digital-sovereignty

Daten niederländischer Behörden von Microsoft an das US-Repräsentantenhaus weitergegeben

Michael Mrak

Michael Mrak

5 Min. Lesezeit
Teilen
Daten niederländischer Behörden von Microsoft an das US-Repräsentantenhaus weitergegeben
Photo by Darren Halstead / Unsplash

Betroffen sind die Daten von MitarbeiterInnen der niederländischen Datenschutzbehörde und Wettbewerbsbehörde, also genau von den Personen welche die EU-Digitalregulierung umsetzen.

Ende Mai wurde bekannt, dass Microsoft personenbezogene Daten niederländischer Behördenmitarbeiter an das US-Repräsentantenhaus weitergegeben hat. Betroffen sind ausgerechnet jene Personen, die europäische Digitalregulierung durchsetzen. Der Fall ist kein Randereignis, sondern die bisher deutlichste Illustration eines Risikos, das Datenschutzbehörden seit Schrems II beschreiben. Er gehört auf den Tisch jeder Organisation im DACH-Raum, die US-Software einsetzt.

Was ist genau passiert?

Am 22. Mai 2026 berichtete das niederländische Recherchemedium Vrij Nederland, dass Microsoft interne Dokumente an einen Ausschuss des US-Repräsentantenhauses übermittelt hat. Darin enthalten: E-Mails, Besprechungsprotokolle und Kalendereinladungen von Mitarbeitern der Wettbewerbsbehörde Autoriteit Consument en Markt (ACM) und der Datenschutzbehörde Autoriteit Persoonsgegevens (AP). Die Namen der einzelnen Beamten waren nicht geschwärzt.

Die Betroffenen arbeiten an der Umsetzung des Digital Services Act, also genau jener Regulierung, die der zuständige US-Ausschuss mit republikanischer Mehrheit als Form der Zensur amerikanischer Unternehmen und amerikanischer Meinungsäußerung untersucht.

Die Durchsetzer europäischer Plattformregulierung wurden für ein US-Untersuchungsverfahren namentlich identifizierbar gemacht, das diese Regulierung in Frage stellt. Einer der Genannten, ein Amsterdamer Politikwissenschaftler mit Forschungsschwerpunkt Desinformation, sprach gegenüber Medien von einem Einschüchterungseffekt.

Die niederländische Regierung reagierte scharf. Staatssekretärin Willemijn Aerdts (Digitale Wirtschaft und Souveränität) bestellte den US-Botschafter ein, Staatssekretär Eric van der Burg (Inneres) nannte den Vorgang mehr als besorgniserregend. Aerdts brachte die strukturelle Abhängigkeit auf den Punkt:

Man ist in den Niederlanden und in Europa süchtig nach amerikanischen Programmen, Apps und Geräten.

Warum das kein normales Cloud-Act-Datenleck ist

Viele Berichte ordnen den Fall reflexhaft nur dem US CLOUD Act zu. Das greift zu kurz und verfehlt den eigentlich relevanten Punkt.

  • Erstens stammten die Daten nicht aus einem von Microsoft im Auftrag der Behörden gehosteten System. AP und ACM haben bestätigt, dass sie Microsoft für ihre dienstliche E-Mail gar nicht nutzen. Die übermittelten Inhalte kamen aus Microsofts eigenen Unternehmenssystemen, also aus der Korrespondenz, die die Behörden mit dem Konzern geführt haben. Datenresidenz in Amsterdam oder Frankfurt hätte hier nichts geändert, weil die Daten nie in einem europäischen Behörden-Tenant lagen, sondern beim Anbieter selbst.
  • Zweitens war die Rechtsgrundlage nach Darstellung der genaueren Berichterstattung nicht der CLOUD Act im engeren Sinn, sondern die weiter reichende Vorladungsbefugnis des US-Kongresses in Aufsichtsverfahren. Der CLOUD Act liefert eine zusätzliche, auf Strafsachen verengte Zwangsgrundlage. Für die Risikobewertung ist die Unterscheidung zweitrangig, denn das strukturelle Ergebnis ist in beiden Fällen identisch: Ein US-domiziliertes Unternehmen muss interne Daten herausgeben, unabhängig vom physischen Speicherort und unabhängig davon, wessen Namen darin auftauchen. Die Gefährdung wandert mit dem Unternehmenssitz des Anbieters, nicht mit dem Standort des Rechenzentrums.
Es reicht nicht, die Daten in der EU zu speichern. Solange der Verantwortliche für diese Daten dem US-Recht untersteht, bleibt der Zugriff möglich.

Der regulatorische Kern: Art. 48 DSGVO

Für Verantwortliche im DACH-Raum ist der Vorgang nicht nur politisch, sondern unmittelbar compliance-relevant. Art. 48 DSGVO regelt genau diese Konstellation: Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlands, die eine Übermittlung oder Offenlegung personenbezogener Daten verlangen, sind nur dann zulässig, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen. Eine einseitige US-Vorladung erfüllt diese Voraussetzung nicht.

Daraus folgt der längst bekannte, bis heute nicht aufgelöste Normkonflikt: Ein US-Anbieter, der einer Kongressvorladung folgt, handelt aus europäischer Sicht ohne taugliche Rechtsgrundlage für die Offenlegung und verstößt potenziell gegen Kapitel V der DSGVO. Folgt er ihr nicht, drohen ihm in den USA Sanktionen. Der Europäische Datenschutzausschuss hat in seinen Leitlinien zu Art. 48 wiederholt klargestellt, dass eine solche Drittlandsanordnung für sich genommen keine Übermittlung legitimiert. Das EU-US Data Privacy Framework ändert daran nichts, weil es den staatlichen Zugriff über FISA 702 und Executive Order 12333 gerade nicht ausschließt. Schrems II hat genau diesen Befund 2020 festgehalten.

