[English]Da hat Microsoft einen riesigen Luftballon in Bezug auf europäische Cloud-Angebote aufgeblasen. Rechenzentren in Europa, eine "europäische Microsoft-Cloud" für digitale Souveränität. Und dann musste ein Microsoft Manager unter Eid eingestehen, dass dies nicht vor dem Zugriff der US-Behörden schützt.
Seit US-Präsident Trump die Welt aufmischt, sehen sich auch große Cloud-Anbieter wie Microsoft stürmischem Fahrwasser ausgesetzt. In Europa ist seit einigen Monaten eine Diskussion über die digitale Souveränität entbrannt. Speziell Behörden müssen einen Exit von Microsoft 365 und der Azure-Cloud andenken bzw. wollen diesen sogar umsetzen. Ich hatte beispielsweise im Beitrag Digitale Souveränität: EU-Cloud; Microsoft Exit in dänischem Digitalministerium; wahre Kosten von Windows 11 darüber berichtet. Die digitale Abhängigkeit von Microsoft soll reduziert werden.
Getriggert wurde diese Entwicklung in Europa auch durch die schon lange schwelende Diskussion um Datenschutz und Datensicherheit. Das EU-US-Abkommen Transatlantic Data Transfer Privacy Agreement, von Ex-US-Präsident Biden per Erlass aufgestellt, steht ja unter Präsident Donald Trump unter Beschuss und könnte durch den EuGH fallen. Dann wäre der Datentransfer in die US-Cloud durch EU-Organisationen und -Firmen unzulässig.
Schalmeien-Klänge zur EU-Cloud
Mitte Juni 2025 hatte ich dann im Beitrag Microsofts "souveräne" Cloud angekündigt – "weiße Salbe"? über die von Microsoft propagierte souveräne Microsoft Sovereign Cloud berichtet. Dazu hatte Microsoft nachfolgendes schöne Bildchen veröffentlicht.
Es soll eine Sovereign Public Cloud und eine Sovereign Private Cloud, sowie nationale Souveign Clouds (z.B. Delos von der SAP-Tochter) geben. Europäischen Kunden werden Unternehmensdienste wie Microsoft Azure, Microsoft 365, Microsoft Security und Power Platform, gehostet in allen bestehenden europäischen Rechenzentrumsregionen angeboten.
Die Sovereign Public Cloud stellt laut Microsoft sicher, dass die Daten der Kunden in Europa bleiben, dem europäischen Recht unterliegen, der Betrieb und der Zugriff durch europäisches Personal kontrolliert werden und die Verschlüsselung unter der vollen Kontrolle der Kunden steht.
Microsoft kann US-Zugriff nicht verhindern
Wer nüchtern auf die Rechtslage schaut, dem muss klar sein, dass Daten, die irgendwie von US-Firmen verarbeitet werden, im Zweifelsfall durch den US Cloud-Act (Clarifying Lawful Overseas Use of Data Act) im Zugriff der US-Behörden stehen. Spätestens wenn es hart auf hart kommt, müsste Microsoft die Daten herausgeben.
"Offenbarungseid" ist der veraltete Begriff für die Vermögensauskunft eines Schuldners, der vor der Zahlungsunfähigkeit steht und seine Schulden nicht begleichen kann. Genau diese Metapher kam mir bei nachfolgendem Vorgang in den Sinn.
Im französischen Senat wurde Anton Carniaux, Head of Corporate, External & Legal Affairs bei Microsoft France, am 10. Juni 2025 unter Eid zur Souveränen Microsoft Cloud befragt. Das Protokoll lässt sich unter Audition de MM. Anton Carniaux, directeur des affaires publiques et juridiques, et Pierre Lagarde, directeur technique du secteur public, de Microsoft France nachlesen.
Carniaux versucht erst einmal die tollen Microsoft-Leistungen darzustellen, um jedem Einzelnen die Mittel für die Digitale Transformation mittels Cloud-Computing mit der Azure-Plattform, künstliche Intelligenz (KI) mit Copilot, Cybersicherheit, IT-Hardware oder auch Tools für die Zusammenarbeit wie Office an die Hand zu geben. Alles sei auf die Bedürfnisse der Kunden zugeschnitten und entspreche den französischen regulatorischen Anforderungen.
Der Berichterstatter des französischen Senats, Dany Wattebled, wollte den Microsoft Mann aber nicht davon kommen lassen und hat konkret nachgehakt. Er verweist darauf, dass Microsoft dem US Cloud Act unterliegt, der den US-Behörden den Zugriff auf in Europa gespeicherte Daten ermöglicht. Wie könne Microsoft mit konkreten Beweisen garantieren, dass die Daten der französischen öffentlichen Verwaltungen, die über die Verträge der Union des groupements d'achats publics (Ugap) verwaltet werden, niemals an die US-Regierung weitergeleitet werden? Der Berichterstatter solle ausführen, welche genauen technischen und rechtlichen Mechanismen diesen Zugriff verhindern?
Und genau da musste Microsofts Anton Carniaux seinen "Offenbarungseid" leisten: Er versucht es zwar noch im Ungefähren, und führt aus, dass man sich aus rechtlicher Sicht gegenüber den Kunden, auch aus dem öffentlichen Sektor, vertraglich verpflichtet, sich den Forderungen der US-Regierung zu widersetzen, wenn sie unbegründet sind. Wenn sich dies als unmöglich erweist, antworte Microsoft in äußerst präzisen und begrenzten Fällen. Aber es wäre noch nie passiert, wie man den Transparenzberichten entnehmen könne.
Der Berichterstatter ließ Anton Carniaux so nicht davon kommen und fragte, ob er unter Eid vor dem Ausschuss versichern könne, dass die Daten französischer Bürger, die Microsoft über die Ugap anvertraut wurden, aufgrund einer Anordnung der US-Regierung niemals ohne die ausdrückliche Zustimmung der französischen Behörden weitergegeben werden?
Die Antwort von Anton Carniaux lautete "Nein, das kann ich nicht garantieren, aber auch hier gilt, dass dies noch nie vorgekommen ist." Damit sind wir genau wieder am Start bzw. bei dem, was kleine Lichter wie meine Wenigkeit, schon immer vertreten haben: Im Zweifelsfall wird Microsoft die Daten an die US-Regierung herausgeben müssen, egal, wo diese Daten liegen. Und die US-Regierung kann Microsoft zu Stillschweigen verdonnern, so dass der Betroffene nicht einmal informiert werden darf. Microsoft könnte höchsten zum Modell des Kanarienvogels greifen und in seinen Transparenzberichten schreiben "es wurden keine Daten nach dem Cloud-Act herausgegeben". Bleibt diese Mitteilung aus, ließe dies den Schluss zu, dass die Datenherausgabe durch die US-Regierung erzwungen wurde.
Die souveräne EU-Cloud mit US-Firmen ist juristisch tot
Mit diesem Eingeständnis des Microsoft Managers ist die "Souveräne EU-Cloud" unter Einbeziehung von US-Firmen wie Microsoft aus juristischer Sicht tot (war es eigentlich immer schon), sofern der Anspruch, dass Daten von EU-Bürgern niemals ohne Zustimmung an die US-Regierung gehen dürfen, Bestand haben soll (eigentlich die Basis für Souveränität).
heise spricht von einem Souveränitäts-Debakel: Zwischen "blumiger Werbung" und "keine Panik" und lässt sowohl Dennis Kipker (Professor für IT-Sicherheitsrecht an der Hochschule Bremen) als auch Stefan Hessel (Rechtsanwalt von reuschlaw, die den Einsatz von Microsoft 365 oder Azure begründen) mit Einschätzungen zu Wort kommen. In diesem Artikel zeichnet man die Versuche von AWS und Microsoft nach, zu retten, was eigentlich nicht mehr zu retten ist.
Legt man die obigen Erkenntnisse zugrunde, sind auch die europäischer Cloud-Lösungen wie die Delos-Cloud der gleichnamigen SAP-Tochter Delos, die auf der Microsoft Cloud basiert, gestorben. Genau diese Delos-Cloud soll ja bei deutschen Behörden und Regierungen breit als "souveräne Cloud" eingesetzt werden, um persönliche Daten von deutschen Bürgern zu verarbeiten.
Und auch die EU-spezifische Cloud der CISPE ist ist abseits der technischen Probleme (siehe Microsoft reißt Termin für EU-spezifische Cloud-Version) so gut wie tot, wenn man auf Souveränität der Daten besteht. Auch die neuesten Zuckungen zu Gaia-X (siehe hier) dürften nichts an der Situation ändern. Es bliebt spannend, speziell, wenn demnächst die angedrohten US-Zölle auf europäische Handelsgüter erhoben werden und die EU mit Gegenmaßnahmen reagieren muss.
Ähnliche Artikel:
Microsofts "souveräne" Cloud angekündigt – "weiße Salbe"?
Microsoft startet "European Security Program"
Microsoft rollt "EU Data Boundary" für die Europa-Cloud ab 2023 aus
Digitale Souveränität: Microsoft sperrt Zugriffe auf E-Mail/Cloud willkürlich (Ankläger Strafgerichtshof, chinesische Uni-Einrichtung)
Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten
Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure
IT-Planungsrat: Sondersitzung soll Weg für Delos-Cloud-Verträge frei machen
Delos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesländern
Enkel-fähige "Digitale Souveränität" statt Abhängigkeit von der Delos-Cloud
Europas und Deutschlands fatale digitale Abhängigkeit von den USA rächt sich
Microsoft reißt Termin für EU-spezifische Cloud-Version
MVP: 2013 – 2016
Es gibt keine souveräne Cloud, so wie es generell keine Cloud gibt. Das sind immer anderer Leute Computer und diese Leute machen damit was sie wollen. Wer seriöuse EDV betreibt, der betreibt seine Systeme selbst. Das schließt nicht aus, daß man sich in einem Data Center mit seiner eigenen Hardware einmietet und Services wie Klimatisierung, Konnektivität , Brandschutz etc bezieht. Das ist natürlich nichts für Klicki-Bunti-Admins, sondern setzt Expertise voraus.
Hallo,
Einspruch: "so wie es generell keine Cloud gibt. Das sind immer anderer Leute Computer" Das ist genau die Definition von Cloud: so viele Systeme Anderer, dass es verwischt und man das einzelne System nicht mehr ausmachen kann.
"… und diese Leute machen damit was sie wollen." Das ist in der Tat das Problem des Ansatzes.
Grüße
Ich glaube der allgemeine Grad der Überraschung lag etwa auf dem Niveau einer japanischen Elektroratte.
Selbst wenn sie wollten könnten sie nicht. Wobei das, wie von anderen schon oft angesprochen, kein Ms-exklusives Problem ist.
aber das war doch sonnenklar. Ob mit oder ohne Eid. Die EU Cloud ist geplanter Datenabfluss, aber selbst in der souveränen DoD Cloud kann man sich vor fremden Blicken nicht sicher sein, denn es wurde billig Personal aus China für Wartungsaufgaben durch MS angeheuert.
Man sieht, sobald die Daten das eigene RZ verlassen, ist die Kontrolle verloren, man kann nicht wissen, wer alles Zugang bekommt.
Und wenn es am Ende die Besenkammer ist, durch die die Lan Kabel des RZ laufen (vgl. E. Snowden).
Wo 20€ Admins mit Routineaufgaben betreut werden, ist die Wahrscheinlichkeit für Missbrauch hoch (auch bei höherem Gehalt nicht, vgl. Veräußerung von iCloud Daten durch Apple MA). Man muss dazu ja noch nicht mal das RZ betreten.
und wer denkt, dass die Cloud von SAP anders ist … der CEO ist der erste der die Hosen runterlässt wenn die US Regierung das wünscht. (siehe ja auch die letzten Aktionen bzgl. der Gleichstellungsregelungen wie schnell die das weggecancelt haben weil die US Regierung das möchte).
Eigentlich kann man jede Lösung in die Tonne treten sobald diese in den USA operieren, die werden alle die Hosen runterlassen wenn die US Regierung das "wünscht", ich sehe auch die Telekom nicht mehr als wirklich integer an, durch deren Verzahnung mit T-Mobile US werden die auch, unter "sehr starken Bedenken" natürlich, Daten deutscher Kunden auf Wunsch in die USA ausleiten (wir sind ja alles Freunde <3 und die Telekom kann der NSA sicherlich einen guten Peeringvertrag aufschwatzen :D )
Es gab ja auch noch nie einen NSL an die US-Firmen.
Sowas kam offiziell auch noch nie vor.
Die Fragerei geht mir noch nicht weit genug. Es fehlt mir noch, was mit verschlüsselten Enterprise-Tenants ist. Kann Microsoft bzw. der US-Staat diese Verschlüsselung umgehen?
Ein Ausweg für Micrsoft wäre, wenn sich die europäische Sparte von MS komplett ausgliedert, das heißt organisatorisch völlig unabhängig wird und nur noch die Softwarelizenzen aus den USA bezieht. Oder noch radikaler, MS zieht seinen Firmensitz nach Europa um, dann wäre MS eine europäische Firma mit Niederlassungen in den USA. So hat das seinerzeit Fiat-Chrysler gemacht, bevor sie in Stellantis aufgingen, auch das hatte rechtliche (und steuerliche) Gründe.
Ansonstem, ja, das ist der Datenschutz-Supergau für Microsoft-Kunden außerhalb der USA. Mal sehen, was sich daraus entwickwelt.
Man sollte aber auf jeden Fall in dem einen Heise-Artikel die Aussagen des Rechtsanwalts Hessel lesen, demnach ist alles vielleicht doch nicht so wild, wie jetzt allgemein dargestellt wird.
"Juristisch ist das jedoch nicht haltbar. EU-Tochtergesellschaften von US-Unternehmen unterliegen wie jedes andere EU-Unternehmen dem europäischen Recht und sind bei der Verarbeitung personenbezogener Daten an die DSGVO gebunden. Gemäß Art. 28 Abs. 3 DSGVO dürfen Cloud-Anbieter als Auftragsverarbeiter Daten ausschließlich auf Weisung des Kunden verarbeiten. Eine Ausnahme von diesem Grundsatz gilt nur, wenn sie durch das EU-Recht oder das Recht eines EU-Mitgliedstaats zu einer Verarbeitung verpflichtet sind."
"Außereuropäische Gesetze wie der CLOUD Act dürfen dabei nicht berücksichtigt werden. Eine Offenlegung personenbezogener Daten gegenüber Behörden in Drittländern wie den USA darf gemäß Art. 48 DSGVO nur im Wege der Rechtshilfe erfolgen."
Ich denke, da muss einer schon ein ziemliches Ding drehen, dass der Fall der Rechtshilfe vorliegt. Mal eben so nachsehen, was der Hausmeister seiner Tante geschrieben hat, wirds daher wohl eher nicht geben. Auch die Kojnstruktionszeichnungen eines Fluxkompensators im Onedrive eines europäischen Erfinders sind damit nicht durch Trumps Helfershelfer zugreifbar.
Ich kann dir sagen was passieren wird: Nichts. Das Thema war ja schon längst bekannt, auch wenn MS das bisher nie so offen zugeben musste.
Die entsprechenden Verantwortlichen (bis in die EU hoch) werden das wie gehabt wegignorieren oder es wird wieder ein entsprechendes "Abkommen" geben, dass dann wieder sagt "Ist alles fein, da passiert nichts". Aber ändern wird sich gar nichts, solange es die entsprechenden US Gesetze gibt.
