DSGVO nicht weiter mit Microsoft Cloud-Diensten vereinbar?
Was haltet ihr von folgendem Schreiben an Datenschutzbehörden bzgl. der aktuellen Lage mit dem NL-Leak?
Leak:
https://nltimes.nl/2026/05/22/microsoft-accused-leaking-dutch-civil-servants-names-us-government
Schreiben:
Betreff: Aufsichtsrechtliche Dringlichkeitsmeldung – Nachweisliche DSGVO-Inkompatibilität von Microsoft Cloud-Diensten (Azure/M365) im Lichte des Datenabflusses in den Niederlanden (Mai 2026)
Sehr geehrte Damen und Herren,
als Senior IT-Consultant und Experte für Systeminfrastruktur und Datensicherheit wende ich mich heute mit einer dringlichen aufsichtsrechtlichen Meldung an Sie.
Der aktuelle und weitreichende Datenabfluss niederländischer Regierungsbeamter an den US-Senat durch die Microsoft Corporation (enthüllt im Mai 2026) liefert den endgültigen, empirischen Beweis: Eine datenschutzkonforme Nutzung von Microsoft Cloud-Diensten nach Maßgabe der europäischen Datenschutzgrundverordnung (DSGVO), insbesondere Art. 44 ff., ist technisch und juristisch unmöglich.
Ich fordere Sie auf, aus den nachfolgend dargelegten, hand- und stichfesten Fakten die notwendigen aufsichtsrechtlichen Konsequenzen zu ziehen und deutschen Unternehmen sowie Behörden die Speicherung personenbezogener Daten in US-dominierten Cloud-Infrastrukturen (insbesondere Microsoft) formell zu untersagen.
Die Unvereinbarkeit stützt sich auf drei analytisch nachweisbare Säulen:
- Juristischer Beweis: Der "Niederlande-Leak" als Präzedenzfall für die Ohnmacht der DSGVO
Im Mai 2026 wurde bekannt, dass Microsoft ungeschwärzte Kommunikationsdaten (inkl. Klarnamen und internen Besprechungsnotizen) von Beamten der niederländischen Datenschutzbehörde (AP) und der Wettbewerbsbehörde (ACM) an einen Ausschuss des US-Senats übermittelt hat.
Kein richterlicher Vorbehalt: Diese Herausgabe erfolgte nicht auf Basis eines strengen richterlichen Beschlusses zur Terrorismusbekämpfung, sondern durch rein politischen Druck (Jawboning) und Vorladungen (Subpoenas) seitens der US-Regierung.
Aushebelung des EU-Rechts: Microsoft leistete der US-Forderung Folge, unter direkter Umgehung europäischen Rechts. Standardvertragsklauseln (SCCs) oder das Data Privacy Framework (DPF) bieten offensichtlich keinen Schutz, wenn der US CLOUD Act oder der Patriot Act als extraterritoriales Druckmittel eingesetzt werden.
- Technischer Beweis: Die Ineffektivität von BYOK und das "Schlüssel-Dilemma"
Oft wird von Microsoft argumentiert, dass europäische Daten durch Verschlüsselungsverfahren wie Bring Your Own Key (BYOK) in Verbindung mit Hardware Security Modules (HSM) geschützt seien. Aus infrastruktureller Sicht ist dieses Argument eine technische Nebelkerze:
Bei der Nutzung von SaaS-Diensten wie Microsoft 365 (Exchange Online, SharePoint, Teams) müssen die Daten serverseitig verarbeitet, indiziert und gefiltert werden.
Dafür muss der durch die Behörde oder das Unternehmen bereitgestellte BYOK-Schlüssel zwingend im Arbeitsspeicher (RAM) der Microsoft-Server im Klartext vorliegen, um die Daten zu entschlüsseln.
Sobald die US-Regierung unter dem CLOUD Act Druck ausübt, hat Microsoft folglich den technischen Vollzugriff auf die unverschlüsselten Klardaten. Eine Ende-zu-Ende-Verschlüsselung nach dem Hold Your Own Key (HYOK)-Prinzip würde die Cloud-Dienste funktionsunfähig machen und wird in der Praxis nicht angewendet.
- Faktischer Beweis: Das Eingeständnis von Microsoft unter Eid
Die von Microsoft oft beworbene "EU Data Boundary", die verspricht, dass europäische Daten Europa nicht verlassen, ist ein rein physikalisches Konstrukt ohne rechtliche Schutzwirkung.
Diesen Umstand hat Microsoft selbst bestätigt: Im Juni 2025 sagte der Justiziar von Microsoft France vor dem französischen Senat unter Eid aus, dass Microsoft als US-Konzern nicht garantieren kann, dass europäische Cloud-Daten vor dem Zugriff durch US-Behörden geschützt sind. Microsoft bestätigte offiziell, dass US-Gesetze Vorrang vor den vertraglichen Zusicherungen gegenüber EU-Kunden haben.
Subsumtion und Forderung
Die Beweislage ist erdrückend und analytisch eindeutig:
Microsoft hat den technischen Zugriff auf die Klardaten (Versagen von BYOK).
Microsoft ist rechtlich den USA verpflichtet und hat unter Eid zugegeben, US-Recht Vorrang vor EU-Recht einzuräumen.
Der Fall der Niederlande beweist, dass diese Datenabflüsse nicht nur Theorie sind, sondern in der Praxis – sogar gegen hochrangige europäische Regierungsbeamte – politisch willkürlich exekutiert werden.
Schlussfolgerung: Jedes deutsche Unternehmen und jede Behörde, die personenbezogene Daten auf Microsoft-Infrastrukturen speichert, verliert die Souveränität über diese Daten. Es können keine wirksamen technischen oder organisatorischen Maßnahmen (TOMs) im Sinne des Schrems-II-Urteils des EuGH getroffen werden, um den Zugriff durch Drittstaaten zu verhindern.
Als Aufsichtsbehörde haben Sie die Pflicht, Rechtssicherheit zu schaffen. Der fortgesetzte Duldungszustand ist angesichts dieser Faktenlage nicht länger tragbar. Ich fordere Sie hiermit auf, die Nutzung solcher Dienste für die Verarbeitung personenbezogener Daten (Art. 9 und Art. 4 DSGVO) proaktiv zu untersagen und die konsequente Migration auf digital souveräne, quelloffene und lokal gehostete Infrastrukturen (wie Nextcloud, On-Premise-Lösungen in deutschen Rechenzentren unter deutscher Rechtsform) verbindlich anzuordnen.
Für fachliche Rückfragen zur technischen Architektur und den Verschlüsselungs-Defiziten in US-Clouds stehe ich Ihnen jederzeit gerne zur Verfügung.