geopolitics

Microsoft verteidigt das Data Privacy Framework: Was die Argumentation leistet und was nicht

Michael Mrak

Michael Mrak

6 Min. Lesezeit
Teilen
Microsoft verteidigt das Data Privacy Framework: Was die Argumentation leistet und was nicht
Photo by Christian Lue / Unsplash

Am 28. Juni 2026 hat Microsoft öffentlich gemacht, dass das Unternehmen vor dem Gerichtshof der Europäischen Union als Streithelfer auf Seiten der Kommission in das Berufungsverfahren Latombe eingetreten ist. Gegenstand ist das Rechtsmittel gegen das Urteil des Gerichts (EuG) vom 3. September 2025 in der Rechtssache T-553/23, mit dem der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF) bestätigt worden war. Der Beitrag trägt den Titel "Protecting privacy as a fundamental right while supporting transatlantic data flows" und verbindet ein klares Bekenntnis zum Datenschutz als Grundrecht mit der Verteidigung des transatlantischen Transfermechanismus.

Der Schritt ist aus der Perspektive von Microsoft nachvollziehbar und in der Sache nicht zu beanstanden. Microsoft hat ein legitimes Interesse daran, die Rechtsgrundlage für einen wesentlichen Teil seines Geschäftsmodells abzusichern, und das Unternehmen räumt das auch ein: Es spricht von einem "direkten und bestehenden Interesse" am Verfahrensausgang. Interessant ist weniger die Tatsache der Streithilfe als die Frage, ob die vorgebrachten Argumente die datenschutzrechtlichen Kernprobleme tatsächlich entkräften. Sie tun es überwiegend nicht. Der Grund liegt nicht im Verhalten von Microsoft, sondern in der Struktur des Prüfungsmaßstabs.

Der Maßstab, um den es geht

Die Angemessenheit eines Drittlands nach Art. 45 DSGVO bemisst sich an der "wesentlichen Gleichwertigkeit" (essential equivalence) des dort gebotenen Schutzniveaus. Geprüft wird die Rechtsordnung des Empfängerstaats in ihrer Gesamtheit, also Befugnisse staatlicher Stellen, Aufsicht, Rechtsbehelfe und Garantien aus den Art. 7, 8 und 47 der Grundrechtecharta. Der EuGH hat in Schrems I (C-362/14) und Schrems II (C-311/18) zweimal entschieden, dass Safe Harbor und Privacy Shield diesem Maßstab nicht genügen, weil der Zugriff von US-Nachrichtendiensten nicht auf das notwendige und verhältnismäßige Maß begrenzt war und Betroffenen kein wirksamer Rechtsbehelf zur Verfügung stand.

Entscheidend ist: Diese Fakten betreffen die staatliche Ordnung, nicht das Wohlverhalten eines einzelnen Anbieters wie z.B. Microsoft. Genau hier verschiebt die Argumentation den Fokus. Sie ist überzeugend, wo sie eigenes Handeln beschreibt, und schwach, wo sie daraus auf die Angemessenheit der US-Rechtslage schließt.

Die einzelnen Punkte

"Datenschutz und Datenflüsse verstärken sich gegenseitig"

Microsoft präsentiert Grundrechtsschutz und Datenverkehr als komplementär. Operativ ist das oft richtig: Banken, Spitäler, Industrie und Verwaltung nutzen Cloud-Dienste nicht als politisches Statement, sondern weil Identität, Kollaboration, Security-Analytik und KI heute grenzüberschreitend funktionieren. Rechtlich beantwortet das aber nicht die gestellte Frage.

Die wesentliche Gleichwertigkeit ist ein Grundrechtsmaßstab, kein Kosten-Nutzen-Abgleich.

Der EuGH hat in Schrems II ausdrücklich festgehalten, dass wirtschaftliche Erwägungen einen Grundrechtskonflikt nicht entscheiden können. Das Argument der Datenflüsse ist daher genau dort am schwächsten, wo es so klingt, als solle ökonomische Notwendigkeit eine grundrechtliche Frage erledigen.

Der DPRC und die Reformen nach Schrems II

Der Beitrag stützt sich stark auf den nach Schrems II geschaffenen Rechtsbehelf, den Data Protection Review Court (DPRC), und auf die zusätzlichen Garantien. Das EuG hat diese im September 2025 als ausreichend bewertet und betont, "essential equivalence" verlange keine identische institutionelle Ausgestaltung. Drei Einschränkungen bleiben aber bestehen.

