Europas Exportschlager: Personenbezogene Daten
Katrin Peter 3 Minuten Lesezeit

Europas Exportschlager: Personenbezogene Daten

Europa versteht sich gern als globaler Hüter von Datenschutz und Grundrechten. DSGVO, NIS2, AI Act – der regulatorische Anspruch ist hoch, die Rhetorik selbstbewusst. In der operativen Realität entsteht jedoch ein anderes Bild: Personenbezogene Daten europäischer Bürgerinnen, Bürger und Unternehmen werden systematisch in Infrastrukturen ausgelagert, die außerhalb europäischer Rechts- und Kontrollräume liegen. Nicht illegal, aber politisch kurzsichtig. Nicht aus Zwang, sondern aus Bequemlichkeit.
datenschutz personenbezogene-daten dsgvo cloud-computing microsoft-365 europ-ische-datenschutzgesetze datenhoheit

Europas Exportschlager: Personenbezogene Daten

Europa versteht sich gern als globaler Hüter von Datenschutz und Grundrechten. DSGVO , NIS2, AI Act – der regulatorische Anspruch ist hoch, die Rhetorik selbstbewusst. In der operativen Realität entsteht jedoch ein anderes Bild: Personenbezogene Daten europäischer Bürgerinnen, Bürger und Unternehmen werden systematisch in Infrastrukturen ausgelagert, die außerhalb europäischer Rechts- und Kontrollräume liegen. Nicht illegal, aber politisch kurzsichtig. Nicht aus Zwang, sondern aus Bequemlichkeit.

Die aktuelle Debatte um Microsoft 365 in der Schweiz und in Bayern zeigt das Muster exemplarisch. Dreissig Schweizer Datenschutzbeauftragte warnen offen vor dem Einsatz mit sensiblen Daten. In Bayern prüft die Staatsregierung unter Markus Söder dennoch eine langfristige Bindung an Microsoft. Die Argumente sind überall gleich: bewährte Software, schnelle Einführung, Kompatibilität. Die Konsequenzen werden ausgeblendet.

Microsoft ist kein beliebiger Anbieter. Wer sich an Microsoft 365 bindet, bindet sich an ein Ökosystem. Technisch, organisatorisch, finanziell. Und rechtlich. US-Konzerne unterliegen US-Recht – weltweit. Der Cloud Act erlaubt amerikanischen Behörden den Zugriff auf Daten, unabhängig davon, ob sie in Frankfurt, Zürich oder Genf liegen. Europäische Rechenzentren ändern nichts an der Rechtslage. Zertifikate ändern nichts an der Zugriffsmöglichkeit. Selbst Microsoft bestreitet nicht, dass ein vollständiger Ausschluss staatlicher Zugriffe nicht garantiert werden kann.

Damit ist die Frage nicht mehr, ob Risiken bestehen, sondern warum europäische Staaten sie bewusst in Kauf nehmen. In der Schweiz explodieren die Lizenzkosten für Microsoft-Produkte, während Datenschutzbehörden erklären, dass der Einsatz mit Bürgerdaten oft nicht zulässig ist. In Bayern wird ein möglicher Milliardenvertrag diskutiert – deklariert als offene Prüfung, faktisch eine strategische Festlegung für Jahre.

Das Problem beschränkt sich nicht auf Microsoft. Das Bundesamt für Sicherheit in der Informationstechnik liefert ein besonders irritierendes Beispiel. Das BSI startet ein zentrales Portal für NIS2-Meldungen – betrieben auf Amazon Web Services. Eine Bundesbehörde, deren Aufgabe der Schutz kritischer Infrastrukturen ist, lagert sicherheitsrelevante Informationen aus Energie, Gesundheit und Verwaltung in die Infrastruktur eines US-Hyperscalers aus. Das ist keine technische Randnotiz. Es ist eine politische Entscheidung über Macht, Kontrolle und Abhängigkeit.

Dabei existieren Alternativen. IONOS, Plusserver, OVHcloud oder die Cloud-Angebote der Deutschen Telekom betreiben seit Jahren skalierbare, zertifizierte Infrastrukturen unter europäischem Recht. Mit Gaia-X wurde ein Rahmen geschaffen, der genau solche staatlichen Anwendungsfälle ermöglichen sollte: interoperabel, souverän, europäisch. Dass diese Optionen beim BSI offenbar keine Rolle gespielt haben, ist ein Signal – an den Markt und an andere Behörden.

Das immer gleiche Gegenargument lautet Effizienz. Bekannte Werkzeuge, eingespielte Prozesse, geringere Umstellungskosten. Kurzfristig stimmt das. Langfristig entstehen strukturelle Lock-in-Effekte. Wer tief im Microsoft- oder AWS-Ökosystem steckt, kann nicht mehr wechseln, ohne massive Kosten, Reibungsverluste und Abhängigkeiten zu akzeptieren. Die Entscheidung heute bestimmt den Handlungsspielraum von Verwaltungen über ein Jahrzehnt hinweg.

Es geht dabei nicht um Anti-Amerikanismus und nicht um Produktqualität. Microsoft und AWS liefern leistungsfähige Technologien. Das eigentliche Versagen liegt darin, dass europäische Staaten digitale Infrastruktur wie Büroausstattung behandeln – statt wie kritische öffentliche Daseinsvorsorge. Energieabhängigkeit wurde erst dann politisch ernst genommen, als sie schmerzhaft wurde. Digitale Abhängigkeit wird sehenden Auges aufgebaut.

Dass es anders geht, ist kein Geheimnis. Schleswig-Holstein setzt konsequent auf Open Source. Mit OpenDesk entsteht in Deutschland eine offene Büroplattform für die Verwaltung. In der Schweiz existieren Anbieter wie Switch, Abraxas, Infomaniak oder Proton, die unter europäischem Recht operieren. Diese Lösungen sind nicht trivial. Sie erfordern Kompetenzaufbau, Umstellung und politische Standhaftigkeit. Genau deshalb sind sie strategisch relevant.

Personenbezogene Daten sind längst ein Exportschlager Europas – nicht durch Verkauf, sondern durch Auslagerung. Sie wandern in Infrastrukturen, die Europa weder kontrolliert noch strategisch steuert. Regulierung ersetzt keine operative Entscheidung. Datenschutzgesetze helfen wenig, wenn die technische Basis außerhalb des eigenen Rechtsraums liegt.

Digitale Souveränität entsteht nicht durch Absichtserklärungen, Cloud-Labels oder Standortmarketing. Sie entsteht durch konsequente Beschaffungsentscheidungen. Solange Ministerpräsidenten, Bundesbehörden und Verwaltungen Bequemlichkeit mit Modernisierung verwechseln, bleibt Souveränität ein Schlagwort. Die Alternativen sind da. Was fehlt, ist der politische Wille, sie systematisch zu nutzen.

Vorheriger Post Alle Posts Nächster Post

Ähnliche Artikel