Behörden und IT-Dienstleister setzen auf Microsoft-CloudDatensouveränität im Zeichen des US Cloud Act
11. November 2024Die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten müssen europaweit alle Unternehmen. Doch Behörden setzen immer noch auf Cloud-Anbieter, die dem US-amerikanischen Cloud Act unterliegen.
Der US-amerikanische Cloud Act ist bereits im März 2018, also vor über sechs Jahren in Kraft getreten. Er verpflichtet US-Unternehmen zur Herausgabe von Daten an amerikanische Behörden, unabhängig davon, wo die Daten ihrer Kunden gespeichert sind. Doch bis in deutsche Behörden- und Regierungskreise scheinen sich die Konsequenzen immer noch nicht herumgesprochen zu haben.
Wie sonst ist es zu erklären, dass jüngst Bundesländer wie Bayern, Nordrhein-Westfalen oder Niedersachsen angekündigt haben, ihre verwaltungsinternen Vorgänge zukünftig in der Microsoft-Cloud erledigen zu wollen? Sie folgen damit brav der Microsoft-Affinität des Bundeskanzlers, der sich für das Delos-Projekt stark macht, bei dem Microsoft eine tragende Rolle spielt. Die Cloud-Plattform kommt dabei ebenso von Microsoft wie der Delos-Chef selbst.
Diese Praxis ist umso unverständlicher, als der US Cloud Act eindeutig gegen die Vorgaben der DSGVO verstößt – und es US-Unternehmen damit per Gesetz unmöglich macht, sie einzuhalten. Neben der chronischen Verletzung der Datensouveränität spielen zudem Kostenaspekte wesentliche Rolle. So stiegen die Microsoft-Kosten der Bundesregierung innerhalb eines einzigen Jahres um satte 57 Prozent, exakt von 771 Millionen Euro 2022 auf über 1,2 Milliarden Euro 2023. Die Zeche für das Kostenbeben zahlen die Steuerzahler.
Wie weit das Unternehmen bereit ist, seine marktbeherrschende Stellung monetär auszuspielen, zeigt sich auch im Umgang mit Vertriebs- und Lösungspartnern, sprich dem Channel. So ist der Software-Vermarkter Software One in eine bedrohliche Schieflage geraten, weil Microsoft einseitig die Vergütungsbedingungen geändert hat.
IT-Händler und -Dienstleister sollten ihre Umsatzschwerpunkte kritisch unter die Lupe nehmen und dabei ein offenes Ohr für die Alarmglocke haben. Die sollte immer dann läuten, wenn Microsoft einen überproportionalen Anteil am Gesamtumsatz hat. Statt kurzsichtig eine gefährliche Abhängigkeit weiter zu kultivieren, wäre es besser, rechtzeitig und weitsichtig Alternativen zum Quasi-Monopolisten aufzubauen und dabei gleich auf offene, statt auf proprietäre Systeme zu setzen.
Eine sinnvolle strategische Planung muss auf den Zeitpunkt vorbereiten, an dem endlich die nötigen Konsequenzen aus den systematischen Verstößen Microsofts gegen einschlägige Datenschutzbestimmungen gezogen werden. Die Ankündigung der genannten Bundesländer ist das genaue Gegenteil davon. Aber gerade angesichts des KI-Booms, der sich ja primär aus Daten speist, sowie der krisenhaften Entwicklungen rund um den Globus, die der Datensouveränität zusätzliche Brisanz verleihen, wird der Druck auf die Einhaltung europäischer Gesetze und Maßnahmen zum Schutz sensibler Daten weiter steigen. Darauf ist jedenfalls ebenso zu hoffen wie auf schnelle Erkenntnisgewinne in staatlichen Behörden – und vor allem endlich einmal auf praktische Konsequenzen.
Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug.