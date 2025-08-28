Mitte Juni wurde im französischen Senat eine unbequeme Wahrheit offenkundig, die schon seit längerem Thema in Fachkreisen ist. Anton Carniaux, Direktor für rechtliche und öffentliche Angelegenheiten bei Microsoft France, musste unter Eid eine simple, aber folgenreiche Frage beantworten: Kann Microsoft garantieren, dass die Daten französischer Bürger niemals ohne Zustimmung der französischen Behörden an die US-Regierung weitergegeben werden? Seine Antwort: „Non, je ne peux pas le garantir“ – Nein, ich kann das nicht garantieren.

Um die Tragweite dieser Aussage zu verstehen, müssen wir uns die rechtliche Konstruktion ansehen, auf der Millionen europäischer Unternehmen und Behörden ihre Datenspeicherung aufbauen: Wenn europäische Organisationen personenbezogene Daten bei US-Anbietern wie Microsoft speichern, greifen sie auf sogenannte Standardvertragsklauseln (Standard Contractual Clauses, SCC) zurück. Diese von der EU-Kommission entwickelten Musterverträge sollen garantieren, dass Daten auch außerhalb der EU nach europäischen Datenschutzstandards behandelt werden.

Microsoft und andere US-Konzerne haben zusätzlich Milliarden in europäische Rechenzentren investiert. Sie versprechen mit ihrer „EU Data Boundary“ Initiative, dass Daten europäischer Kunden physisch in der EU bleiben – gespeichert, verarbeitet, im Transit. Alles soll hier bleiben, alles soll sicher sein. Die Realität? Diese geografische Trennung ist rechtlich bedeutungslos.

Der CLOUD Act hebelt alles aus

Seit 2018 gilt in den USA der CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz verpflichtet US-Unternehmen, auf behördliche Anordnung Daten herauszugeben – unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind. Das Brisante: Microsoft hat dieses Gesetz damals aktiv unterstützt. Jetzt müssen sie und ihre Kunden mit den Konsequenzen leben.

Pierre Lagarde, technischer Direktor bei Microsoft, betonte während der Anhörung, dass seit Januar 2025 die Daten europäischer Kunden „unter vertraglicher Garantie“ die EU nicht verlassen. Aber was nützt die schönste technische Lösung, wenn das US-Recht sie aushebelt?

Besonders betroffen: Kritische Infrastrukturen

Die Anhörung drehte sich speziell um Daten der UGAP (Union des Groupements d’Achats Publics), der zentralen Beschaffungsstelle des französischen öffentlichen Sektors. Hier geht es um Gesundheitsdaten von Krankenhäusern, Verwaltungsdaten von Kommunen, Bildungsdaten von Schulen und Universitäten sowie sicherheitsrelevante Informationen öffentlicher Einrichtungen.

All dies sind Daten, bei denen Bürger oft keine Wahl haben, ob und wo sie gespeichert werden. Es handelt sich um Informationen, die unter höchstem Schutz stehen sollten. Und genau für diese sensiblen Daten musste Microsoft nun eingestehen: Die Sicherheit der Daten vor US-Zugriff kann nicht garantiert werden.

Das Problem der unsichtbaren Überwachung

Doch die Situation wird durch sogenannte „Gag Orders“ noch verschärft. Microsoft erhält jährlich zwischen 2.400 und 3.500 solcher Geheimhaltungsanordnungen von US-Behörden – ebenfalls unter Eid von Microsofts Corporate Vice President Tom Burt 2021 vor dem US-Kongress so bestätigt. Das bedeutet konkret: Wenn US-Behörden auf Daten europäischer Unternehmen oder Behörden zugreifen, erfahren diese möglicherweise nie davon. Microsoft ist gesetzlich verpflichtet zu schweigen.

Die betroffenen Organisationen können sich nicht wehren, keine Rechtsmittel einlegen, ihre Bürger nicht warnen – weil sie schlicht nicht wissen, dass ihre Daten abgeflossen sind. Carniaux behauptete, ein solcher Zugriff auf europäische Daten sei „noch nie vorgekommen“. Doch diese Aussage ist bestenfalls unvollständig: Wie kann er wissen, was unter Geheimhaltung steht? Microsofts eigene Transparenzberichte schließen klassifizierte Anfragen und National Security Letters explizit aus.