Was das konkret für Organisationen bedeutet

Der niederländische Fall betrifft Behörden, das Muster gilt jedoch auch für viele andere Unternehmen in Europa, insbesondere für regulierte Branchen mit besonderen Geheimhaltungs- und Souveränitätsanforderungen. Drei praktische Schlussfolgerungen:

  • Erstens gehört die Frage des Anbieter-Domizils in jede Lieferantenbewertung und in jedes Transfer Impact Assessment. Die relevante Frage lautet nicht nur, wo Daten liegen, sondern welcher Jurisdiktion der Verantwortliche für diese Daten untersteht und welche Zwangsbefugnisse dort greifen.
  • Zweitens schützt vertragliche Gestaltung allein nicht. Standardvertragsklauseln und Auftragsverarbeitungsverträge können einen extraterritorialen gesetzlichen Zugriff nicht außer Kraft setzen. Wirksam sind nur technische und architektonische Maßnahmen, die den Klartextzugriff des Anbieters ausschließen, etwa kundenseitig verwaltete Verschlüsselung mit ausschließlich europäischer Schlüsselhoheit, oder schlicht die Wahl eines Anbieters außerhalb der US-Jurisdiktion.
  • Drittens ist auch die eigene Korrespondenz mit US-Anbietern Teil der Angriffsfläche. Der niederländische Fall zeigt, dass selbst Organisationen betroffen sein können, die den betreffenden Dienst nie produktiv eingesetzt haben. Schon der Schriftverkehr mit dem Konzern kann in dessen Systemen liegen und dort abgefragt werden.

Souveränität ist definitiv kein Schlagwort mehr

Der Vorgang fällt in eine Phase, in der die strukturelle Abhängigkeit nicht mehr abstrakt ist. Eine Untersuchung des öffentlich-rechtlichen Rundfunks NOS ergab Anfang des Jahres, dass rund 67 Prozent von etwa 16.500 Websites niederländischer Behörden, Krankenhäuser und Schulen mit mindestens einem US-Cloud-Dienst verbunden sind. Parallel steht der Verkauf des Dienstleisters Solvinity, der die nationale Identitätslösung DigiD hostet, an einen US-Konzern an, womit auch dieser Bestandteil kritischer Infrastruktur unter US-Zwangsgrundlagen geriete. Gleichzeitig migriert die niederländische Steuerverwaltung Kernsysteme zu Microsoft, gegen den Widerstand mehrerer Fraktionen.

Dieselbe Gemengelage existiert in Österreich und Deutschland. Digitale Souveränität bedeutet in diesem Kontext nicht Autarkie, sondern Wahlfreiheit und Risikostreuung: die Fähigkeit, geschäftskritische und grundrechtssensible Verarbeitung so zu gestalten, dass kein einzelnes Drittland sie durch eine Anordnung an einen seiner Konzerne offenlegen kann. Der niederländische Fall liefert dafür keine theoretische Begründung mehr, sondern einen dokumentierten Präzedenzfall. Genau das macht ihn so unbequem für US Big Tech Softwareanbieter.

Anhang: Quellen

  • Vrij Nederland, Erstveröffentlichung vom 22. Mai 2026 (niederländisch): https://www.vn.nl/
  • NL Times, Microsoft accused of leaking Dutch civil servants' names to U.S. government (22. Mai 2026): https://nltimes.nl/2026/05/22/microsoft-accused-leaking-dutch-civil-servants-names-us-government
  • DutchNews.nl, US tech firms share Dutch regulator officials' names with senate: https://www.dutchnews.nl/2026/05/us-tech-firms-share-dutch-regulator-officials-names-with-senate/
  • BuiltInEu, Microsoft Handed Names of Dutch Regulators to a US House Committee Probing the DSA (detaillierte rechtliche Einordnung zu Vorladungsbefugnis, Datenherkunft aus Microsofts eigenen Systemen, AP/ACM-Bestätigung): https://builtineu.eu/news/microsoft-shared-dutch-regulator-names-us-house-committee
  • Cybernews, Microsoft allegedly leaked data of Dutch civil servants to the US government: https://cybernews.com/tech/microsoft-dutch-data/
  • WebProNews, Microsoft Hands Dutch Regulators' Names to U.S. Congress, Exposing Cloud Act Tensions: https://www.webpronews.com/microsoft-hands-dutch-regulators-names-to-u-s-congress-exposing-cloud-act-tensions

Regulatorische Bezüge

  • Art. 48 DSGVO (Nicht durch Unionsrecht zugelassene Übermittlung oder Offenlegung) sowie Kapitel V DSGVO (Art. 44 ff.)
  • EuGH, Urteil vom 16. Juli 2020, Rs. C-311/18 (Schrems II)
  • US CLOUD Act (2018) sowie FISA Section 702 und Executive Order 12333
  • Digital Services Act, Verordnung (EU) 2022/2065, in Kraft seit Februar 2024
  • EDSA, Leitlinien 02/2018 zu Ausnahmen nach Art. 49 und Stellungnahmen zu Art. 48 DSGVO

Weiterlesen

Wenn Kalifornien europäisch denkt

Wenn Kalifornien europäisch denkt

Ein KI-Erlass und die Strahlkraft des europäischen Regulierungsmodells Am 21. Mai 2026 hat der kalifornische Gouverneur Gavin Newsom eine Executive Order unterzeichnet, die den Bundesstaat verpflichtet, Beschäftigte, Kleinunternehmen und Gemeinden auf die wirtschaftlichen Verwerfungen durch künstliche Intelligenz vorzubereiten. Der Erlass mobilisiert Behörden, Arbeitsmarktexperten, Ökonominnen, Universitäten und die Industrie, um frühzeitig

Von Michael Mrak