Microsoft kann nicht garantieren, dass die in der EU-Cloud von Microsoft gespeicherten Daten davor geschützt sind, an die US-amerikanische Regierung herausgegeben werden zu müssen.
Viele US-amerikanische Anbieter, darunter auch AWS sowie Microsoft, haben in den letzten Wochen werbewirksam angekündigt, verstärkt in EU-Cloud-Lösungen investieren zu wollen. Hintergrund dafür ist offensichtlich, dass bei vielen europäischen Unternehmen derzeit Unsicherheit darüber besteht, ob die Cloud-Dienste US-amerikanischer Anbieter ausreichend vor unbefugtem Zugriff, u.a. auch durch die US-Regierung, geschützt sind. Seitens der Anbieter wird hierbei oft beworben, dass die in den Cloud-Diensten gespeicherten Daten zukünftig nur noch auf Servern mit Standort innerhalb der EU verarbeitet werden sollen.
Was dabei aber häufig „vergessen“ wird: Unternehmen wie Microsoft unterliegen den US-amerikanischen gesetzlichen Regelungen, insbesondere dem US-Cloud-Act sowie dem US-Patriot-Act. Diese erlauben es der US-Regierung u.a., auf die Daten der europäischen Unternehmen zuzugreifen, wenn diese in Cloud-Diensten US-amerikanischer Anbieter gespeichert werden. Dies gilt auch dann, wenn die Leistungen nicht in den USA, sondern der EU erbracht werden und keine US-amerikanischen Daten, sondern Daten europäischer Unternehmen, betroffen sind.
Der Chefjustiziar von Microsoft Frankreich, Anton Carniaux, hat in einer am 10.06.2025 durchgeführten Anhörung vor dem französischen Senat des Parlaments zugegeben, dass Microsoft nicht garantieren könne, dass Daten der Europäer vor der Weitergabe an die US-amerikanische Regierung geschützt sind. Zwar müssten die Anfragen der US-Regierung formal begründet sein, wenn die Anfrage der US-Regierung aber entsprechend formuliert sei, sei Microsoft „auf jeden Fall“ verpflichtet, die Daten zu übermitteln, so Carniaux.
Entgegen der europäischen Regelungen in der DSGVO ist eine Offenlegung von Auskunftsersuchen durch Microsoft gegenüber europäischen Kunden nicht garantiert. Microsoft könne nur darum bitten, die Kunden über das Auskunftsersuchen zu informieren. In Europa besteht hingegen eine gesetzliche Pflicht, die Kunden zu informieren.
Die Problematik betrifft indes nicht nur Microsoft, sondern auch andere namhafte US-amerikanische Anbieter. Unternehmen wie Privatpersonen sollten sich daher genau überlegen, welchem Anbieter sie ihre teils hoch sensiblen Daten anvertrauen möchten. Eine Lösung könnten z.B. selbst gehostete Cloud-Lösungen oder Cloud-Lösungen europäischer Anbieter sein.