Ein Microsoft-Manager räumte unter Eid ein: Auch Daten in europäischen Rechenzentren sind nicht vor US-Zugriff sicher. Die Anhörung im französischen Senat wirft Grundsatzfragen zur behördlichen Beschaffung von IT und Digitalen Souveränität in Europa auf.
US-Cloud-Dienste unterliegen dem amerikanischen Recht – selbst wenn sie Daten ausschließlich in Europa speichern. Dies zog nun eine Untersuchung durch den französischen Senat nach sich.
Im März 2025 hat der französische Senat die „Enquete-Kommission zu öffentlicher Beschaffung und digitaler Souveränität“ eingesetzt, um den Einfluss öffentlicher IT-Beschaffung auf die Digitale Souveränität Europas zu untersuchen. Auslöser war die Vergabe eines Hostingauftrags sensibler Gesundheitsdaten an den US-Konzern Microsoft im Jahr 2019 – ein Schritt, der nun unter politischer und juristischer Prüfung stand.
Microsoft räumt Zugriffsmöglichkeiten durch US-Behörden ein
In der öffentlichen Anhörung am 10. Juni 2025 musste sich Microsoft France den Fragen der Kommission stellen. Dabei sorgte vor allem die Aussage des Microsoft-Vertreters Anton Carniaux, General Manager und Leiter für externe und rechtliche Unternehmensangelegenheiten, für Unruhe. Er sagte unter Eid aus, er könne nicht garantieren, dass französische Daten – selbst wenn sie ausschließlich in europäischen Rechenzentren gespeichert seien – nicht Gegenstand von Anfragen US-amerikanischer Behörden werden könnten.
Die Aussage fiel im Zusammenhang mit Fragen nach der Wirksamkeit technischer und juristischer Schutzmaßnahmen wie Verschlüsselung und lokaler Speicherung. In Frankreich ist das Thema Digitale Souveränität ebenso wie in Deutschland brandaktuell. Unter dem Begriff „Cloud de Confiance“ werden Cloud-Anbieter gesammelt, die zertifizierte Dienste für französische Behörden und kritische Infrastrukturen bereitstellen. Zwar betonte Carniaux, dass Microsoft sich bemühe, Zugriffsersuche durch US-Behörden rechtlich anzufechten, am Ende stehe man jedoch unter dem Geltungsbereich des US-Rechts. Damit gemeint ist vor allem der US Cloud Act. Dieser wurde 2018 verabschiedet und ermöglicht es US-Behörden, zum Beispiel im Sinne der Strafverfolgung, auf Daten zuzugreifen, die von US-Unternehmen gespeichert oder verarbeitet werden. Das Gesetz gilt, unabhängig davon, wo auf der Welt diese Daten physisch abliegen. In der Kritik steht hierbei, dass der Cloud Act lokale Datenschutzgesetze der EU untergraben will.
Wieso wurde die Untersuchungskommission gegründet?
Die an die USA weitergegebenen Gesundheitsdaten, die der Auslöser für die Untersuchungen der Kommission waren, stammten aus der französischen nationalen Gesundheitsdatenplattform, der „Plateforme des Données de Santé (PDS)“, auch bekannt als Health Data Hub (HDH). Das Ziel der Plattform war es, einen sicheren und einheitlichen Zugang zu Gesundheitsdaten für Forschung und Innovation zu ermöglichen. Der Hub wurde von Beginn an in der Public Cloud von Microsoft gehostet. Die Entscheidung, beim Hosting des Projekts auf Azure zu setzen, traf beim französischen Senat auf Kritik. Die daraus entstandene Kommission sollte prüfen, inwiefern die Kosten, die an den US-Hyperscaler bezahlt wurden, gerechtfertigt waren, und ob eine ausreichende öffentliche Ausschreibung erfolgte. Denn das Projekt wurde ausschließlich an Microsoft Azure vergeben. Die damalige Gesundheitsministerin Agnès Buzyn erklärte sich damit, dass es keine europäischen Alternativen gegeben habe.