Solange die Verschlüsselung nicht direkt auf dem Client-Gerät stattfindet hat Microsoft Zugriff auf die Verschlüsselungs-Keys und kann daher auf die Daten zugreifen.
Da macht es dann keinen Unterschied ob der Key in einer TPM, HSM, "secure storage" o.ä. liegt. Sobald die Cloud-Anwendung selbst die Daten in einer Form verarbeiten kann, ist ein Zugriff auch von MS in den USA möglich.
Das setzt aber voraus, dass nur Mitarbeiter der europäischen MS-Tochter administrative Zugriffsrechte auf die EU-Infrastruktur haben.
Haben Mitarbeiter der US-Mutter administrativen Zugriff auf die europäische Serverinfrastruktur, dann setzt sich ein solcher Mitarbeiter hin und stellt die Daten zur Verfügung. Was unter der bei ihm geltenden Gesetzeslage zulässig bzw. legal ist, daher kann er das nicht ablehnen.
Ich denke, der Herr RA versucht da gerade ein totes Pferd zu reiten…
Selbst wenn der Auftraggeber der Datenverarbeitung anführen kann, nur auf europäischen MS-Server zu speichern (und sich das vertraglich zusichern lässt), kann er ja spätestens jetzt von den nun offiziell dokumentierten 'Hintertürchen' wissen. Wenn er über die Datenabflussmöglichkeiten Kenntniss hat und die Daten trotzdem hineinlegt, ist das in meinen Augen eine Verletzung der Sorgfaltspflicht. Der juristische Boden ist damit zumindest mal sehr sehr dünn.
Leseempfehlung:
https://www.cloudcomputing-insider.de/us-provider-wuerden-kundendaten-aushaendigen-a-364c44646df82831e3e471606bf122df/?cflt=rdt
Administrativen Zugriff kann man auch haben, ohne auf die darin liegenden Daten zugreifen zu können. Das ist nicht das selbe. Ein vernünftiges Rollenkonzept würde sowas schon verhindern.
Haha, der war gut! Verschlüsselte Tenants, wie süß;-)
Du hast Dich schon mal mit cusotmer key auseinandergesetzt?
Ich bin da nicht involviert, aber laut dem Kollegenkreis der diesen Bereich administriert, soll es so sein. Aber wenn du da anderes weißt, mit Belegen, ich wäre interessiert.
die Belege findest Du bei MS.
https://learn.microsoft.com/en-us/purview/customer-key-overview
Einen guten Überblick liefert: https://www.linkedin.com/pulse/customer-managed-key-cmk-truths-myths-misconceptions-mahesh-dalavi-11naf
In Kurzform:
– er schützt nicht vor Zugriff durch MS Personal
– es ist für Umsetzung regulatorischer Anforderungen gedacht
– es wird sehr teuer (E5 !)
– nicht für alle Workloads möglich
– Exchange z.B. max. 50 Postfächer pro Tenant
– hohe Komplexität
Es ist ein reines Marketingwerkzeug zum horrenden Preis ohne Praxisnutzen. Alleine schon die Limitierung auf 50 Postfächer ist ein Witz. Dazu kommt noch das Problem, dass Mailversand zwischen Postfächern immer von MS abgehört werden kann, das wird immer vergessen. Also User A schickt B eine vertrauliche Mail – da nützt auch die Postfachverschlüsselung nix.
Machst Du sowas OnPrem: das bekommt keiner mit (außer der Admin – aber davon gibt es vielleicht 1-3, bei M365 zig Tausende und wie wir nun wissen auch Chinesen, die sogar den geschützten tenant für das das Department of Defense betreuten).
Alle Dienste bzw. Ermittlungsbehörden werden, egal wo und bei wem die Cloud liegt, sich im Zweifel Daten beschaffen. Es ist also unerheblich, was „das Papier" erlaubt und was nicht. So schätze ich das zumindest ein.
Nein! Doch! Ohhhh!
