesetze und Vorschriften, die für die Bereitstellung unserer Produkte und Dienstleistungen gelten“, halte.

IT-Experte: Microsoft könnte, will aber nicht

IT-Expert:innen meinen aber, dass es Microsoft durchaus möglich sei, die Daten mithilfe von Geofencing-Funktionen an bestimmten geografischen Standorten zu speichern und zu verarbeiten. „Es ist schlicht so, dass Microsoft das nicht tut“, beklagte etwa Bill McCluggage, ehemaliger Direktor für IT-Strategie und -Politik der britischen Regierung.

Das Problem: Die Behörden würden nicht über das Fachwissen verfügen, um Microsoft entsprechend herauszufordern. Anderenfalls ließe sich sicherstellen, dass der US-Konzern die notwendigen Strukturen bereitstellte.