Microsoft zwischen Datensicherheit und US-Recht
Dany Wattebled, Berichterstatter der Untersuchungskommission, sprach Carniaux auf einen konkreten Vorfall an, der sich im Februar 2025 ereignet haben soll. Damals wurde international berichtet, dass Microsoft den Zugriff des Internationalen Strafgerichtshofs in Den Haag (IStGH) auf bestimmte Cloud-E-Mail-Dienste vorübergehend eingeschränkt oder unterbrochen habe. Auslöser waren Sanktionen der USA gegen den Chefankläger des IStGH, nachdem dieser mutmaßliche Kriegsverbrechen durch US-Verbündete untersucht hatte. Internationalen Medienberichten zufolge habe Microsoft infolgedessen Maßnahmen ergriffen,um den Zugriff auf die betroffene E-Mail-Infrastruktur einzuschränken – und dies, obwohl sich diese Infrastruktur auf europäischem Boden befindet und nach Auffassung vieler EU-Juristen eigentlich durch europäisches Datenschutzrecht vor Zugriffen durch Drittstaaten geschützt sein sollte.
Wattebled argumentierte, dass Microsoft mit dieser Handlung den IStGH als internationale Institution mit Sitz in Europa gelähmt habe. Carniaux widerspricht. Microsoft habe den Zugang zur E-Mail-Infrastruktur des Strafgerichtshofs niemals blockiert, sondern habe von Anfang an im Dialog mit dem IStGH gestanden.
Schlussfolgerungen der Untersuchungskommission
Nach 51 Anhörungen, drei Reisen innerhalb Frankreichs und ins Ausland, an denen Ministerien, IT-Experten, Anwälte, Ökonomen, öffentliche Auftraggeber und Vertreter des Gesundheitssektors beteiligt waren, kam die Untersuchungskommission am 9. Juli 2025 zu einem Fazit.
Die Untersuchungskommission stellte fest, dass die öffentliche Beschaffung, die jährlich 400 Milliarden Euro ausmacht, unter mangelnder politischer Führung leide. Die Beteiligten betonten außerdem die Defizite der französischen Regierung hinsichtlich des Schutzes online gespeicherter öffentlicher Daten sowie der Umsetzung von Bestimmungen zur Förderung einer verantwortungsvollen öffentlicher Beschaffung. Auch die teils übermäßig hohen Auflagen für öffentliche Auftraggeber wurden kritisiert.
Die öffentliche Beschaffung von IT und IT-Services müsse ein Instrument zur „Förderung der französischen und europäischen wirtschaftlichen, landwirtschaftlichen, industriellen und Digitalen Souveränität“ sein. Daher formulierte die Untersuchungskommission insgesamt 67 Empfehlungen für die Regierung, um dieses Ziel zu erreichen. Konkret schlägt sie die Einführung eines europäischen Präferenzprinzips und die weitere Umsetzung des europäischen „Small Business Act“ (SBA) vor. Dabei handelt es sich um ein europäisches Konzept, welches bereits 2008 von der EU-Kommission eingeführt wurde. Sein Ziel ist es, kleine und mittlere Unternehmen (KMU) systematisch zu fördern, insbesondere im Hinblick auf
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zugang zu öffentlichen Ausschreibungen,
Innovationsförderung,
faire Wettbewerbsbedingungen und
und Bürokratieabbau.
Zwar wurde des SBA in Frankreich bereits teilweise umgesetzt, aus Sicht des Senats jedoch unzureichend. Er fordert, bei der Beschaffung mehr auf europäische Anbieter und ihre technologisch wettbewerbsfähigen Lösungen, die oftmals sogar besser europäische Datenschutzstandards angepasst sind, zu achten.
Was bedeutet die Untersuchung für Deutschland?
Auch für Deutschland haben die Ergebnisse der französischen Untersuchung eine hohe Relevanz. Insbesondere in Bezug auf Cloud-Strategien im öffentlichen Sektor, die Beschaffungspraxis für sicherheitskritische IT und den Stellenwert europäischer Anbieter und KMU im Vergabeprozess. Da Deutschland vor denselben Herausforderungen hinsichtlich seiner Digitalen Souveränität steht wie Frankreich, könnten die Schlussfolgerungen der Untersuchungskommission eine Signalwirkung hierzulande haben. So könnten – und sollten – verbindliche Vergabekriterien wie DSGVO-Konformität, EU-Datenlokalisierung und Zertifizierungen, Souveränitätsklauseln in Ausschreibungen und ein gezielter Marktzugang für europäische Provider folgen.
