Es waren nicht die Sicherheitslücken, die die Nachrichten über Microsoft in den letzten Wochen dominierten. Auch nicht das angekündigte Ende von Sharepoint, obwohl sowohl die Exploits als auch der Wechselzwang in die Cloud für Kunden durchaus von Bedeutung sein dürften. Nein, für viel mehr Aufsehen sorgte eine Aussage unter Eid, in der ein hochrangiger Microsoft-Manager zugeben musste, dass der Konzern nach aktueller Rechtsprechung die Kundendaten nicht vor dem Zugriff amerikanischer Geheimdienste schützen und so auch nicht die Bedingungen der DSGVO einhalten könne.
Vor dem französischen Senat sorgte Anton Carniaux, Chefjustiziar von Microsoft Frankreich, vor wenigen Tagen für europaweites Aufsehen. Gefragt, ob Microsoft garantieren könne, Daten von europäischen Kunden oder Behörden nicht an die US-Regierung weiterzugeben, musste er – weil unter Eid – verneinen. Wortwörtlich sagte er, er könne das „nicht unter Eid garantieren“.
Die Nachricht schlug in der IT-Welt ein wie eine Bombe, aber auch große internationale Medien sprangen auf das Thema an: „Microsoft würde Ihre Daten an Trump geben“, schreibt sogar das zu Microsoft gehörende News-Portal MSN (die Meldung stammt allerdings vom britischen The Register), während das US-Wirtschaftsmagazin Forbes beklagt: „Microsoft kann EU-Daten nicht vor US-Autoritäten schützen“. Hierzulande berichteten unter anderem die IT-Portale Heise und Golem.
Der Sachverhalt war schon lange bekannt
Auch wenn der Sachverhalt vielen IT-Experten und Evangelisten schon lange klar schien, sind die Implikationen von Carniaux’ Aussage doch gravierend. Alexander Pockrandt, Geschäftsführer des Zentrum Digitale Souveränität (ZenDiS) des deutschen Innenministeriums bringt es (sinnigerweise auf Microsofts Social Network LinkedIn) auf den Punkt: „Jetzt ist es unter Eid belegt: Microsoft kann den Schutz sensibler Daten vor Herausgabe an die US-Regierung nicht garantieren. Die Deutsche Verwaltung muss sich eingestehen, dass die Souveränitätsversprechen von Bigtech nicht mehr als ein Etikettenschwindel aus der Marketingabteilung sind.“
Was für viele Linux- und Open-Source-affine Anwender und Experten längst offensichtlich war, hat der Hersteller somit erstmals zweifelsfrei zugegeben. Jubel ist dennoch nicht angebracht: Zum einen gibt es auch in Europa vergleichbare Gesetze, die den Zugriff durch Geheimdienste und Strafverfolger regeln, gleichzeitig verbieten es die DSGVO und andere Compliance-Regeln bei teils hohen Strafen, Daten von Kunden ohne deren Einwilligung in Drittstaaten abzuleiten. Zwar haben Gesetzgeber auf beiden Seiten des Atlantiks über die letzten Jahrzehnte immer wieder versucht, der widersprüchlichen Gesetzeslage durch Agreements eine gewisse Rechtssicherheit entgegenzustellen, doch sind all diese Ansätze vor Gerichten gescheitert.
Jetzt, so scheint es, kommt die Rechtssicherheit doch direkt vom Hersteller, nur vielleicht nicht ganz so, wie man das erwartet hätte.