Microsoft muß im Zweifel EU-Daten an USA übermitteln
Microsoft gibt keine Garantie, daß EU-Daten nie an die US-Regierung weitergegeben werden: Das sagte Anton Carniaux, Chefjustiziar von Microsoft France, bei einer Anhörung vor dem französischen Senat des Parlaments aus. Konkret ging es um Daten, die Microsoft von der Union des Groupements d'Achats Publics (UGAP) erhält, der zentralen Beschaffungsstelle des öffentlichen Sektors für Schulen, Rathäuser und kommunale Verwaltungen. Auf die Frage, ob der Konzern niemals deren Informationen an die US-Regierung ohne ausdrückliche Zustimmung der französischen Behörden übermitteln würde, antwortete Carniaux, daß er das unter Eid nicht garantieren könne.
Allerdings fügte er hinzu, daß die Situation noch nie eingetreten sei. Carniaux führte aus, daß Microsoft Informationsanfragen der USA nur dann ablehnen könne, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen – die US-Regierung könne keine Anfragen stellen, die nicht genau definiert sind. Doch bei korrekten Anfragen müsse Microsoft auf jeden Fall seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.
Offensichtlich geht die Bedeutung der Äußerungen von Carniaux in der Anhörung über den Rahmen der UGAP und Frankreich hinaus: in der gesamten EU herrscht Unsicherheit über den Einsatz von US-Cloud-Diensten – neben Microsoft ist insbesondere das Geschäft großer Hyperscaler wie Amazon AWS betroffen. Im Visier der Kritiker stehen der CLOUD Act und der Patriot Act, die der US-Regierung unter anderem Auskunftsersuche gegenüber Cloud-Anbietern ermöglichen. Befürchtet werden allerdings nicht nur Datenübermittlungen, sondern Maßnahmen bis zur Abschaltung von Cloud-Diensten in der EU.
Hyperscaler wie Amazon bauen daher in Europa neue Tochtergesellschaften auf, die Unabhängigkeit gegenüber dem US-Mutterkonzern versprechen. Technisch sei eine Weitergabe von Daten gar nicht möglich, lautet das Versprechen von AWS. Microsoft will hingegen die Cloud-Infrastruktur direkt beim Kunden installieren, damit Dienste wie M365 vollständig unter dessen Kontrolle bleiben. Die Wartung der Systeme geschieht weiter durch Microsoft, allerdings durch hiesige Mitarbeiter. Wie erfolgreich diese Souveränitätsversprechen sind, ist aber fraglich: Anbieter wie Nextcloud erleben seit Jahresbeginn eine deutlich höhere Nachfrage.
Die öffentliche Anhörung von Carniaux findet sich hier als Transkription. Sie fand am 10. Juni statt.