Auch in Deutschland ist der SBA nicht gesetzlich verpflichtend, sondern gilt als Orientierungsrahmen, um KMU bei der Vergabe von öffentlichen Aufträgen angemessen zu beteiligen. Oftmals sieht die Realität jedoch anders aus und Projekte werden an Hyperscaler vergeben, was bereits zu viel Kritik führte, wie beispielsweise zuletzt im Falle der Zusammenarbeit des BSI und Google. Somit zeigt die französische Untersuchung, dass Digitale Souveränität nicht nur eine technische, sondern vor allem eine strategische und politische Entscheidung ist – und sie sendet damit ein deutliches Signal auch nach Deutschland: Wer Kontrolle über Daten behalten will, muss Beschaffung neu denken.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/2b/d9/2bd9722b3e4e44a20a193b8bddcc5cfa/0129148723v1.jpeg "Genau die Nachricht, die Angst schürt: Amazon entlässt Mitarbeiter und automatisiert vieles mit KI. (Bild: © S.JR Stocker - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/37/2737f8902c2221e4fcd30eb390df45f5/0129136870v2.jpeg "Der Datenschutz in Europa wird derzeit von einer Vielzahl von Faktoren beeinflusst. Dazu zählen rasante Entwicklungen im Bereich der Künstlichen Intelligenz, zunehmende Cyberbedrohungen sowie neue nationale und internationale gesetzliche Rahmenbedingungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/df/44/df441c26901f6171b5fac6baf7add441/0129107400v2.jpeg "Die Initiatoren des „German Digital Commerce Operation Model“von Stackit, Empiriecom und Adesso: (v. l.) Samuel Boger, Quan Mach, Nico Kollmar, Udo Bischof, Ralf Männlein, Bernd Wagner, Oliver Schobert (Bild: Stackit, Empiriecom & Adesso)")
:quality(80)/p7i.vogel.de/wcms/0a/fc/0afc6036f91d235a93a0527f9339f81f/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fe/6e/fe6e0f99b50670d6972a1236a3009602/0128950755v2.jpeg "Microsofts Agentic Workspace umfasst separate, abgeschlossene Windows-Sitzungen für KI-Agenten. Viele User empfindendie Entwicklung als unnötig und haben Sicherheitsbedenken. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/41/084122c6fc26b3269f951ead2c69e923/0128893676v1.jpeg "Bis jetzt war die Umsetzung des Digital Operational Resilience Act (Dora) für die Unternehmen noch bequem, sagt Autor Andreas Seibert. (Bild: © john - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/ab/2bab9bf9922e330aaca10908c33f2ba5/0128978843v2.jpeg "Ab Anfang 2027 gelten mit der neuen Maschinenverordnung (2023/1230/EU) der Europäischen Union (EU) für Fertigungsunternehmen verschärfte Anforderungen für den Schutz vor Cyberangriffen. (Bild: © Pisit - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/61900/61906/65.jpg "HDIT_LOGO RZ_130920_F_RGB.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/90/17/9017c16d2e139fa5e6b3c8396114a516/0127730418v1.jpeg "Wo ein Wille, da ein Weg. Echte digitale Souveränität gelingt laut Bernd Korz nur mit europäischen Clouds: Der US Cloud Act entlarvt „Sovereign“-Versprechen der Hyperscaler, der EU Data Act ändert daran wenig. Die Praxis zeigt: Mit den richtigen Anbietern sind DSGVO-Compliance, Performance und Kostensicherheit heute schon erreichbar. (Bild: © Andrei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/00/0e0017687072ff3c531ca175a3ba7fb7/0127074309v2.jpeg "Thierry Bonnin, Senior Vice President bei Alcatel-Lucent Enterprise und Olivier Dellenbach, CEO von ChapsVision, sprechen im Interview mit der IT-BUSINESS über die neue gemeinsame Kooperation
und deren Herausforderungen. (Bild: Alcatel-Lucent Enterprise und ChapsVision, bearbeitet mit Canva)")