Erstens beruht der DPRC auf der Executive Order 14086 in Verbindung mit einer Verordnung des US-Justizministers, nicht auf einem vom Kongress beschlossenen Gesetz. Eine Executive Order ist in den USA durch die Exekutive jederzeit änderbar oder aufhebbar. Damit hängt eine zentrale Säule des Rechtsbehelfs an der Stabilität exekutiver Zusagen, also genau an dem Punkt, an dem europäische Gerichte erfahrungsgemäß höhere Anforderungen stellen als an dauerhaftes Gesetzesrecht.

Zweitens hat das EuG die Rechtslage ausdrücklich nur zum Zeitpunkt des Kommissionsbeschlusses (Juli 2023) geprüft. Das weicht vom bisherigen EuGH-Maßstab ab, wonach für Angemessenheitsentscheidungen die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Prüfung maßgeblich ist. Die Berufung, eingelegt im Oktober 2025, ist beim EuGH anhängig und kann auf Rechtsfehler gestützt genau diesen Punkt aufgreifen.

Drittens stützt sich das Urteil auf die Aufsicht. Das Privacy and Civil Liberties Oversight Board (PCLOB) hat seit der Entlassung dreier Mitglieder im Jänner 2025 kein Quorum mehr und kann seine Aufsichtsfunktion, einschließlich der jährlichen Überprüfung der Rechtsbehelfe, nur eingeschränkt wahrnehmen.

Eine Aufsichtsstruktur, deren Funktionsfähigkeit von der jeweiligen Administration abhängt, trägt das Gewicht, das ihr das Urteil zuweist, nur bedingt.

Hinzu kommt ein im Verfahren bislang nur am Rand behandelter Punkt: Die Executive Order 12333 erlaubt Datensammlung ohne richterliche Genehmigung und unterliegt allein exekutiver Aufsicht. Sie wird vom DPF nicht adressiert. Solange dieser Sammelkanal außerhalb des Frameworks liegt, bleibt eine Lücke, die in einer breiter angelegten Klage relevant werden kann.

Anfechtung von Geheimhaltungsanordnungen und ECPA-Reform

Microsoft verweist auf die eigene Geschichte im Anfechten von Geheimhaltungsanordnungen, etwa den FBI-Fall 2014 und die Klage gegen unbefristete Secrecy Orders 2016, sowie auf das Eintreten für eine Reform des Electronic Communications Privacy Act. Das ist wirklich geschehen und für die Vertrauensbildung relevant, weil eine der hartnäckigsten europäischen Sorgen nicht nur dem staatlichen Zugriff gilt, sondern der Frage, ob Betroffene davon je erfahren.

Die Reichweite dieses Arguments ist allerdings begrenzt. Die ECPA betrifft den strafverfolgungsbezogenen Zugriff, nicht die nachrichtendienstliche Sammlung nach FISA Section 702 oder EO 12333, an der sich Schrems I und II entzündet haben.

Ein Unternehmen wie Microsoft kann prozessieren, Lobbying betreiben und Transparenzberichte veröffentlichen, es kann aber weder die US-Überwachungsarchitektur umschreiben noch ein umfassendes föderales Datenschutzgesetz schaffen.

Vorbildliches Anbieterverhalten ändert den Angemessenheitstest nicht, weil dieser auf die Rechtsordnung abstellt, nicht auf einzelne Akteure.

EU Data Boundary und Datenresidenz

Der Verweis auf die EU Data Boundary und europäische Cloud-Zusagen reduziert tatsächlich Risiken und beantwortet die Frage der Datenlokalisierung im Ruhezustand. Er beseitigt den Transferbedarf jedoch nicht.

Datenresidenz klärt, wo Daten gespeichert werden, nicht aber Support-Zugriffe, Identitätsflüsse, Telemetrie, Security-Operations, Abrechnungsmetadaten, Unterauftragsverarbeiter und Disaster Recovery.

Vor allem aber löst Residenz die Zugriffsfrage rechtlich nicht. Der US-amerikanische CLOUD Act unterwirft US-kontrollierte Unternehmen der US-Jurisdiktion unabhängig vom Speicherort der Daten. Wie wenig Residenz allein trägt, zeigt der Beschluss des Europäischen Datenschutzbeauftragten zur Microsoft-365-Nutzung der Europäischen Kommission selbst: Festgestellt wurden Verstöße unter anderem gegen die Zweckbindung und die Vorgaben zu Drittlandtransfers. Aktuelle Diskussionen um Flex Routing bei Copilot zeigen zudem, dass auch Residenzzusagen für KI-Inferenz Ausnahmen kennen können.

