Im Februar 2025 berichtete mein Kollege Nicolas über den Abschluss der EU Data Boundary. Ein Meilenstein Microsofts, welcher es europäischen Kunden ermöglicht, ihre Daten ausschließlich innerhalb der EU und EFTA zu speichern und zu verarbeiten. Ziel war es, den Anforderungen der DSGVO gerecht zu werden und die Kontrolle über sensible Informationen zu stärken. Doch trotz dieser Fortschritte blieb eine zentrale Frage offen: Wie wird die EU Data Boundary umgesetzt und sind europäische Daten wirklich vor dem Zugriff durch US-Behörden im Rahmen des Cloud Acts?

Der US CLOUD Act verpflichtet US-Unternehmen wie Microsoft, Daten auch dann herauszugeben, wenn sie in der EU gespeichert sind. Microsoft setzt sich in solchen Fällen zwar juristisch zur Wehr, doch ein Zugriff bleibt gesetzlich grundsätzlich möglich.

Neue Schutzmaßnahmen für europäische Kunden

Am 16. Juni 2025 stellte Microsoft-CEO Satya Nadella in Amsterdam neue Maßnahmen vor, um die anhaltenden Ungewissheiten auszuräumen. Im Zentrum steht die Einführung der Microsoft Sovereign Cloud, die europäischen Kunden mehr Kontrolle, Wahlfreiheit und digitale Resilienz bieten soll.

Die Lösung umfasst drei Modelle, die unterschiedliche Anforderungen an Souveränität und Kontrolle abdecken:

  • Sovereign Public Cloud: Diese Weiterentwicklung der Microsoft Cloud for Sovereignty wird in allen europäischen Rechenzentrumsregionen angeboten. Sie stellt sicher, dass Daten vollständig in Europa verarbeitet werden, unter europäischem Recht und mit Zugriff ausschließlich durch europäisches Personal. Die Verschlüsselung bleibt vollständig unter Kontrolle der Kunden, eine Migration ist nicht erforderlich.
  • Sovereign Private Cloud: Für besonders sensible Szenarien bietet Microsoft eine Lösung, bei der Dienste wie Microsoft 365 Local und Azure Local direkt in der eigenen Infrastruktur oder bei europäischen Partnern betrieben werden. Diese Variante eignet sich für Organisationen mit hohen Anforderungen an Ausfallsicherheit, Datenresidenz und operative Autonomie.
  • National Partner Cloud: Für stark regulierte Bereiche wie den öffentlichen Sektor oder kritische Infrastrukturen arbeitet Microsoft mit lokalen Partnern zusammen. In Deutschland übernimmt Delos Cloud, ein Tochterunternehmen von SAP, den Betrieb einer souveränen Cloud, die den Anforderungen der Bundesregierung entspricht.

Data Guardian & externe Verschlüsselung

Ergänzend zu den drei Cloud-Modellen führt Microsoft neue Funktionen ein, die den Schutz europäischer Daten weiter stärken sollen:

  • Data Guardian: Dieses Modell stellt sicher, dass der Fernzugriff auf Systeme ausschließlich durch Microsoft-Mitarbeitende mit Wohnsitz in Europa erfolgt. Sollte ein Zugriff durch Personal außerhalb Europas notwendig sein, muss dieser von europäischem Personal genehmigt und in einem manipulationssicheren Protokoll dokumentiert werden.
  • Externe Schlüsselverwaltung (External Key Management): Microsoft ermöglicht es Kunden, ihre Daten mit eigenen Hardware-Sicherheitsmodulen (HSM) zu verschlüsseln. Unterstützt werden dabei unter anderem Lösungen von Utimaco, Futurex und Thales. Die vollständige Kontrolle über die Verschlüsselungsschlüssel verbleibt beim Kunden. Somit hat selbst Microsoft hat keinen Zugriff auf die entschlüsselten Daten.
  • Vertragliche Zusicherungen gegen US-Zugriffe: Bereits zuvor hatte Microsoft-Vizepräsident Brad Smith angekündigt, dass sich das Unternehmen im Falle unrechtmäßiger Zugriffsversuche durch US-Behörden juristisch zur Wehr setzen werde. Diese Zusicherung wird nun auch explizit in Kundenverträge aufgenommen, um europäischen Unternehmen zusätzliche rechtliche Sicherheit zu bieten.

Meine Einschätzung

Microsoft bietet mit der Sovereign Cloud inzwischen einen technisch sehr sicheren Betrieb für europäische Daten, insbesondere durch Verschlüsselung, Zugriffskontrollen und europäische Infrastruktur. Rechtlich bleibt der US CLOUD Act jedoch ein juristisches Restrisiko, wenn auch meiner Meinung nach ein geringes. Gleichzeitig ist absehbar, dass auch deutsche Behörden künftig verstärkt auf Cloud-Daten zugreifen werden, etwa im Rahmen nationaler Sicherheitsgesetze. Für besonders sensible Daten bleibt daher eine sorgfältige Risikoabwägung weiterhin unerlässlich.

Quellen