Sovereign Washing, jetzt auch unter Eid bestätigt.

Ein Offenbarungseid – und das im wahrsten Sinne des Wortes

Lange haben wir es vermutet, lange wurde es beschwichtigt, relativiert, in Whitepapers zerredet und in PR-Sprache verpackt. Jetzt liegt die Wahrheit auf dem Tisch – juristisch unangreifbar, glasklar, unumstößlich.

In einer Anhörung vor dem französischen Senat im Juni 2025 wurde Anton Carniaux, Head of Corporate, External & Legal Affairs bei Microsoft France, unter Eid befragt. Die zentrale Frage:

Kann Microsoft garantieren, dass keine Daten europäischer Nutzer ohne die Zustimmung nationaler Behörden an die US-Regierung weitergegeben werden?

Seine Antwort:

„Nein, das kann ich nicht garantieren."

Mehr muss man eigentlich nicht wissen. Aber lassen Sie uns dennoch einen Moment dabei verweilen.

Microsoft, Cloud Act und die Geschichte vom sicheren Hafen

Seit Jahren inszeniert sich Microsoft als Vorreiter digitaler Souveränität in Europa. Es gibt eigene Geschäftsbereiche, massive Investitionen in europäische Rechenzentren, ein europäisches Board of Directors, Verträge mit staatlichen Stellen in Deutschland, Frankreich und anderswo. Besonders gerne wird mit sogenannten „Sovereign Clouds" geworben – abgeschottete Cloud-Instanzen, die angeblich besonders sicher und datenschutzkonform sein sollen.

Doch all das hilft wenig, wenn die juristische Realität am Ende eine andere ist.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt es US-Behörden, auf Daten zuzugreifen, selbst wenn diese physisch außerhalb der USA gespeichert sind, solange sie von einem US-Unternehmen kontrolliert werden. Das ist keine neue Erkenntnis – aber sie wurde bislang selten so unmissverständlich aus dem Innersten eines Konzerns bestätigt wie in diesem Fall.

Die juristische Klarheit hinter dem Marketing-Nebel

Microsofts Kommunikation war bislang vorsichtig formuliert. Man wehre sich gegen Anfragen, man habe bisher keine Daten weitergegeben, man tue alles im Interesse der Kunden. Doch diese Aussagen waren nie rechtlich bindend. Und jetzt wissen wir auch offiziell: Microsoft kann keine Garantie abgeben.

Das ist brisant. Denn:

• Microsoft ist einer der größten IT-Partner des Bundes.
• Microsoft-Produkte werden in fast allen Ministerien, Behörden und Landesverwaltungen eingesetzt.
• Sogar in besonders sensiblen Bereichen wie der Bundeswehr, der Justiz oder im Gesundheitswesen laufen zentrale Dienste auf Microsoft-Infrastruktur.

Und gleichzeitig steht nun fest:

Wenn die US-Regierung Zugriff auf diese Daten will, kann Microsoft das nicht verhindern – und muss darüber nicht einmal informieren.

Souveränität beginnt bei der Infrastruktur

Wer diese Fakten kennt und dennoch weiterhin auf Hyperscaler wie Microsoft, Amazon oder Google setzt, muss sich unangenehme Fragen gefallen lassen:

• Ist uns bewusst, dass wir im Ernstfall nicht die Kontrolle über unsere eigenen Daten haben?
• Sind wir bereit, zu akzeptieren, dass eine ausländische Regierung über unsere IT-Infrastruktur mitentscheiden kann?
• Können wir es verantworten, kritische öffentliche Dienste auf Plattformen zu betreiben, die jederzeit fremdbestimmt werden können?

Die Antwort kann aus Sicht digitaler Resilienz nur lauten: Nein.

Denn Souveränität heißt nicht, dass jemand verspricht, nichts zu tun. Souveränität heißt, dass es ihm gar nicht möglich ist, etwas zu tun.

Zeit für einen Kurswechsel – in der öffentlichen wie privaten IT

Diese Klarstellung unter Eid sollte ein Wendepunkt sein. Nicht für Skandalisierung, sondern für Selbstreflexion.

Wir brauchen in Europa endlich eine realistische, strategische Debatte über digitale Infrastruktur. Eine, die sich nicht nur um Features, Preise und Lizenzmodelle dreht, sondern um Kontrolle, Verfügbarkeit, Verantwortung.

Denn Souveränität ist kein Add-on. Sie ist keine Checkbox im Vertrag. Sie ist Grundbedingung für demokratische Handlungsfähigkeit im digitalen Zeitalter.

Was jetzt passieren muss

• Öffentliche Stellen müssen evaluieren, ob ihre aktuelle IT-Strategie noch tragfähig ist – nicht technisch, sondern politisch.
• Entscheider in Unternehmen müssen hinterfragen, ob ihre vermeintlich sichere Cloud wirklich sicher ist – auch rechtlich.
• Wir alle müssen aufhören, uns in die Illusion eines „europäischen Microsofts" einzukaufen, nur weil Server in Irland oder Deutschland stehen.

Denn Datenhoheit beginnt nicht mit dem Standort, sondern mit der juristischen Kontrolle – und die liegt bei US-Hyperscalern schlicht nicht in Europa.

Unser Beitrag als Anbieter: Wir bauen Alternativen

Wir bei ayedo arbeiten jeden Tag mit Unternehmen und öffentlichen Einrichtungen daran, genau diese digitale Kontrolle zurückzugewinnen. Mit souveränen Hosting-Architekturen, mit europäischen Partnern, mit containerisierten Anwendungen, die unabhängig von US-Plattformen betrieben werden können. Nicht, weil wir gegen Innovation sind – sondern weil wir verstehen, dass Innovation ohne Vertrauen nichts wert ist.

Und Vertrauen entsteht nicht durch Werbeslogans, sondern durch nachprüfbare Rahmenbedingungen.

Fazit: Die Entscheidung liegt bei uns

Es ist keine Frage mehr, ob Sovereign Washing ein Problem ist. Es ist dokumentiert. Unter Eid.

Die Frage ist jetzt: Was tun wir damit?

Bleiben wir in Abhängigkeit – oder entscheiden wir uns endlich für Lösungen, die unseren Werten, unserem Recht und unserer Verantwortung gerecht werden?

Wer Souveränität will, muss sie sich nehmen. Nicht versprechen lassen.