Gerade deutsche Rechenzentrumsbetreiber wissen aus erster Hand, welch hohen Stellenwert ihre Kunden der Integrität und Sicherheit ihrer Daten beimessen. Doch mittlerweile muss jedem klar sein, dass Sicherheit eine Illusion ist, solange europäische Unternehmen und öffentliche Stellen auf Clouddienste US-amerikanischer Anbieter setzen – und ja, das gilt auch dann, wenn Anbieter mit Rechenzentren in Europa werben.
Mit ungewöhnlicher Klarheit bestätigte Microsoft nun noch einmal, was viele nicht wahrhaben wollen: Es gibt keinen Schutz vor dem Zugriff US-amerikanischer Behörden auf in Europa gespeicherte Daten, wenn diese bei US-Unternehmen liegen. Der Chefjustiziar von Microsoft France, Anton Carniaux, musste es kürzlich in einer Anhörung vor dem französischen Senat einräumen: Eine Garantie, dass Daten europäischer Nutzer nicht an US-Behörden weitergegeben werden, gibt es nicht. Trotz DSGVO und technischer Maßnahmen kann Microsoft also laut eigener Aussage den Zugriff durch US-Institutionen nicht ausschließen, und dies explizit auch nicht bei Daten, die ausschließlich in der EU gespeichert sind.
Der Cloud Act verpflichtet US-Anbieter, bei einer entsprechenden Anordnung auch dann Daten herauszugeben, wenn dies gegen europäisches Datenschutzrecht verstoßen würde. Kunden erhalten darüber jedoch in vielen Fällen keine Information. Diese Situation zeigt deutlich: Europas juristische Kontrolle und Datenhoheit enden dort, wo US-Recht greift. Das ist bei jedem US-Anbieter der Fall, ganz gleich, wo die Server physisch stehen. Ich halte es deshalb für dringend erforderlich, den Fokus wieder auf europäische Lösungen zu richten. Denn nur europäische Rechenzentrumsbetreiber unterliegen ausschließlich dem europäischen Rechtsrahmen. Nur sie können gewährleisten, dass Daten der Wirtschaft, Forschung und öffentlichen Verwaltung nicht unter dem Einfluss und Zugriff fremder Rechtssysteme stehen.
Es gilt daher, die Debatte nicht länger um technische Fassaden zu führen, sondern klar zu benennen, wo echte digitale Souveränität beginnt: nämlich bei der Wahl der Infrastruktur. Wer personenbezogene und sensible Daten schützen will, muss auf europäische Anbieter setzen. Alles andere bleibt ein Kompromiss auf Kosten der Sicherheit und der Selbstbestimmung über unsere Daten.