Das Geschäftskontinuitätsargument

Der Beitrag betont, ein Wegfall des Frameworks würde nicht zu mehr Datenschutz führen, sondern zu Rechtsunsicherheit, Rückfall auf Standardvertragsklauseln, höheren Kosten und ungleichen Compliance-Ergebnissen zulasten kleinerer Organisationen. Das ist sachlich nachvollziehbar und ein ernstzunehmender Einwand gegen eine erneute Invalidierung ohne Übergangspfad. Es bleibt aber ein Folgenargument, kein Gleichwertigkeitsargument.

Die Stabilität eines Mechanismus ersetzt nicht dessen grundrechtliche Tragfähigkeit. Ein stabiler, aber unzureichender Rahmen wäre kein Fortschritt.

Der eigentliche Knackpunkt

Die Microsoft-Argumentation ist dort am stärksten, wo sie einräumt, dass Datenschutz und Datenverkehr gemeinsam konstruiert werden müssen. Sie ist dort am schwächsten, wo sie nahelegt, dass das Verhalten eines vertrauenswürdigen Anbieters die strukturelle Frage beantwortet. Das Grundproblem ist nicht Microsoft, sondern die fortbestehende Asymmetrie zweier Rechtstraditionen. Die EU behandelt Datenschutz als Grundrecht mit gerichtlich durchsetzbaren Garantien, die USA verfügen über kein umfassendes föderales Datenschutzgesetz und über weitreichende nachrichtendienstliche Befugnisse.

Solange diese Asymmetrie über Executive Orders statt über Gesetze überbrückt wird, bleibt jeder Transfermechanismus anfällig für denselben Einwand, der bereits Safe Harbor und Privacy Shield zu Fall gebracht hat.

Die Einschätzung von noyb, das DPF sei strukturell nahe an den beiden für unzulässig erklärten Vorgängern, ist vor diesem Hintergrund nicht von der Hand zu weisen.

Was bedeutet das für die Praxis?

Für Verantwortliche im DACH-Raum ergibt sich daraus eine nüchterne Aussage. Das DPF ist heute eine gültige Transfergrundlage nach Art. 45 DSGVO, und mit der gut ausgestatteten Verteidigung im Berufungsverfahren ist kurzfristig nicht mit einem Wegfall zu rechnen. EuGH-Verfahren dauern, eine Entscheidung dürfte frühestens in etwa eineinhalb Jahren fallen. Zugleich ist der Rahmen rechtlich nicht endgültig gesichert, ein Schrems-III-Szenario bleibt realistisch.

Sinnvoll ist deshalb, die eigene Architektur nicht auf der Annahme aufzubauen, dass das DPF dauerhaft Bestand hat.

Konkret heißt das: Datenflüsse inventarisieren und dokumentieren, also wissen, welche Verarbeitungen personenbezogene Daten in die USA bewegen und auf welcher Grundlage. Auch bei Stützung auf das DPF empfiehlt sich weiterhin eine Transfer Impact Assessment, insbesondere für KI-Workloads, bei denen Prompts, Grounding-Daten, Logs und Meeting-Inhalte neue Transferfragen aufwerfen. Standardvertragsklauseln mit ergänzenden Maßnahmen sollten als Rückfalloption vorbereitet sein. Wo es sich anbietet, lohnt die Prüfung souveräner oder europäischer Alternativen, ohne die operativen Kosten einer strikten Lokalisierung zu unterschätzen. Und die jährlichen Überprüfungen der Kommission sowie der Fortgang des Berufungsverfahrens gehören in das laufende Monitoring.

Mein Fazit

Microsofts Beitrag ist eine sachlich vorgetragene und in Teilen substanzielle Verteidigung des bisherigen transatlantischen Datenverkehrs, die das eigene Engagement glaubwürdig darstellen möchte. Er löst die datenschutzrechtlichen Kernfragen aber nicht, weil diese außerhalb des Einflussbereichs einzelner Unternehmens liegen. Die Stabilität des DPF entscheidet sich nicht am Verhalten des US-Anbieters, sondern daran, ob die US-Rechtsordnung den Maßstab der wesentlichen Gleichwertigkeit erfüllt, und ob dieser Schutz auf dauerhaftem Gesetzesrecht statt auf jederzeit widerrufbaren exekutiven Zusagen beruht. Genau diese Frage liegt nun beim EuGH. Bis dahin gilt für die Praxis: Das Framework nutzen, wo es trägt, aber Architekturen so bauen, dass sie auch eine andere Antwort aus Luxemburg überstehen.

Blogbeitrag von Microsoft: https://blogs.microsoft.com/on-the-issues/2026/06/28/protecting-privacy-as-a-fundamental-right-while-supporting-transatlantic-data-flows/

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Vibe, Mistral) erstellt und von mir faktengecheckt.

Weiterlesen