US Cloud Act: Deine Daten sind nicht sicher

Ein Microsoft-Manager bestätigt vor dem französischen Senat: Keine Garantie, dass europäische Daten vor US-Behörden sicher sind. Das ist kein Skandal, aber ein Weckruf. Und er kommt zum richtigen Zeitpunkt.

Hinweis: Die zugrundeliegende Anhörung fand im Juni 2025 statt. Das Thema ist seitdem nicht kleiner geworden.

Im Juni 2025 saß Anton Carniaux, Head of Corporate, External & Legal Affairs bei Microsoft France, vor dem französischen Senat. Die Frage war direkt: Können Sie garantieren, dass Daten europäischer Nutzer niemals ohne deren ausdrückliche Zustimmung an US-Behörden weitergegeben werden?

Seine Antwort war genauso direkt: „Nein, das kann ich nicht garantieren.“

Und ja, er stand dabei unter Eid.

Was Microsoft bisher kommuniziert hatte, war stets eine Variante desselben Musters: Man wehre sich gegen entsprechende Anfragen, habe noch nie Daten herausgegeben, setze sich für die Interessen seiner Nutzer ein. Eine ausdrückliche Garantie, dass eine Weitergabe in keinem Fall möglich wäre, gab es dabei aber nie. Carniaux hat das nun vor dem Senat klar bestätigt.

Was der Cloud Act eigentlich bedeutet

Der Cloud Act ist ein US-Gesetz aus dem Jahr 2018. Er erlaubt US-Behörden, von amerikanischen Unternehmen Daten anzufordern – unabhängig davon, wo diese Daten physisch gespeichert sind. Also auch dann, wenn die Server in Frankfurt stehen und der Kunde ein deutsches Unternehmen ist.

Microsoft ist ein amerikanisches Unternehmen. Und damit gilt: Wenn die US-Regierung einen entsprechenden Beschluss erwirkt, muss Microsoft liefern. Ob sie wollen oder nicht.

Das Brisante an der Aussage von Carniaux ist nicht nur die Bestätigung an sich. Es ist der Zusatz: Eine solche Weitergabe könnte geschehen, ohne dass der betroffene Kunde überhaupt informiert wird.

Warum das jetzt wichtiger ist als früher

Man könnte sagen: Das wussten wir doch schon. Und formal stimmt das. Aber es gibt einen Unterschied zwischen einem theoretischen Risiko und einer eidesstattlichen Bestätigung durch einen hochrangigen Vertreter der Rechtsabteilung.

Und es gibt einen weiteren Unterschied: die aktuelle geopolitische Lage.

Eine US-Administration, die Zölle als außenpolitisches Druckmittel einsetzt und deren Verhältnis zu europäischen Institutionen bestenfalls als angespannt bezeichnet werden kann, ist nicht mehr die gleiche wie vor fünf Jahren. Das Risiko, dass der Cloud Act eines Tages nicht nur theoretisch angewendet wird, ist heute realer als es lange war.

Für Unternehmen, die Microsoft-Produkte nutzen – also Microsoft 365, Azure, Teams, Copilot – bedeutet das: Sie sollten wissen, worauf sie sich einlassen. Nicht um in Panik zu verfallen. Aber um eine informierte Entscheidung zu treffen.

Jetzt alles Amerikanische verteufeln? Bitte nicht.

Hier kommt meine klare Haltung dazu: Wer jetzt reflexartig fordert, alle US-Anbieter sofort abzuschalten, denkt nicht zu Ende.

Die leistungsfähigsten KI-Modelle kommen aus den USA. Die Modelle von OpenAI, Anthropic und Google sind keine Nischenprodukte, die man einfach ersetzen kann. Sie sind in Millionen von Workflows integriert, sie setzen den Standard, und sie sind für viele Anwendungsfälle schlicht unverzichtbar. Wer heute sagt „kein amerikanisches KI-Tool mehr“, der sagt damit auch: kein Wettbewerb mehr auf Augenhöhe.

Das wäre keine Souveränität. Das wäre Selbstausgrenzung.

Die richtige Frage ist nicht: Amerikanisch oder nicht? Die richtige Frage ist: Welche Daten gebe ich welchem Anbieter, und was passiert damit?

Was kluge Datenstrategie stattdessen bedeutet

Es geht um Differenzierung. Nicht jede Aufgabe erfordert das stärkste Modell. Nicht jeder Prozess muss über amerikanische Server laufen. Und nicht jedes Tool muss Zugang zu sensiblen Unternehmensdaten haben.

Ein paar konkrete Überlegungen, die wir bei KI Guides für sinnvoll halten:

Europäische Alternativen dort nutzen, wo sie gut genug sind

Für Automatisierungsworkflows gibt es mit n8n aus Berlin und Make.com, das ursprünglich aus Prag stammt und heute zu Celonis aus München gehört, zwei starke Optionen, die beide der DSGVO unterliegen. Für KI-Agenten-Infrastruktur gibt es mit Langdock, ebenfalls aus Berlin, eine europäische Plattform, die Datenschutz ernst nimmt. Für Bildgenerierung ist Flux, entwickelt im Schwarzwald, weltweit in der Spitzengruppe angekommen.

Mistral im Blick behalten

Das französische Sprachmodell ist heute noch nicht auf Augenhöhe mit den stärksten amerikanischen Modellen. Das ist eine ehrliche Einschätzung, keine Kritik. Aber Mistral hat echte Stärken: besonders bei europäischen Sprachen wie Deutsch, Französisch und Spanisch, und bei Anwendungsfällen, bei denen Datenschutz und europäische Rechtskonformität wichtiger sind als rohe Modellleistung.

Frontier-Modelle für das nutzen, wofür sie gut sind

Kreativarbeit, Recherche, Textentwürfe, Analyse, Coding-Unterstützung – all das kann über amerikanische Modelle laufen, solange keine sensiblen Unternehmensdaten im Prompt landen. Das ist kein Kompromiss. Das ist pragmatische Datenhygiene.

Bewusst entscheiden, was in welche Cloud fließt

Wer mit vertraulichen Kundendaten oder strategischen Informationen arbeitet, sollte prüfen, welche davon in Cloud-Dienste fließen. Dabei gilt: Daten, die bei europäischen Anbietern liegen, die der DSGVO unterliegen, sind grundsätzlich anders zu bewerten als Daten bei US-Anbietern unter dem Cloud Act.

Was bleibt

Die Aussage von Carniaux vor dem französischen Senat ist kein Anlass zur Hysterie. Aber sie ist ein guter Moment, um eine Frage zu stellen, die viele Unternehmen zu lange aufgeschoben haben: Wissen wir eigentlich, welche unserer Daten wo liegen – und was im Ernstfall damit passiert?

Digitale Souveränität ist kein Schalter, den man umlegt. Sie ist eine Haltung, die man in hundert kleinen Entscheidungen täglich lebt. Und der erste Schritt ist oft der einfachste: einfach mal genauer hinschauen.

Quelle: IT Magazine – Unter Eid: Microsoft kann Schutz vor Cloud Act nicht garantieren | Anhörung des französischen Senats, Juni 2025