Microsoft will Daten von KI-Nutzern innerhalb der EU speichern und verarbeiten – echte Souveränität oder Cloud-Washing?

Der Druck auf US-amerikanische Hyperscaler und die Forderung nach Souveränität wird immer größer. Microsoft hat das zu neuen Zusagen zur Datenhoheit der EU veranlasst.

Bild: GettyImages / Credit: AlxeyPnferov

Regulierungsbehörden und die Politik schauen immer genauer hin, wie Nutzerdaten in verschiedenen Ländern behandelt werden. Microsoft verspricht, dass alle KI-Nutzerdaten, einschließlich der Interaktionen mit dem Copilot-Chatbot, ab spätestens Ende 2025 vollständig innerhalb der EU-Grenzen gespeichert und verarbeitet werden. Ist das wirklich Souveränität oder doch eher nur Cloud-Washing?

Microsoft hat seine Richtlinie, dass die von seinen KI-Diensten (auch Copilot) verarbeiteten Daten in der EU bleiben, auf alle Kundendaten ausgeweitet – egal ob sie gespeichert sind oder übertragen werden. „Es sei denn, ein Kunde wünscht etwas anderes.“

Microsoft hat mehrere Anpassungen mit Fokus auf Souveränität in seinem Souvereign-Cloud-Plattform-Portfolio vorgenommen. „Mit der Verarbeitung im Land werden Copilot-Interaktionen unter normalen Betriebsbedingungen in Rechenzentren innerhalb der Landesgrenzen verarbeitet, wodurch Kunden mehr Kontrolle über ihre Daten haben”, sagte Paul Lorimer, Corporate Vice President für Office 365 Enterprise und Cloud Engineering bei Microsoft.

Eine Neuerung betrifft die Sovereign Landing Zone (SLZ)-Foundation, ein Azure-Framework für eine vorkonfigurierte, konforme Cloud-Umgebung. Mit der aktualisierten SLZ können Organisationen Workloads in Umgebungen bereitstellen, die automatisch geografische und rechtliche Datengrenzen durchsetzen.

Der Vorstoß zur regionalen KI-Datenverarbeitung erfolgt vor dem Hintergrund zunehmend angespannter Beziehungen zwischen den US-Hyperscalern und den europäischen Regulierungsbehörden. Gesetzgeber, Unternehmenskunden und Organisationen des öffentlichen Sektors in der gesamten EU haben ihre wachsende Besorgnis über den möglichen Zugriff der US-Regierung auf europäische Daten im Rahmen von Gesetzen wie dem CLOUD Act zum Ausdruck gebracht.

Die EU setzt Microsoft, Amazon Web Services (AWS) und Google unter großen Druck, dafür zu sorgen, dass Daten in der Gerichtsbarkeit ihres Ursprungslandes bleiben.

„Derzeit sind die Bedenken hinsichtlich der digitalen Souveränität in Europa so groß wie nie zuvor“, sagte Thierry Carrez, General Manager der OpenInfra Foundation, gegenüber The Register. „Deshalb versuchen US-Hyperscaler wie Microsoft, eine Mischung aus technischen Lösungen und juristischen Konstruktionen zu finden, um ihre EU-Produkte vor möglichen Forderungen der US-Regierung (einschließlich, aber nicht beschränkt auf den CLOUD Act) zu schützen.“

Auch Google Cloud hat kürzlich sein Souveränitäts-Cloud-Portfolio erweitert und „Cloud Airgapped“-Optionen für Kunden mit strengen regulatorischen Anforderungen eingeführt. AWS hat unterdessen die Schaffung einer EU-spezifischen Cloud-Einheit angekündigt, die regionale Aktivitäten von der Aufsicht durch Nicht-EU-Länder isolieren soll.

In den USA ansässige Cloudprovider werben im europäischen Markt mit „Sovereign Clouds“ und EU-konformer Datensouveränität.

„Die jüngste Ankündigung von Microsoft zur souveränen Cloud zeigt, wie unscharf der Begriff Souveränität geworden ist“, kommentiert Mark Boost, CEO des britischen Cloud-Unternehmens Civo, den neuen Vorstoß Microsofts. „Die Einführung lokaler Verarbeitungsmöglichkeiten und neuer regionaler KI-Funktionen klingt zwar positiv, aber eigentlich geht es hier um die Speicherung von Daten und nicht um echte Souveränität.“

Boost forderte bereits früher Unternehmen – insbesondere in regulierten Branchen – auf, ihre Optionen in Betracht zu ziehen. "Die Verpflichtungen zur Stärkung des europäischen KI- und Cloud-Ökosystems können als positiv angesehen werden. Solange der CLOUD Act jedoch in Kraft bleibt, können sich Unternehmen und Regierungen nicht darauf verlassen, dass US-amerikanische Hyperscaler ihre Daten vollständig privat halten, unabhängig vom physischen Standort ihrer Infrastruktur. Solange dies nicht angegangen wird, können Hyperscaler keine echte Souveränität bieten, und Unternehmen, die danach schreien, müssen sich anderswo umsehen."

Unter Vorschriften wie CLOUD Act und FISA sind europäische Daten jedoch niemals vor den USA geschützt.

US-Provider wie Microsoft, AWS und Google präsentieren europäische Rechenzentren, DSGVO-Compliance und Marketing-Siegel als Belege für Datensouveränität. Spätestens vor Ausschüssen und unter Eid wird jedoch klar: Europäische Daten bleiben im Zugriff US-amerikanischer Behörden – unabhängig davon, wo sie gespeichert sind.