Der gebrochene Gesellschaftsvertrag

Was mich als Unternehmer und Mitglied der Bundesfachkommission KI besonders umtreibt: Hier wird ein digitaler Gesellschaftsvertrag gebrochen. Europäische Unternehmen haben sich auf Zusicherungen verlassen, Millionen in Digitalisierung investiert, Prozesse umgestellt – alles im Vertrauen darauf, dass die rechtlichen Garantien halten, was sie versprechen.

Noch im April 2025 hatte Microsoft-Präsident Brad Smith verkündet, man würde „notfalls die US-Regierung verklagen“, um europäische Kundendaten zu schützen. Die Realität, die sein französischer Kollege unter Eid einräumen musste: Im Ernstfall müssen Anordnungen sofort umgesetzt werden. Klagen kann man hinterher – wenn es zu spät ist.

Die Konsequenzen

Diese Offenbarung muss Konsequenzen haben. Als jemand, der seit über einem Jahrzehnt an europäischen KI- und Technologielösungen arbeitet, sehe ich drei zentrale Handlungsfelder:

Erstens: Ehrlichkeit in der Kommunikation! Schluss mit Verschleierungstaktiken. Wenn US-Anbieter keine Datensouveränität garantieren können, müssen sie das klar kommunizieren. Keine Marketingfloskeln mehr über „souveräne Clouds“, wenn die rechtliche Realität eine andere ist.

Zweitens: Konsequenzen für kritische Bereiche! Für besonders sensible Daten – Gesundheit, Verwaltung, Sicherheit – brauchen wir echte Alternativen. Einige europäische Leuchttürme zeigen, dass es technisch möglich ist. Aber wir brauchen deutlich mehr davon, und wir brauchen sie – nicht zuletzt mit Blick auf die Trump-Administration – schnell.

Drittens: Politische Weichenstellungen! Der AI Act war ein Anfang. Aber wir brauchen klarere Regeln: Wer kritische Infrastrukturen betreibt oder öffentliche Aufträge annimmt, muss echte Datensouveränität gewährleisten können. Punkt.

Der Weg nach vorn

Die Enthüllung vor dem französischen Senat zwingt uns, eine unbequeme Wahrheit anzuerkennen: Die digitale Souveränität Europas ist derzeit eine Illusion. Standardvertragsklauseln und lokale Rechenzentren sind juristische Beruhigungspillen, die im Ernstfall nicht wirken.

Das bedeutet nicht, dass wir uns technologisch abschotten sollten. Es bedeutet, dass wir endlich ehrlich über Risiken sprechen und echte Alternativen entwickeln müssen. Die 450 Millionen EU-Bürger verdienen digitale Dienste, die nicht nur technisch mit US-Anbietern mithalten können, sondern auch rechtlich halten, was sie versprechen.

Microsofts Eingeständnis war überfällig. Die Frage ist: Ziehen wir daraus die richtigen Konsequenzen? Oder machen wir weiter wie bisher und hoffen, dass der Ernstfall nie eintritt?

Für mich ist die Antwort klar: Europa muss seine digitale Zukunft selbst in die Hand nehmen. Nicht aus Protektionismus, sondern aus Verantwortung gegenüber seinen Bürgern. Die Alternative ist nicht nur digitale Abhängigkeit auf unbestimmte Zeit, sondern auch der Verlust der Kontrolle über unsere sensibelsten Daten – von persönlichen Gesundheitsinformationen bis hin zu Betriebsgeheimnissen und technischen Innovationen.

Bernd Korz beschäftigt sich als Gründer und CEO von alugha seit mehr als einem Jahrzehnt intensiv mit KI-basierten Technologien. Er ist gefragter Experte in Sachen Künstlicher Intelligenz, Mehrsprachigkeit, Audio- und Videoinhalten. Seine pointierte und klare Haltung bringt er auch in die Bundesfachkommission KI des Wirtschaftsrats Deutschland ein. Und er freut sich jederzeit über eine rege Diskussion zu seinen Kolumnen bei Linkedin.

