Digitale Souveränität ist in Europa mehr Wunsch als Wirklichkeit – vor allem, wenn es um sensible Daten in der Cloud geht. Microsoft will mit der Sovereign Cloud nun Vertrauen schaffen und verspricht mehr Kontrolle, Datenschutz und Transparenz. Doch bei der Frage nach möglichem US-Zugriff auf europäische Daten zeigt sich schnell: Ganz souverän ist die Sache nicht.
Was ist Microsoft Sovereign Cloud?
Mit einem umfassenden Update baut Microsoft seine souveräne Cloud-Plattform für Europa deutlich aus. Im Zentrum stehen drei neue Angebote:
- Die Sovereign Public Cloud, die künftig strengere Zugriffskontrollen und mehr Transparenz bieten soll,
- und die komplett neue Sovereign Private Cloud, mit der Unternehmen und Behörden ihre Datenverarbeitung unter vollständiger Kontrolle an einem Ort ihrer Wahl betreiben können – ob in lokalen Rechenzentren, bei Partnern oder vollständig isoliert.
- Ergänzt wird das Angebot durch nationale Partner-Clouds, etwa in Kooperation mit der SAP-Tochter Delos Cloud in Deutschland.
Ziel des Konzerns ist es, Vertrauen zurückzugewinnen: Die Microsoft Sovereign Cloud soll europäischen Kunden mehr Wahlfreiheit, mehr Kontrolle und stärkere Ausfallsicherheit bieten – insbesondere im Hinblick auf Datenschutz und regulatorische Anforderungen.
Die Sovereign Cloud ist Microsofts Antwort auf wachsenden politischen und gesellschaftlichen Druck. Angesichts anhaltender Bedenken rund um Datenschutz, transatlantische Datenübermittlungen und die Kontrolle über kritische IT-Infrastrukturen sucht Europa nach Wegen, digital unabhängiger zu werden. Microsoft versucht, dem mit einer Reihe technischer und organisatorischer Maßnahmen zu begegnen – allerdings innerhalb der Grenzen der bestehenden globalen Cloud-Architektur. Damit geht der Konzern einen anderen Weg als etwa Amazon, das in Brandenburg eine komplett neue, isolierte Cloud für sensible Kunden aufbaut.
Souveränität nur bis zur US-Grenze?
Doch das Versprechen der digitalen Souveränität hat Grenzen. Zwar betont Microsoft, dass Daten ausschließlich in Europa verarbeitet und gespeichert werden, doch US-Gesetze wie der CLOUD Act bleiben ein ungelöstes Problem. Auch wenn Zugriffe künftig nur noch durch europäische Mitarbeitende erfolgen sollen – ganz ausschließen lässt sich ein Zugriff aus den USA nicht.
Trotz aller Beteuerungen zur digitalen Souveränität kann Microsoft keine Garantie geben, dass Daten europäischer Kunden niemals bei US-Behörden landen. Das bestätigte Anton Carniaux, Chefjustiziar von Microsoft Frankreich, bei einer Anhörung im französischen Senat am 10. Juli 2025. Anlass war eine Anfrage zur Zusammenarbeit mit der zentralen Beschaffungsstelle des öffentlichen Sektors, UGAP – verantwortlich für sensible Daten von Schulen, Kommunen und Verwaltungen.
Auf die direkte Frage, ob Microsoft solche Informationen ohne ausdrückliche Zustimmung französischer Behörden weitergeben würde, konnte Carniaux unter Eid keine klare Absage erteilen. Der Grund liegt auf der Hand: Solange der US-amerikanische CLOUD Act gilt, sind US-Unternehmen verpflichtet, bei rechtlich einwandfreien Anfragen Daten an die amerikanische Regierung zu übermitteln – selbst wenn diese Daten physisch in Europa liegen.
Microsoft betonte zwar, solche Anfragen streng zu prüfen und Kunden möglichst zu informieren. Doch auch das ist an Bedingungen geknüpft: Die Benachrichtigung bedarf der Zustimmung der US-Behörden.
Problem: US-Anbieter und Europas Datenschutz
Die Kontrolle liegt also nicht bei den Kunden – sondern beim US-Recht. Diese Aussage hat Sprengkraft über Frankreich hinaus. Sie wirft die schon alten Fragen zur Nutzung von US-Cloud-Diensten in der gesamten EU erneut auf. Denn nicht nur Microsoft, sondern auch andere Hyperscaler wie Amazon und Google stehen unter dem Einfluss amerikanischer Gesetze, die europäische Datenschutzstandards faktisch aushebeln können.
Während Amazon versucht, mit rechtlich isolierten Tochterfirmen Vertrauen zurückzugewinnen, setzt Microsoft auf lokal installierte Systeme – aber weiterhin mit eigener Wartung und Support, wenn auch durch Personal mit Wohnsitz in Europa. Ob das ausreicht, um Souveränität zu sichern, darf bezweifelt werden. Kein Wunder also, dass europäische Alternativen wie Nextcloud spürbaren Zulauf verzeichnen – besonders im öffentlichen Sektor, der zunehmend nach wirklich unabhängigen Lösungen sucht.
Ob Microsofts Ansatz ausreicht, um echte digitale Souveränität zu ermöglichen, bleibt offen. Die neuen Funktionen wirken durchdacht – etwa die Schlüsselverwaltung durch den Kunden selbst oder der sogenannte Data Guardian, der Datenzugriffe transparent und kontrollierbar machen soll. Doch am Ende bleibt entscheidend, wie viel Vertrauen europäische Kunden einem US-Unternehmen schenken, das weiterhin US-Recht unterliegt.
Fazit
Für Unternehmen und öffentliche Einrichtungen in Europa bedeutet Microsoft Sovereign Cloud vor allem: mehr Optionen – aber keine echte Unabhängigkeit. Zwar verspricht der Konzern technische Maßnahmen, mehr Transparenz und eine stärkere Kontrolle über Daten. Doch solange US-Gesetze wie der CLOUD Act gelten, bleibt ein strukturelles Risiko bestehen: Die letzte Instanz liegt nicht in Brüssel oder Berlin, sondern in Washington.
Wer auf US-Cloud-Dienste setzt, muss sich bewusst sein, dass Souveränität hier eine technische Annäherung, aber kein rechtsfester Zustand ist. Gerade für den öffentlichen Sektor, kritische Infrastrukturen und regulierte Branchen stellt sich daher die Frage, ob der eingeschlagene Weg ausreicht – oder ob echte digitale Unabhängigkeit nicht doch europäische Alternativen erfordert.
Vertrauen allein reicht nicht. Es braucht Lösungen, die auch rechtlich den europäischen Anforderungen standhalten.