Soweit keine Client-seitige Verschlüsselung beteiligt ist, sollte das in der Sache niemanden vom Fach ernsthaft überrascht haben. Neu ist, dass das nun offiziell zugegeben wurde und in entsprechende Gerichtsverfahren einfliessen kann.
Ist Noyb/Schrems eigentlich schon am Werk, auch die aktuelle Fassung zu versenken? Diese Aussage kann er sicherlich brauchen.
"Ist Noyb/Schrems eigentlich schon am Werk, auch die aktuelle Fassung zu versenken? Diese Aussage kann er sicherlich brauchen."
Wenn ich das richtig mitbekommen habe hatte er das sogar direkt nach Erlassen des neuen Abkommens angekündigt, da auch wieder gegen vorzugehen. Und die Aussage braucht er dafür mMn nicht mal, das Gericht wird das mit ziemlicher Sicherheit wieder kippen. Es hat sich in der Sache ja zu vorher nichts verbessert, das Ding hat nur wieder einen anderen Namen bekommen.
Geht mal davon aus, dass sowohl die klagenden Anwälte als auch der Berichterstatter des EuGH für dieses Verfahren die unter Eid getroffene Aussage des Microsoft-Managers sehr aufmerksam verfolgen – es ist m.W. ja auch ein französischer Abgeordneter, der klagt.
Dadurch verstößt der Einsatz/Verwendung doch eindeutig gegen die DSGVO. Oder sehe ich da was falsch? Und was sagt unsere UvdL dazu? Die Kommission hat doch eine ganz eigene Meinung zu den MS-Produkten und gegen den EU-Datenschutzbeauftragten geklagt?
Der Daten-Super-Gau. Gestern die Chinesen, heute "unsere Freunde". Klingt fast wie unsere Demokratie …
Es gibt den angemessenheits Beschluss der EU für die USA.
Damit ist Microsoft perfekt DSGVO konform.
Bis zum nächsten EuGH Urteil. War ja bei den Vorgängern genau so und wie ich schon schrieb: Es hat sich nichts geändert, das Ding hat nur einen neuen Namen.
Daher ja: Die MS Cloud (und auch die anderen US-Clouds) waren noch nie DSGVO konform und können es auch niemals sein, solange die US-Gesetze nicht entsprechend geändert werden. Abkommen hin oder her. Interessiert aber niemanden in den entsprechenden Positionen.
Wie gut das z.B. Deutschland in den letzten Jahrzehnten gut in Entwicklung von digitaler Souverenität investiert hat – ich meine schließlich ist das Internet "Neuland für uns alle". Man kann ja nicht erwarten das man innerhalb von 10/15 Jahren eine Lösung per OpenSource und Eigenständigkeit unterstützt. Entwicklung ist auch schlecht per Unterschrift auf einem Microsoftvertrag zu schaffen. Entwicklung dauert ja auch länger als eine Legislaturperiode und der Erfolg wird nicht mehr in der selben Legislatur erfolgen – somit kann man als Verantwortlicher keinen Erfolg vorweisen. Es ist halt wichtig die eigene Person zu stärken und nicht das Land oder gar seine Interessen.
Absurd.
Wir müssten also einen dummen Terroristen finden, der seine "Projekte" über Teams und One-Drive abwickelt um auch MS davon zu überzeugen, das sie sich rechtlich gegen die US-Regierung nicht wehren können.
Ganz abgesehen davon das die aktuelle US-Regierung die Justiz eher als optional betrachtet. Im Zweifel sackt man Leute aus der Chefetage ein und die werden ebenso schnell nachgeben wie der Telegram-Chef Durow in Frankreich.
MS muss davon nicht überzeugt werden, die wissen das ganz genau. Da ist auch nichts mit wehren, wenn die entsprechende Aufforderung ins Haus flattert wird MS den Behörden alles geben was die haben wollen, vielleicht sogar noch was mehr. Und das niemandem mitteilen, das ist denen nämlich auch untersagt. Das einzig neue ist, dass das bisher halt noch nie jemand von denen so offen zugeben musste. Das betrifft im übrigen ALLE US Konzerne, nicht nur MS.