Project Bleu, oder auch nur Bleu, ist ein Gemeinschaftsprojekt von Capgemini und Orange und der Versuch, eine souveräne Cloudplattform zu schaffen, auf der unter anderem alle nationalen Gesundheitsdaten Frankreichs gesammelt werden. Capgemini und Orange werden offiziell als Eigentümer genannt. Microsoft wird lediglich als Technologiepartner aufgeführt, der eine isolierte Azure-Umgebung bereitstellen soll.

Anton Carniaux, Chefjustiziar von Microsoft Frankreich, wurde am 10. Juni 2025 vor einen Senatsausschuss zitiert und befragt: „Können Sie vor unserem Ausschuss unter Eid garantieren, dass die Daten französischer Bürger, die Microsoft über die Ugap (französische staatliche zentrale Einkaufsgesellschaft des öffentlichen Sektors) anvertraut wurden, niemals auf Anordnung der US-Regierung ohne die ausdrückliche Zustimmung der französischen Behörden weitergegeben werden?“

Seine Antwort war: „Nein, das kann ich nicht garantieren.“

Warum digitale Souveränität mit US-amerikanischen Partnern ein Märchen ist

AWS, Microsoft und Google verfolgen bewusst und systematisch eine Marketingstrategie, die Rechenzentrumsstandorte als souverän bewirbt. Für seine neuen Souvereign-Clouddienste lockt der Softwareriese mit Verbesserungen wie hoher Leistung oder schnellerer Verarbeitung von Anfragen: „Die Datenverarbeitung im Land kann auch die Leistung verbessern, indem sie die Latenz reduziert und ein noch reaktionsschnelleres Copilot-Erlebnis bietet.”

“Ihr Werben beschränkt sich dabei nicht auf die Vorteile bestimmter Serviceleistungen oder die technische Überlegenheit”, weiß Roland Stritt, CRO beim deutschen Hard- und Softwarehersteller FAST LTA, “vielmehr gleicht die Marketing-Rhetorik oft leeren Versprechen von Souveränität, die systematisch das fundamentale Problem kaschieren: Europäische Daten sind niemals vor dem Zugriff US-amerikanischer Behörden geschützt – unabhängig davon, wo sie physisch gespeichert werden. Und genau für diese Praxis des Verschleierns und Kaschierens gibt es einen passenden Begriff: Cloudwashing.”

Zwei Vorschriften, denen sich Microsoft genauso wie die anderen US-Anbieter beugen muss, sind der CLOD ACT und FISA Section 702. Der 2018 verabschiedete Clarifying Lawful Overseas Use of Data Act (CLOUD Act) stellt einen beispiellosen Bruch mit internationalen Rechtsnormen dar. Das Gesetz ermächtigt US-Strafverfolgungsbehörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind oder welche lokalen Gesetze deren Schutz vorsehen.

Noch problematischer ist Section 702 des Foreign Intelligence Surveillance Act (FISA 702), der ursprünglich zur Überwachung ausländischer Agenten konzipiert wurde, aber in der Praxis zur massenhaften Sammlung von Kommunikationsdaten aller Nicht-US-Bürger eingesetzt werden kann. Im Gegensatz zum CLOUD Act, der zumindest formell richterliche Anordnungen erfordert, können US-Behörden unter FISA 702 weitgehend im Verborgenen operieren.

Rechtliche Grauzone trotz Angemessenheitsbeschlusses

Seit Juli 2023 existiert mit dem EU-US Data Privacy Framework (DPF) ein Angemessenheitsbeschluss der Europäischen Kommission für die USA. Dieser ermöglicht es zertifizierten US-Unternehmen, personenbezogene Daten aus der EU zu empfangen, ohne zusätzliche Schutzmaßnahmen implementieren zu müssen. Microsoft, Amazon und Google sind allesamt unter dem DPF zertifiziert.

Nachdem sowohl das Safe-Harbor-Abkommen als auch das Privacy Shield durch Klagen vor dem Europäischen Gerichtshof gescheitert waren, ist DPF der (fragwürdige) dritte Versuch der EU-Kommission, einen rechtssicheren Rahmen für Datenübertragungen in die USA zu schaffen. Das strukturelle Problem, welches zum Scheitern der Vorgänger führte, wird dadurch jedoch nicht behoben: US-Unternehmen bleiben unverändert an den CLOUD Act und an FISA 702 gebunden.

Datensouveränität bedeutet die vollständige Kontrolle über eigene Daten – wo sie gespeichert werden, wer Zugriff hat und unter welchen rechtlichen Bedingungen sie verarbeitet werden. Durch die Nutzung von AWS, Azure oder Google Cloud verlieren deutsche Unternehmen jedoch nicht nur die Kontrolle über ihre Daten, sondern auch die Fähigkeit, diese zurückzugewinnen. Einmal in US-Cloud-Systemen gespeichert, unterliegen Daten permanent der US-Jurisdiktion.

Echte Souveränität gibt es nur mit europäischen Anbietern

Für deutsche Unternehmen gibt es nur eine Konsequenz: Echte DSGVO-Compliance und Datensouveränität sind nur mit europäischen Anbietern und Lösungen möglich, die ausschließlich der europäischen Rechtsprechung unterliegen.

Die deutsche Datensouveränität ist dabei nicht nur eine technische oder rechtliche Frage, sie ist auch eine Frage der strategischen Unabhängigkeit in einer zunehmend polarisierten Welt.

Stritt bringt es auf den Punkt: “Wer diese Souveränität an US-Konzerne abgibt, macht sich erpressbar und verliert die Kontrolle über das wertvollste Gut der Digitalwirtschaft: Daten.”

Image
Description
Roland Stritt, Chief Revenue Officer (CRO) bei FAST LTA

Dieser Artikel basiert auf einem Beitrag unserer Schwester-Website Computing.