Datenschutz & Sicherheit
Keine Garantien: Microsoft muss EU-Daten an USA übermitteln
Microsoft gibt keine Garantie, dass EU-Daten nie an die US-Regierung weitergegeben werden: Das sagte Anton Carniaux, Chefjustiziar von Microsoft France, bei einer Anhörung vor dem französischen Senat des Parlaments aus. Konkret ging es um Daten, die Microsoft von der Union des Groupements d’Achats Publics (UGAP) erhält, der zentralen Beschaffungsstelle des öffentlichen Sektors für Schulen, Rathäuser und kommunale Verwaltungen. Auf die Frage, ob der Konzern niemals deren Informationen an die US-Regierung ohne ausdrückliche Zustimmung der französischen Behörden übermitteln würde, antwortete Carniaux, dass er das unter Eid nicht garantieren könne.
Auskunftsersuchen muss formell korrekt sein
Allerdings fügte er hinzu, dass die Situation noch nie eingetreten sei. Carniaux führte aus, dass Microsoft Informationsanfragen der USA nur dann ablehnen könne, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen – die US-Regierung könne keine Anfragen stellen, die nicht genau definiert sind. Doch bei korrekten Anfragen müsse Microsoft auf jeden Fall seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.
Ob Cloud, KI oder M365: Kaum ein Unternehmen kommt heute ohne Software und Services aus den USA auf. Angesichts der politischen Verwerfungen seit Beginn der Präsidentschaft von Donald Trump fragen sich immer mehr IT-Verantwortliche: Wie kann ich Abhängigkeiten vermindern und die eigene IT souveräner, resilienter und damit zukunftssicherer aufstellen? Die Antworten gibt es beim IT Summit by heise 2025 am 11. und 12. November in München.
Offensichtlich geht die Bedeutung der Äußerungen von Carniaux in der Anhörung über den Rahmen der UGAP und Frankreich hinaus: In der gesamten EU herrscht Unsicherheit über den Einsatz von US-Cloud-Diensten – neben Microsoft ist insbesondere das Geschäft großer Hyperscaler wie Amazon AWS betroffen. Im Visier der Kritiker stehen der CLOUD Act und der Patriot Act, die der US-Regierung unter anderem Auskunftsersuche gegenüber Cloud-Anbietern ermöglichen. Befürchtet werden allerdings nicht nur Datenübermittlungen, sondern Maßnahmen bis zur Abschaltung von Cloud-Diensten in der EU.
Vertrauenswerbung und Open-Source-Konkurrenz
Hyperscaler wie Amazon bauen daher in Europa neue Tochtergesellschaften auf, die Unabhängigkeit gegenüber dem US-Mutterkonzern versprechen. Technisch sei eine Weitergabe von Daten gar nicht möglich, lautet das Versprechen von AWS. Microsoft will hingegen die Cloud-Infrastruktur direkt beim Kunden installieren, damit Dienste wie M365 vollständig unter dessen Kontrolle bleiben. Die Wartung der Systeme geschieht weiter durch Microsoft, allerdings durch hiesige Mitarbeiter. Wie erfolgreich diese Souveränitätsversprechen sind, ist aber fraglich: Anbieter wie Nextcloud erleben seit Jahresbeginn eine deutlich höhere Nachfrage.
Die öffentliche Anhörung von Carniaux findet sich hier als Transkription. Sie fand am 10. Juni statt.
Die Digitalisierung und der Einsatz von Cloud-Technologien stellen Unternehmen vor zentrale Fragen der Souveränität. Wie behalten sie die Kontrolle über Daten und Systeme, behalten dabei die Abhängigkeiten im Griff und erfüllen zudem regulatorische Anforderungen?
Dieser Workshop bietet einen kompakten Einstieg in das Thema Cloud-Souveränität, stellt unterschiedliche Cloud-Modelle vor und gibt einen Überblick über aktuelle Markttrends und Angebote. Die Chancen und Risiken von Multi-Cloud-Strategien werden praxisnah beleuchtet und die Teilnehmenden erarbeiten eine zukunftssichere IT-Strategie.
Anmeldung und Termine unter heise.de/s/nlrBA
(fo)