Das hat auch nichts direkt mit der aktuellen Regierung da zu tun, den CLOUD-Act und den Patriot-Act gibt's länger als Trumps erster Amtszeit. Das ist ja der Grund, warum die beiden vorigen Datenschutz-Abkommen vom EuGH einkassiert wurden.
1)
Der Elefant im Raum wurde jetzt mit Leuchtfarbe überzogen und wird angestrahlt.
Es wird langsam schwierig ihn zu übersehen.
2)
Ich denke man kann sagen „ohne Eid würde er allen direkt ins Gesicht lügen"
Gruß
Keine Sorge. Der Elefant wird brav weiter übersehen werden.
Da die den Rest des Raumes mit der gleichen Leuchtfarbe anmalen und für gute Beleuchtung sorgen, bleibt der Elefant weiterhin unsichtbar…
Das bestätigt nur eine ganz alte Regel:
Für Datenschutz kann man nur selber sorgen.
Sehr richtig.
Alles Meinungen. Ob von Behörden, Experten oder Usern.
Was fehlt ist ein Urteil von einem Gericht Meinungen kann man leicht ignorieren, bei Gerichtsurteilen geht das nicht mehr so einfach.
Bei Microsoft365 (oder Vorläufer Office365) steht ein solches Urteil aus.
Der Trend, Mailserver in Richtung Microsoft365 erscheint ungebremst.
In den letzten 12 Monaten werden auch die ersten Kommunen in Deutschland (teilweise) auf Microsoft365 setzen. Da könnten sich dann auch Ansatzpunkte für Klagen durch Bürger ergeben.
Vielleicht gibt es ja auch schon eine Klage, die noch nicht öffentliche geworden ist. Urteile sind weiterhin Mangelware. Über Hinweise wäre ich sehr erfreut.
"Alles Meinungen. Ob von Behörden, Experten oder Usern.
Was fehlt ist ein Urteil von einem Gericht Meinungen kann man leicht ignorieren, bei Gerichtsurteilen geht das nicht mehr so einfach"
Die beiden Urteile Schrems 1 und 2 vom EuGH hast du aber schon mitbekommen, oder? Da wurde ganz klar festgestellt, die Datenschutzabkommen "Safe Harbour" und dessen Nachfolger "Privacy Shield", die den Datenaustausch zwischen den USA und der EU regeln sind nicht mit der DSGVO und EU-Recht vereinbar. Unter diese Abkommen fällt auch MS mit seinen Cloud Diensten.
Ergebnis: Zwischen der Regierung Biden und der EU wurde ein "neues" Abkommen geschlossen, welches die EU per Angemessenheitsbeschluss als DSGVO-konform eingestuft hat. Da aber außer dem Namen keine wirkliche inhaltliche Änderungen da drin sind, ist es äußerst wahrscheinlich, dass auch dieses Abkommen wieder gekippt wird. Da ist noyb auch schon dran gegen vorzugehen.
Nochmal: Solange es auf US-Seite den CLOUD-Act und den Patriot-Act in der derzeitigen Form gibt können KEINE Dienste von US Unternehmen dem EU-Recht entsprechen. Alle US Firmen müssen auf geheime Aufforderung der Behörden die Daten von allen ihren Servern, egal wo die geographisch stehen, rausgeben und dürfen den betroffenen das auch nicht mitteilen. Als nicht US-Bürger hast du auch keinerlei rechtliche Handhabe, Datenschutz gibt's dort nicht für Ausländer. Und das ist quasi genau das, was der Microsoft Justiziar jetzt vor dem französischen Parlament zugeben musste.
Das "Nochmal" wird leider verdrängt, seit Jahren, erfolgreich.
Auch in Kanada
https://www.cyberincontext.ca/p/microsoft-admits-us-law-supersedes